Freigeben über

Verwenden von Verbunddatenquellen in Microsoft Sentinel

Nach dem Einrichten von verbundenen Daten-Connectoren können Sie über verschiedene Nutzeroberflächen in Microsoft Sentinel auf Ihre Verbundtabellen zugreifen. Verbundtabellen werden auf die gleiche Weise wie andere Datenseetabellen verwendet. In diesem Artikel wird erläutert, wie Verbundtabellen angezeigt, sie mithilfe von KQL (Kusto Query Language) abgefragt und in Jupyter-Notizbüchern verwendet werden.

Voraussetzungen

Bevor Sie beginnen, stellen Sie Folgendes sicher:

Verständnis der Benennung von Verbundtabellen

Namen der Verbundtabelle folgen dem Muster <tableName>_<connectorInstanceName>. Beispiel:

Name der ursprünglichen Tabelle Name der Connectorinstanz Name der Verbundtabelle
widgets ADLS01 widgets_ADLS01
sales_data AzureDBX01 sales_data_AzureDBX01
inventory Fabric01 inventory_Fabric01

Wenn mehrere Tabellen in der Connectorinstanz denselben Tabellennamen aufweisen, wird ein numerischer Bezeichner an den Namen der Connectorinstanz angefügt, z widgets_ADLS01_1 . B. wenn zwei Tabellen innerhalb der ADLS01 Connectorinstanz aufgerufen widgetswerden.

Verwenden Sie den Namen der Verbundtabelle beim Abfragen von Daten aus dem Sentinel-Datensee.

Anzeigen von Verbundtabellen in der Tabellenverwaltung

Die Tabellenverwaltungsansicht bietet eine Übersicht über alle Tabellen in Ihrem Sentinel-Datensee, einschließlich Verbundtabellen.

  1. Navigieren Sie zu Microsoft Sentinel>Konfiguration>Tabellen.
  2. Wählen Sie den Filter Typ aus.
  3. Wählen Sie "Föderiert" und dann "Übernehmen" aus.

Screenshot der Tabellenverwaltungsansicht, die gefiltert wurde, um Verbundtabellen anzuzeigen.

Anzeigen von Tabellendetails

Wählen Sie eine Tabellenzeile aus, um den Detailbereich zu öffnen. Das Bedienfeld enthält drei Registerkarten.

Tab Beschreibung
Übersicht Grundlegende Informationen zur Verbundtabelle, einschließlich des Quelltyps und des Verbindungsstatus.
Datenquellen Zeigt an, welche Connectorinstanzen Daten für diese Tabelle bereitstellen.
Schema Zeigt die Spalten, Datentypen und Beschreibungen für die Spalten der Tabelle an. Benutzer mit Berechtigungen zum Schreiben in die Datensee-Systemtabellen können "Schema aktualisieren" auswählen, um Spalten und andere Schemametadaten aus der Quelle zu aktualisieren.

Screenshot des Flyouts für federierte Tabellendetails mit Übersicht, Datenquellen und Schematabs.

Abfragen von Verbundtabellen mit KQL

Auf der Seite "KQL-Abfragen" in Microsoft Sentinel können Sie Verbundtabellen zusammen mit nativen Sentinel-Daten abfragen. Verbundtabellen werden für KQL-Aufträge, interaktive und asynchrone Abfragen und MCP-Tools unterstützt.

  1. Navigieren Sie zu Microsoft Sentinel>Datensee-Erkundung>KQL-Abfragen.

  2. Wählen Sie in der Informationsleiste die Schaltfläche " Ausgewählter Arbeitsbereich " aus.

  3. Wählen Sie "Systemtabellen " als einen der Arbeitsbereiche aus.

  4. Erweitern Sie auf der Registerkarte "Schema " den Abschnitt " Systemtabellen ".

  5. Erweitern Sie den Abschnitt "Verbundtabellen ".

  6. Suchen Sie den Verbundtyp für Ihre Datenquelle, z. B. Microsoft Fabric, Azure Databricks oder Azure Data Lake Storage Gen2.

  7. Erweitern Sie den Föderationstyp, um die Verbundtabellen anzuzeigen.

  8. Erweitern Sie eine Tabelle, um die zugehörigen Spalten anzuzeigen.

Hinweis

Aufgrund der Abfrageleistungsoptimierung in KQL kann es bis zu 15 Minuten dauern, bis neue Daten in einer Verbundtabelle für die Abfrage verfügbar sind.

Screenshot der Schemaregisterkarte

Schreiben und Ausführen von Abfragen

Abfragen für Verbundtabellen funktionieren wie Abfragen mit nativen Lake-Tabellen mit einigen wichtigen Unterschieden:

  • Es ist möglich, dass eine Änderung am Schema einer Tabelle in der externen Quelle erfolgt. Dies kann zu einem Fehler während einer Abfrage führen, die angibt, dass eine Spalte nicht vorhanden ist. Aktualisieren Sie Spalten auf der Tabellenverwaltungsseite, indem Sie die Verbundtabelle auswählen, die Registerkarte "Schema " und " Schema aktualisieren" auswählen.

  • Verbundtabellen ohne TimeGenerated Spalte oder wenn eine TimeGenerated Spalte mit Daten im falschen Format vorhanden ist, können im Data Lake-Explorer nicht zum Auswählen von Zeitbereichen mithilfe der Zeitauswahl auf der Benutzeroberfläche verwendet werden. Definieren Sie Datumsfilter im Textkörper der KQL, die dem Datumsformat der Verbundtabelle entsprechen.

Erstellen von KQL-Aufträgen aus Verbundabfragen

Sie können KQL-Aufträge basierend auf Abfragen erstellen, die Verbundtabellen verwenden:

  1. Schreiben und testen Sie Ihre KQL-Abfrage mithilfe von Verbundtabellen.
  2. Wählen Sie in der oberen rechten Ecke des Abfragebereichs die Schaltfläche " Auftrag erstellen " aus.
  3. Konfigurieren Sie die Auftragseinstellungen, einschließlich Zeitplan und Ausgabeziel.
  4. Speichern Sie den Job.

Hinweis

  • Das Schreiben von Daten in eine Verbundtabelle wird nicht unterstützt. Die KQL-Ausgabe wird basierend auf den gleichen Kriterien erstellt, die heute beim Erstellen eines KQL-Auftrags verwendet werden, wo sie basierend auf Ihrem ausgewählten Ziel in eine neue oder vorhandene Tabelle geschrieben werden kann.

  • Wenn Verbundtabellen keine TimeGenerated-Spalten enthalten oder Ihre Ausgabe keine TimeGenerated-Spalte mit einem ordnungsgemäß formatierten Datumswert für jede Zeile enthält, funktionieren KQL-Abfragen auf der Tabelle nicht, nachdem sie im Data Lake erstellt wurde.

Verbundtabellen werden für KQL-Aufträge, asynchrone Abfragen und MCP-Tools vollständig unterstützt.

Erstellen eines MCP-Tools mit Verbundtabellenabfragen

Sie können MCP-Tools basierend auf Abfragen erstellen, die Verbundtabellen verwenden:

  1. Schreiben und testen Sie Ihre KQL-Abfrage mithilfe von Verbundtabellen.

  2. Wählen Sie oberhalb des Abfrage-Editors die Schaltfläche "Speichern unter" aus.

  3. Passen Sie die Abfrage nach Bedarf an, z. B. parameterisieren Sie Werte.

  4. Stellen Sie für jeden Verweis auf eine Verbundtabelle sicher, dass Sie dem Tabellennamen das Präfix voranstellen.workspace("default"). Wenn deine Tabelle zum Beispiel widgets_ADLS01 ist, zeigt dein Code workspace("default").widgets_ADLS01 für diese Tabelle.

  5. Speichern Sie das Tool.

Verwenden von Verbundtabellen in Jupyter-Notizbüchern

Verbundtabellen sind in Jupyter-Notizbüchern über die Microsoft Sentinel VS Code-Erweiterung zugänglich.

In der Microsoft Sentinel VS-Code-Erweiterung werden Verbundtabellen unter: Lake-Tabellen>Systemtabellen>Verbundtabellen angezeigt.

Screenshot mit Verbundtabellen in der Microsoft Sentinel VS Code-Erweiterung unter

Das Arbeiten mit Verbundtabellen in Jupyter-Notizbüchern folgt den gleichen Mustern wie systemeigene Systemtabellen:

  1. Verwenden Sie den vollständigen Tabellennamen: Referenztabellen mit dem <tableName>_<connectorInstance> Format.
  2. Geben Sie keinen Arbeitsbereichsnamen an: Lesevorgänge erfordern keine Arbeitsbereichsspezifikation.
  3. Schreibgeschützter Zugriff: Verbundtabellen sind schreibgeschützt; Daten können nicht in Verbundquellen zurückgeschrieben werden.

