在 Microsoft Sentinel 中在引入时转换或自定义数据(预览版)

本文介绍如何配置引入时数据转换和自定义日志引入,以便在 Microsoft Sentinel 中使用。

引入时数据转换为客户提供对所引入数据的更高控制度。 引入时转换添加了筛选和扩充输出表的功能(即使在运行任何查询之前,也能执行此类操作),为创建标准化表的预配置硬编码工作流做了补充。 自定义日志引入使用自定义日志 API 来规范化自定义格式的日志,以便可以将它们引入到某些标准表中,或者使用用户定义的架构创建自定义输出表用于引入这些自定义日志。

这两种机制是使用数据收集规则 (DCR) 在 Log Analytics 门户中或者通过 API 或 ARM 模板配置的。 本文将帮助你选择特定数据连接器所需的 DCR 类型,并提供每种方案的说明文档的链接。

先决条件

在开始为数据转换配置 DCR 之前:

确定要求

如果你正在引入 引入时转换... 使用此 DCR 类型
自定义数据,通过
日志引入 API
  • 必需
  • 包含在定义数据模型的 DCR 中
  • 标准 DCR
    内置数据类型
    (Syslog、CommonSecurityLog、WindowsEvent、SecurityEvent),
    使用 Azure Monitor 代理
  • 可选
  • 如果需要,请添加到用于配置如何引入此数据的 DCR
  • 标准 DCR
    内置数据类型
    从大多数其他源
  • 可选
  • 根据需要添加到已附加至正在引入此数据的工作区的 DCR 中
  • 工作区转换 DCR

    配置数据转换

    使用 Log Analytics 和 Azure Monitor 文档中的以下过程来配置数据转换 DCR:

    通过日志引入 API 直接引入

    工作区转换

    有关数据收集规则的详细信息

    完成后,返回 Microsoft Sentinel 以验证是否正在根据新配置的转换引入数据。 应用数据转换配置可能最多需要 60 分钟。

    迁移到引入时数据转换

    如果你当前正在使用自定义 Microsoft Sentinel 数据连接器或内置的基于 API 的数据连接器,你可能希望迁移以使用引入时数据转换。

    使用下列方法之一:

    • 配置 DCR 以从头开始定义从数据源到新表的自定义引入。 若要使用不包含当前列后缀的新架构,并且不需要使用查询时 KQL 函数来标准化数据,则可以使用此选项。

      确认数据正确引入到新表后,可以删除旧表以及旧的自定义数据连接器。

    • 继续使用自定义数据连接器所创建的自定义表。 如果为现有表创建了大量的自定义安全内容,则可以使用此选项。 对于这种情况,请参阅 Azure Monitor 文档中的从数据收集器 API 和已启用自定义字段的表迁移到基于 DCR 的自定义日志

    后续步骤

    有关数据转换和 DCR 的详细信息,请参阅: