Uso de orígenes de datos federados en Microsoft Sentinel

Después de configurar los conectores de datos federados, puede acceder a las tablas federadas a través de varias interfaces en Microsoft Sentinel. Las tablas federadas se usan de la misma manera que otras tablas de data lake. En este artículo se explica cómo ver tablas federadas, consultarlas mediante KQL (Lenguaje de consulta Kusto) y trabajar con ellas en cuadernos de Jupyter Notebook.

Requisitos previos

Antes de empezar, asegúrese de lo siguiente:

Descripción de la nomenclatura de tablas federadas

Los nombres de tabla federados siguen el patrón <tableName>_<connectorInstanceName>. Por ejemplo:

Nombre de tabla original Nombre de instancia del conector Nombre de tabla federada
widgets ADLS01 widgets_ADLS01
sales_data AzureDBX01 sales_data_AzureDBX01
inventory Fabric01 inventory_Fabric01

Si varias tablas de la instancia del conector tienen el mismo nombre de tabla, se anexa un identificador numérico al nombre de la instancia del conector, por ejemplo widgets_ADLS01_1 , cuando dos tablas dentro de la instancia del ADLS01 conector se llaman widgets.

Use el nombre de la tabla federada al consultar datos del lago de datos de Sentinel.

Visualización de tablas federadas en la administración de tablas

La vista de administración de tablas proporciona información general sobre todas las tablas del lago de datos de Sentinel, incluidas las tablas federadas.

  1. Vaya a Microsoft Sentinel>Configurar>tablas.
  2. Seleccione el filtro Tipo .
  3. Seleccione Federado y seleccione Aplicar.

Captura de pantalla que muestra la vista de administración de tablas filtrada para mostrar las tablas federadas.

Ver detalles de la tabla

Seleccione una fila de tabla para abrir el panel de detalles. El panel contiene tres pestañas:

Pestaña Descripción
Información general Información básica sobre la tabla federada, incluido el tipo de origen y el estado de la conexión.
Orígenes de datos Muestra qué instancias del conector proporcionan datos para esta tabla.
Esquema Muestra las columnas, los tipos de datos y las descripciones de las columnas de la tabla. Los usuarios con permisos para escribir en las tablas del sistema de Data Lake pueden seleccionar Actualizar esquema para actualizar columnas y otros metadatos del esquema desde el origen.

Captura de pantalla que muestra el control flotante de detalles de la tabla federada con información general, orígenes de datos y pestañas de esquema.

Consulta de tablas federadas mediante KQL

La página consultas de KQL de Microsoft Sentinel permite consultar tablas federadas junto con datos de Sentinel nativos. Las tablas federadas son compatibles con trabajos de KQL, consultas interactivas y asincrónicas y herramientas de MCP.

  1. Vaya a Microsoft Sentinel>Data lake explorationKQL queries (Consultas de KQL de exploración > de lago de datos).

  2. Seleccione el botón Área de trabajo seleccionada en la barra de información.

  3. Seleccione Tablas del sistema como una de las áreas de trabajo.

  4. En la pestaña Esquema , expanda la sección Tablas del sistema .

  5. Expanda la sección Tablas federadas .

  6. Busque el tipo de federación del origen de datos, como Microsoft Fabric, Azure Databricks o Azure Data Lake Storage Gen2.

  7. Expanda el tipo de federación para ver las tablas federadas.

  8. Expanda una tabla para ver sus columnas.

Nota:

Debido a la optimización del rendimiento de las consultas en KQL, los nuevos datos de una tabla federada pueden tardar hasta 15 minutos en estar disponibles para la consulta.

Captura de pantalla que muestra la pestaña esquema de consultas de KQL con tablas federadas expandidas.

Escritura y ejecución de consultas

Las consultas en tablas federadas funcionan como consultas en tablas de lago nativo con algunas diferencias importantes:

  • Es posible que se produzca un cambio en el esquema de una tabla en el origen externo. Esto puede dar lugar a un error durante una consulta que indica que una columna no está presente. Actualice las columnas en la página Administración de tablas seleccionando la tabla federada, seleccionando la pestaña Esquema y seleccionando Actualizar esquema.

  • Las tablas federadas sin una TimeGenerated columna, o donde una TimeGenerated columna está presente con datos en el formato incorrecto, no se pueden usar en el explorador de Data Lake para seleccionar intervalos de tiempo mediante el selector de tiempo en la interfaz de usuario. Defina filtros de fecha en el cuerpo del KQL que coincidan con el formato de fecha de la tabla federada.

Creación de trabajos de KQL a partir de consultas federadas

Puede crear trabajos de KQL basados en consultas que usan tablas federadas:

  1. Escriba y pruebe la consulta de KQL mediante tablas federadas.
  2. Seleccione el botón Crear trabajo en la esquina superior derecha del panel de consulta.
  3. Configure los valores del trabajo, incluida la programación y el destino de salida.
  4. Guarde el trabajo.

Nota:

  • No se admite la escritura de datos en una tabla federada. La salida de KQL se crea en función de los mismos criterios que se usan hoy en día al crear un trabajo de KQL, donde puede escribir en una tabla nueva o existente en función del destino seleccionado.

  • Si las tablas federadas no contienen TimeGenerated columnas o la salida no contiene una TimeGenerated columna con un valor de fecha con formato adecuado para cada fila, las consultas KQL no funcionarán en la tabla una vez creadas en el lago.

