在 Microsoft Sentinel 中在引入时转换或自定义数据(预览版)
本文介绍如何配置引入时数据转换和自定义日志引入,以便在 Microsoft Sentinel 中使用。
引入时数据转换为客户提供对所引入数据的更高控制度。 引入时转换添加了筛选和扩充输出表的功能(即使在运行任何查询之前,也能执行此类操作),为创建标准化表的预配置硬编码工作流做了补充。 自定义日志引入使用自定义日志 API 来规范化自定义格式的日志,以便可以将它们引入到某些标准表中,或者使用用户定义的架构创建自定义输出表用于引入这些自定义日志。
这两种机制是使用数据收集规则 (DCR) 在 Log Analytics 门户中或者通过 API 或 ARM 模板配置的。 本文将帮助你选择特定数据连接器所需的 DCR 类型,并提供每种方案的说明文档的链接。
先决条件
在开始为数据转换配置 DCR 之前:
详细了解 Azure Monitor 和 Microsoft Sentinel 中的数据转换和 DCR。 有关详情,请参阅:
验证数据连接器支持。 确保数据转换支持你的数据连接器。
在数据连接器参考文章中,查看数据连接器部分以了解支持哪些类型的 DCR。 在此文中继续了解所选的 DCR 类型如何影响余下的引入和转换过程。
确定要求
如果你正在引入 | 引入时转换... | 使用此 DCR 类型 |
---|---|---|
自定义数据,通过 日志引入 API |
标准 DCR | |
内置数据类型 (Syslog、CommonSecurityLog、WindowsEvent、SecurityEvent), 使用 Azure Monitor 代理 |
标准 DCR | |
内置数据类型 从大多数其他源 |
工作区转换 DCR |
配置数据转换
使用 Log Analytics 和 Azure Monitor 文档中的以下过程来配置数据转换 DCR:
- 演练有关使用 Azure 门户引入日志的教程。
- 演练有关使用 Azure 资源管理器 (ARM) 模板和 REST API 引入日志的教程。
- 演练有关使用 Azure 门户配置工作区转换的教程。
- 演练有关使用 Azure 资源管理器 (ARM) 模板和 REST API 配置工作区转换的教程。
完成后,返回 Microsoft Sentinel 以验证是否正在根据新配置的转换引入数据。 应用数据转换配置可能最多需要 60 分钟。
迁移到引入时数据转换
如果你当前正在使用自定义 Microsoft Sentinel 数据连接器或内置的基于 API 的数据连接器,你可能希望迁移以使用引入时数据转换。
使用下列方法之一:
配置 DCR 以从头开始定义从数据源到新表的自定义引入。 若要使用不包含当前列后缀的新架构,并且不需要使用查询时 KQL 函数来标准化数据,则可以使用此选项。
确认数据正确引入到新表后,可以删除旧表以及旧的自定义数据连接器。
继续使用自定义数据连接器所创建的自定义表。 如果为现有表创建了大量的自定义安全内容,则可以使用此选项。 对于这种情况,请参阅 Azure Monitor 文档中的从数据收集器 API 和已启用自定义字段的表迁移到基于 DCR 的自定义日志。
后续步骤
有关数据转换和 DCR 的详细信息,请参阅: