Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Azure Valvontalokit toimivat Microsoft Sentinel tietoympäristönä. Kaikki Microsoft Sentinel sisään otetut lokit tallennetaan Log Analytics -työtilaan, ja Kusto Query Languagella (KQL)kirjoitettuja lokikyselyitä käytetään uhkien havaitsemiseen ja verkkotoiminnan seurantaan.
Log Analytics antaa sinulle korkean tason hallinnan tietoihin, joita käytetään työtilassasi mukautettujen tietojen käsittely- ja tiedonkeräyssääntöjen (DCR) avulla. DcR-pyyntöjen avulla voit sekä kerätä että käsitellä tietojasi, ennen kuin ne tallennetaan työtilaasi. DcR:t sekä muotoilevat että lähettävät tietoja sekä log analytics -vakiotaulukoihin että mukautettaviin taulukoihin tietolähteille, jotka tuottavat yksilöllisiä lokimuotoja.
Suodattimia ja jaettuja muunnoksia voidaan käyttää tietoihin käsittelyhetkellä melun vähentämiseksi ja tietojen ohjaamiseksi asianmukaiselle tallennustasolle. Nämä muunnokset eivät edellytä DCR:n luomista, ja ne määritetään Microsoft Sentinel taulukonhallintasivulla Defender-portaalissa. Lisätietoja on artikkelissa Microsoft Sentinel muunnosten suodattaminen ja jakaminen.
Azure Mukautettujen tietojen käsittelytyökalujen valvonta Microsoft Sentinel
Microsoft Sentinel käyttää seuraavia Azure Valvontatyökalut mukautettujen tietojen käsittelyjen hallintaan:
Muunnokset määritetään DCR-tiedoissa, ja ne käyttävät KQL-kyselyitä saapuviin tietoihin, ennen kuin ne tallennetaan työtilaasi. Nämä muunnokset voivat suodattaa pois epäolennaiset tiedot, rikastaa olemassa olevia tietoja analytiikalla tai ulkoisilla tiedoilla tai peittää luottamukselliset tai henkilökohtaiset tiedot.
Lokien käsittely -ohjelmointirajapinnan avulla voit lähettää mukautettuja lokeja mistä tahansa tietolähteestä Log Analytics -työtilaan ja tallentaa kyseiset lokit joko tiettyihin vakiotaulukoihin tai luomiasi mukautetusti muotoiltuihin taulukoihin. Voit hallita täysin näiden mukautettujen taulukoiden luomista aina sarakkeiden nimien ja tyyppien määrittämiseen. Ohjelmointirajapinta käyttää dcr-pyyntöjä määrittääkseen, määrittääkseen ja ottaakseen käyttöön muunnoksia näissä tietovirroissa.
Huomautus
Log Analytics -työtilat, jotka on otettu käyttöön Microsoft Sentinel, eivät ole Azure Monitorin suodatusmaksun alaisia riippumatta siitä, kuinka paljon tietoja muunnossuodattimet suodattavat. Microsoft Sentinel muunnoksilla on kuitenkin samat rajoitukset kuin Azure Monitorilla. Lisätietoja on kohdassa Rajoitukset ja huomioitavat seikat.
Dcr-tuki Microsoft Sentinel
Käsittelyajan muunnokset määritetään tiedonkeruusäännöissä (DCR-säännöissä), jotka ohjaavat tiedonkulkua Azure Monitorissa. AMA-pohjaiset Sentinel liittimet ja työnkulut käyttävät dcr-pyyntöjä Logs ingestion -ohjelmointirajapinnan avulla. Jokainen DCR sisältää tietyn tiedonkeräysskenaarion määrityksen, ja useat liittimet tai lähteet voivat jakaa yksittäisen DCR:n.
Työtilan muunnosten dcr-muutokset tukevat työnkulkuja, jotka eivät muuten käytä dcr-pyyntöjä. Työtilan muunnosten DCR-muutokset sisältävät muunnoksia tuetuille taulukoille , ja niitä sovelletaan kaikkeen kyseiseen taulukkoon lähetettävään liikenteeseen.
Lisätietoja on seuraavissa artikkeleissa:
- Tiedonkeruun muunnokset Azure Näytössä
- Lokien käsittelyiden ohjelmointirajapinta Azure näyttölokeissa
- Azure Monitorin tiedonkeruusäännöt
Käyttötapaukset ja malliskenaariot
Azure Monitorin mallimuunnokset sisältävät kuvaus- ja esimerkkikyselyitä yleisiin tilanteisiin, joissa käytetään käsittelyajan muunnoksia Azure Monitorissa. Skenaarioita, jotka ovat erityisen hyödyllisiä Microsoft Sentinel ovat seuraavat:
Pienennä tietokustannuksia. Suodata tietojen keräys joko rivien tai sarakkeiden mukaan käsittely- ja tallennuskustannusten pienentämiseksi.
Normalisoi tiedot. Normalisoi lokit ASIM-mallin avulla normalisoitujen kyselyiden suorituskyvyn parantamiseksi. Lisätietoja on kohdassa Käyttöajan normalisointi.
Täydennä tietoja. Käsittelyajan muunnosten avulla voit parantaa analyysia rikastamalla tietojasi lisäsarakkeilla, jotka on lisätty määritettyihin KQL-muunnoksiin. Ylimääräiset sarakkeet voivat sisältää jäsennystietoja tai laskettuja tietoja olemassa olevista sarakkeista.
Poista luottamukselliset tiedot. Tietojen käsittelyajan muunnosten avulla voidaan peittää tai poistaa henkilökohtaisia tietoja, kuten peittää kaikki paitsi sosiaaliturvatunnuksen tai luottokortin numeron viimeiset numerot.
Tietojen käsittelytyönkulku Microsoft Sentinel
Seuraavassa kuvassa näytetään, minne tietojen käsittelyaikainen tietojen muuntaminen siirtyy tietojen käsittelytyönkulkuun Microsoft Sentinel. Näitä tietoja voidaan tukea vakiotaulukoissa tai tietyissä mukautetuissa taulukoissa.
Tässä kuvassa näkyy pilviputki, joka edustaa monitorin Azure tiedonkeräysosaa. Lisätietoja ja muita tiedonkeruuskenaarioita on Azure Monitorin tietojenkeruusääntöjen (DCR) kohdassa.
Microsoft Sentinel kerää Log Analytics -työtilan tietoja useista lähteistä.
- Logs ingestion API -päätepisteestä tai Azure Monitor agentista (AMA) kerättyjä tietoja käsittelee tietty DCR, joka voi sisältää käsittelyajan muunnoksen.
- Valmiiden tietoliittimien tiedot käsitellään Log Analyticsissa käyttämällä kiinteästi koodattuja työnkulkuja ja käsittelyajan muunnoksia työtilan DCR:ssä.
Seuraavassa taulukossa kuvataan Microsoft Sentinel tietoyhdistintyyppien DCR-tuki:
| Tietoyhdistimen tyyppi | Dcr-tuki |
|---|---|
|
Azure Valvonta-agentin (AMA) lokit, kuten: |
Yksi tai useampi edustajaan liittyvä dcr |
| Suora käsittely Logs ingestion -ohjelmointirajapinnan kautta | Ohjelmointirajapintakutsussa määritetty DCR |
|
Sisäinen ohjelmointirajapintapohjainen tietoyhdistin, kuten: |
Liittimelle luotu DCR |
| Diagnostiikka-asetuksiin perustuvat yhteydet | Työtilan muunnoksen DCR ja tuetut tulostetaulukot |
|
Sisäiset ohjelmointirajapintapohjaiset tietoliittimet, kuten: |
Ei tällä hetkellä tueta |
|
Sisäiset palvelun sisäiset tietoliittimet, kuten: |
Työtilan muunnoksen DCR taulukoille, jotka tukevat muunnoksia |
Aiheeseen liittyvä sisältö
Lisätietoja on seuraavissa artikkeleissa: