Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W poprzednich artykułach wybraliście docelową platformę dla danych historycznych. Wybrano również narzędzie do transferu danych i przechowywania danych historycznych w lokalizacji przejściowej. Teraz możesz zacząć pozyskiwać dane na platformę docelową.
W tym artykule opisano sposób pozyskiwania danych historycznych do wybranej platformy docelowej.
Eksportowanie danych ze starszej wersji rozwiązania SIEM
Ogólnie rzecz biorąc, program SIEM może eksportować lub usuwać dane do pliku w lokalnym systemie plików, dzięki czemu można użyć tej metody do wyodrębnienia danych historycznych. Ważne jest również skonfigurowanie lokalizacji przejściowej dla wyeksportowanych plików. Narzędzie używane do transferu pozyskiwania danych może skopiować pliki z lokalizacji przejściowej do platformy docelowej.
Ten diagram przedstawia ogólny proces eksportowania i pozyskiwania.
Aby wyeksportować dane z bieżącego rozwiązania SIEM, zobacz jedną z następujących sekcji:
- Eksportowanie danych z usługi ArcSight
- Eksportowanie danych z narzędzia Splunk
- Eksportowanie danych z usługi QRadar
Wczytanie do usługi Azure Data Explorer
Aby pozyskać dane historyczne do usługi Azure Data Explorer (ADX) (opcja 1 na powyższym diagramie):
- Zainstaluj i skonfiguruj narzędzie LightIngest w systemie, w którym są eksportowane dzienniki, lub zainstaluj narzędzie LightIngest w innym systemie, który ma dostęp do wyeksportowanych dzienników. LightIngest obsługuje tylko system Windows.
- Jeśli nie masz istniejącego klastra ADX, utwórz nowy klaster i skopiuj parametry połączenia. Dowiedz się, jak skonfigurować usługę ADX.
- W usłudze ADX utwórz tabele i zdefiniuj schemat dla formatu CSV lub JSON (dla QRadar). Dowiedz się, jak utworzyć tabelę i zdefiniować schemat z przykładowymi danymi lub bez przykładowych danych.
-
Uruchom polecenie LightIngest ze ścieżką folderu zawierającą wyeksportowane dzienniki jako ścieżkę, a parametry połączenia ADX jako dane wyjściowe. Po uruchomieniu programu LightIngest upewnij się, że podano docelową nazwę tabeli ADX, że wzorzec argumentu jest ustawiony na
*.csv, a format jest ustawiony na.csv(lubjsondla QRadar).
Pobieranie danych do pomocniczych/podstawowych logów Microsoft Sentinel
Aby pozyskać dane historyczne do dzienników pomocniczych usługi Microsoft Sentinel lub dzienników podstawowych (opcja 2 na powyższym diagramie):
Jeśli nie masz istniejącego obszaru roboczego usługi Log Analytics, utwórz nowy obszar roboczy i zainstaluj usługę Microsoft Sentinel.
Utwórz rejestrację aplikacji w celu uwierzytelnienia względem interfejsu API.
Utwórz niestandardową tabelę dzienników do przechowywania danych i podaj przykład danych. W tym kroku można również zdefiniować przekształcenie przed pozyskiwaniem danych.
Zbierz informacje z reguły zbierania danych i przypisz uprawnienia do reguły.
Zmień tabelę z Analiza na Pomocnicze lub Podstawowe dzienniki.
Uruchom skrypt pozyskiwania dzienników niestandardowych. Skrypt prosi o następujące szczegóły:
- Ścieżka do plików dziennika do importu
- Identyfikator dzierżawy Microsoft Entra
- Identyfikator aplikacji
- Sekret aplikacji
- Punkt końcowy DCE (użyj identyfikatora URI punktu końcowego pozyskiwania dzienników dla kontrolera domeny)
- Identyfikator niezmienny DCR
- Nazwa strumienia danych z DCR
Skrypt zwraca liczbę zdarzeń, które zostały wysłane do obszaru roboczego.
Importowanie do Azure Blob Storage
Aby pozyskać dane historyczne do usługi Azure Blob Storage (opcja 3 na powyższym diagramie):
- Zainstaluj i skonfiguruj narzędzie AzCopy w systemie, do którego wyeksportowano dzienniki. Alternatywnie zainstaluj narzędzie AzCopy w innym systemie, który ma dostęp do wyeksportowanych dzienników.
- Utwórz konto usługi Azure Blob Storage i skopiuj autoryzowane poświadczenia Microsoft Entra ID lub token usługi Shared Access Signature.
- Uruchom AzCopy z podaną ścieżką folderu, zawierającą wyeksportowane dzienniki jako źródło, oraz ciągiem połączenia do Azure Blob Storage jako dane wyjściowe.
Następne kroki
W tym artykule dowiedziałeś się, jak załadować swoje dane do docelowej platformy.