Las tablas federadas son totalmente compatibles con trabajos de KQL, consultas asincrónicas y herramientas de MCP.

Creación de una herramienta MCP con consultas de tabla federada

Puede crear herramientas de MCP basadas en consultas que usan tablas federadas:

  1. Escriba y pruebe la consulta de KQL mediante tablas federadas.

  2. Seleccione el botón Guardar como herramienta situado encima del editor de consultas.

  3. Ajuste la consulta según sea necesario, por ejemplo, parametrizar los valores.

  4. Para cualquier referencia de una tabla federada, asegúrese de que anteponga el nombre de la tabla a workspace("default").. Por ejemplo, si la tabla era widgets_ADLS01, el código se muestra workspace("default").widgets_ADLS01 para esa tabla.

  5. Guarde la herramienta.

Uso de tablas federadas en cuadernos de Jupyter Notebook

Las tablas federadas son accesibles en los cuadernos de Jupyter Notebook mediante la extensión Microsoft Sentinel VS Code.

En la extensión Microsoft Sentinel VS Code, las tablas federadas aparecen en: Tablas> de lago Tablasfederadasdel> sistema

Captura de pantalla que muestra las tablas federadas en la extensión Microsoft Sentinel VS Code en Tablas del sistema Tablas federadas.

Trabajar con tablas federadas en cuadernos de Jupyter Notebook sigue los mismos patrones que las tablas nativas del sistema:

  1. Use el nombre completo de la tabla: tablas de referencia con el <tableName>_<connectorInstance> formato .
  2. No especifique un nombre de área de trabajo: las operaciones de lectura no requieren una especificación del área de trabajo.
  3. Acceso de solo lectura: las tablas federadas son de solo lectura; no puede volver a escribir datos en orígenes federados.

Nota:

Después de habilitar la federación de datos la primera vez, puede tardar hasta 24 horas en ver tablas federadas en cuadernos de Jupyter Notebook.

Trabajos de Jupyter Notebook

Puede crear trabajos programados de Jupyter Notebook que usen tablas federadas de la misma manera que crearía un trabajo de cuaderno para tablas nativas de Data Lake:

  1. Desarrolle el cuaderno con consultas de tabla federada.
  2. Pruebe el cuaderno para asegurarse de que las consultas federadas se ejecutan correctamente.
  3. Cree un trabajo desde el cuaderno.
  4. Configure la programación y los parámetros del trabajo.

Nota:

Los trabajos del cuaderno solo pueden escribir en Sentinel áreas de trabajo o tablas del sistema como destinos. No se pueden escribir datos en una tabla federada.

Procedimientos recomendados

Optimización de consultas

  • Aplicar filtros antes: Filtre los datos en el origen cuando sea posible para reducir la transferencia de datos.
  • Limitar conjuntos de resultados: use take o limit cláusulas durante el desarrollo.
  • Usar proyecciones: seleccione solo las columnas que necesita para mejorar el rendimiento.

Ejemplo: Consulta optimizada

large_dataset_adls_connector
| where EventTime >= ago(1h)           // Filter early
| where EventType == "Login"           // Reduce data volume
| project EventTime, UserId, SourceIP  // Select needed columns
| take 10000                           // Limit results

Estrategias de combinación

  • Use los tipos de combinación adecuados: elija inner, leftoutero rightouter en función de sus necesidades.
  • Filtrar antes de unirse: reduzca el volumen de datos antes de las operaciones de combinación.
  • Considere los tamaños de datos: coloque la tabla más pequeña en el lado derecho de la combinación.

Control de errores

  • Comprobar el estado de la conexión: compruebe que las instancias del conector federado están conectadas antes de realizar la consulta.
  • Controlar valores NULL: los datos externos pueden contener valores NULL inesperados; use coalesce() o isnull() funciones.
  • Supervisar el rendimiento de las consultas: realice un seguimiento de los tiempos de ejecución de las consultas federadas para identificar problemas de rendimiento.

Solución de problemas

La consulta no devuelve ningún resultado

  • Compruebe que la instancia del conector está en un estado conectado.
  • Compruebe que el origen de datos externo está disponible, junto con las tablas de destino en la consulta.
  • Compruebe que los permisos no se quitaron de la entidad de servicio ni Sentinel identidad administrada en función del origen de datos de destino.
  • Compruebe que usa el formato correcto de nombre de tabla federada.
  • Asegúrese de que las tablas del sistema están disponibles en el panel de navegación para las consultas de KQL o la sesión de Notebook.

La consulta es lenta

  • Aplique filtros para reducir el volumen de datos consultados desde orígenes externos.
  • Compruebe el rendimiento y la disponibilidad del origen externo.
  • Considere la posibilidad de crear tablas de resumen para los datos a los que se accede con frecuencia.

Error de coincidencia de esquema

  • Revise el esquema de tabla en la vista de administración de tablas.
  • Ajuste la consulta para controlar las diferencias de esquema.
  • Compruebe si el esquema de tabla externa ha cambiado desde la creación del conector.

No se pueden ejecutar herramientas de MCP para tablas federadas

Asegúrese de que ha precedido el nombre de la tabla con workspace("default"). donde quiera que haga referencia a una tabla federada dentro de la herramienta MCP.

Pasos siguientes

  • Last updated on