Hinweis

Nach dem erstmaligen Aktivieren des Datenverbunds kann es bis zu 24 Stunden dauern, bis Verbundtabellen in Jupyter-Notizbüchern angezeigt werden.

Jupyter-Notizbuchaufträge

Sie können geplante Jupyter-Notizbuchaufträge erstellen, die Verbundtabellen auf die gleiche Weise verwenden, wie Sie einen Notizbuchauftrag für systemeigene Datenseetabellen erstellen würden:

  1. Entwickeln Sie Ihr Notizbuch mit Verbundtabellenabfragen.
  2. Testen Sie das Notizbuch, um sicherzustellen, dass Verbundabfragen ordnungsgemäß ausgeführt werden.
  3. Erstellen Sie eine Aufgabe aus dem Notizbuch.
  4. Konfigurieren Sie den Auftragszeitplan und die Parameter.

Hinweis

Notizbuchaufträge können nur in Sentinel-Arbeitsbereiche oder Systemtabellen als Ziele geschrieben werden. Sie können keine Daten in eine Verbundtabelle schreiben.

Bewährte Methoden

Abfrageoptimierung

  • Frühzeitige Anwendung von Filtern: Filtern Von Daten an der Quelle, wenn möglich, um die Datenübertragung zu reduzieren.
  • Ergebnismengen begrenzen: Verwenden Sie take oder limit Klauseln während der Entwicklung.
  • Verwenden Sie Projektionen: Wählen Sie nur die Spalten aus, die Sie benötigen, um die Leistung zu verbessern.

Beispiel: Optimierte Abfrage

large_dataset_adls_connector
| where EventTime >= ago(1h)           // Filter early
| where EventType == "Login"           // Reduce data volume
| project EventTime, UserId, SourceIP  // Select needed columns
| take 10000                           // Limit results

Teilnehmen an Strategien

  • Verwenden Sie geeignete Verknüpfungstypen: Wählen Sie inner, leftouter oder rightouter abhängig von Ihren Anforderungen.
  • Filtern vor dem Verknüpfen: Verringern Sie das Datenvolume vor Verknüpfungsvorgängen.
  • Berücksichtigen Sie Datengrößen: Platzieren Sie die kleinere Tabelle auf der rechten Seite der Verknüpfung.

Fehlerbehandlung

  • Überprüfen Sie den Verbindungsstatus: Überprüfen Sie, ob Verbundconnectorinstanzen vor der Abfrage verbunden sind.
  • Behandeln von NULL-Werten: Externe Daten können unerwartete Nullwerte enthalten; Verwenden coalesce() oder isnull() Funktionen.
  • Überwachen sie die Abfrageleistung: Verfolgen Sie die Ausführungszeiten für Verbundabfragen, um Leistungsprobleme zu identifizieren.

Problembehandlung

Abfrage gibt keine Ergebnisse zurück.

  • Überprüfen Sie, ob sich die Connectorinstanz in einem verbundenen Zustand befindet.
  • Überprüfen Sie, ob die externe Datenquelle verfügbar ist, zusammen mit den Tabellen, die in der Abfrage enthalten sind.
  • Überprüfen Sie, ob Berechtigungen nicht aus dem Dienstprinzipal oder der verwalteten Sentinel-Identität basierend auf der zielbezogenen Datenquelle entfernt wurden.
  • Überprüfen Sie, ob Sie das richtige Namensformat der Verbundtabelle verwenden.
  • Stellen Sie sicher, dass Systemtabellen im Navigationsbereich für Ihre KQL-Abfragen oder Ihre Notizbuchsitzung verfügbar sind.

Abfrage ist langsam

  • Wenden Sie Filter an, um das von externen Quellen abgefragte Datenvolume zu reduzieren.
  • Überprüfen Sie die Leistung und Verfügbarkeit der externen Quelle.
  • Erwägen Sie das Erstellen von Zusammenfassungstabellen für häufig verwendete Daten.

Schemaabweichung

  • Überprüfen Sie das Tabellenschema in der Tabellenverwaltungsansicht.
  • Passen Sie Ihre Abfrage an, um Schemaunterschiede zu behandeln.
  • Überprüfen Sie, ob sich das Schema der externen Tabelle seit der Erstellung des Connectors geändert hat.

McP-Tools für Verbundtabellen können nicht ausgeführt werden

Stellen Sie sicher, dass Sie dem Tabellennamen immer das Präfix workspace("default"). vorangestellt haben, wenn Sie im MCP-Tool auf eine Verbundtabelle verweisen.

Nächste Schritte

  • Last updated on