Liitettyjen tietolähteiden käyttäminen Microsoft Sentinel

Kun olet määrittänyt liitetyt tietoliittimet, voit käyttää liitettyjä taulukoita useiden liittymien kautta Microsoft Sentinel. Liitettyjä taulukoita käytetään samalla tavalla kuin muita Data Lake -taulukoita. Tässä artikkelissa kerrotaan, miten voit tarkastella liitettyjä taulukoita, tehdä niihin kyselyjä KQL:n (Kusto Query Language) avulla ja käsitellä niitä Jupyter-muistikirjoissa.

Ennakkovaatimukset

Ennen kuin aloitat, varmista:

Tutustu liitettyjen taulukoiden nimeämiseen

Liitettyjen taulukoiden nimet noudattavat kaavaa <tableName>_<connectorInstanceName>. Esimerkki:

Alkuperäisen taulukon nimi Yhdistimen esiintymän nimi Liitetyn taulukon nimi
widgets ADLS01 widgets_ADLS01
sales_data AzureDBX01 sales_data_AzureDBX01
inventory Fabric01 inventory_Fabric01

Jos liitinesiintymän usealla taulukolla on sama taulukon nimi, yhdistimen esiintymän nimeen liitetään numeerinen tunniste, esimerkiksi widgets_ADLS01_1 silloin, kun liitinesiintymän ADLS01 kahta taulukkoa kutsutaan widgets.

Käytä liitettyä taulukon nimeä, kun kyselet tietoja Sentinel Data Lake -tallennustilasta.

Näytä liitetyt taulukot taulukonhallinnassa

Taulukonhallintanäkymä sisältää yleiskatsauksen kaikista Sentinel Data Lake -järjestelmän taulukoista, mukaan lukien liitetyt taulukot.

  1. Siirry Microsoft Sentinel>Määritystaulukot>.
  2. Valitse Tyyppi-suodatin .
  3. Valitse Liitetty ja valitse Käytä.

Näyttökuva, jossa näkyy liitettyjen taulukoiden näyttämiseksi suodatettu taulukon hallintanäkymä.

Näytä taulukon tiedot

Avaa tietopaneeli valitsemalla taulukon rivi. Paneelissa on kolme välilehteä:

Välilehti Kuvaus
Yleiskatsaus Liitetyn taulukon perustiedot, mukaan lukien lähdetyyppi ja yhteyden tila.
Tietolähteet Näyttää, mitkä liitinesiintymät antavat tietoja tälle taulukolle.
Rakenteen Näyttää taulukon sarakkeiden sarakkeet, tietotyypit ja kuvaukset. Käyttäjät, joilla on oikeudet kirjoittaa Data Lake System -taulukoihin, voivat päivittää sarakkeet ja muut rakenteen metatiedot lähteestä valitsemalla Päivitä rakenne .

Näyttökuva, jossa näkyy liitetyn taulukon tietojen pikaikkuna, jossa on yleiskatsaus, tietolähteet ja rakennevälilehtiä.

Kyselyn liitetyt taulukot KQL:n avulla

Microsoft Sentinel KQL-kyselyiden sivun avulla voit kysellä liitettyjä taulukoita alkuperäisten Sentinel tietojen rinnalla. Liitettyjä taulukoita tuetaan KQL-työt, vuorovaikutteiset ja asynkroniset kyselyt ja MCP-työkalut.

  1. Siirry kohtaan Microsoft Sentinel>Data Lake Exploration>KQL -kyselyt.

  2. Valitse tietopalkista Valittu työtila -painike.

  3. Valitse jokin työtiloista Järjestelmätaulukot .

  4. Laajenna Rakenne-välilehdessäJärjestelmätaulukot-osio .

  5. Laajenna Liitetyt taulukot - osio.

  6. Etsi tietolähteellesi liittoutumistyyppi, kuten Microsoft Fabric, Azure Databricks tai Azure Data Lake Storage Gen2.

  7. Laajenna liittoutumistyyppi nähdäksesi liitetyt taulukot.

  8. Laajenna taulukko nähdäksesi sen sarakkeet.

Huomautus

Koska kyselyn suorituskyky on optimoitu KQL:ssä, voi kestää jopa 15 minuuttia, ennen kuin liitetyn taulukon uudet tiedot ovat käytettävissä kyselyä varten.

Näyttökuva, jossa näkyy KQL-kyselyiden rakenne-välilehti ja liitetyt taulukot laajennettuina.

Kyselyjen kirjoittaminen ja suorittaminen

Liitettyihin taulukoihin kohdistuvat kyselyt toimivat samoin kuin alkuperäisiin lake-taulukoihin kohdistuvat kyselyt, joissa on muutamia tärkeitä eroja:

  • Taulukon rakenteessa voi tapahtua muutoksia ulkoisessa lähteessä. Tämä voi johtaa virheeseen kyselyn aikana, joka ilmaisee, että saraketta ei ole. Päivitä taulukon hallintasivun sarakkeet valitsemalla liitetty taulukko, valitsemalla Rakenne-välilehti ja valitsemalla Päivitä rakenne.

  • Liitettyjä taulukoita, joissa TimeGenerated ei ole saraketta tai joissa TimeGenerated on väärässä muodossa olevia tietoja, ei voi käyttää Data Lake Explorerissa aika-alueiden valitsemiseen käyttöliittymän aikavalitsimen avulla. Määritä KQL:n leipätekstiin päivämääräsuodattimet, jotka vastaavat liitetyn taulukon päivämäärämuotoa.

KQL-töiden luominen liitetyistä kyselyistä

Voit luoda KQL-töitä liitettyjä taulukoita käyttävien kyselyiden perusteella:

  1. Kirjoita ja testaa KQL-kyselysi liitettyjen taulukoiden avulla.
  2. Valitse Luo työ -painike kyselypaneelin oikeasta yläkulmasta.
  3. Määritä työn asetukset, mukaan lukien aikataulu ja kohdesijainti.
  4. Tallenna työ.

Huomautus

  • Tietojen kirjoittamista liitettyihin taulukkoihin ei tueta. KQL-tulos luodaan samojen ehtojen perusteella, joita käytetään nykyään luotaessa KQL-työtä, jossa se voi kirjoittaa uuteen tai olemassa olevaan taulukkoon valitun kohteen perusteella.

  • Jos liitetyt taulukot eivät sisällä TimeGenerated sarakkeita tai tulosteesi ei sisällä TimeGenerated saraketta, jossa on kunkin rivin oikein muotoiltu päivämääräarvo, KQL-kyselyt eivät toimi taulukossa sen jälkeen, kun ne on luotu järvellä.

Liitettyjä taulukoita tuetaan täysin KQL-työt, asynkroniset kyselyt ja MCP-työkalut.

MCP-työkalun luominen liitettyjen taulukkokyselyiden avulla

Voit luoda MCP-työkaluja, jotka perustuvat kyselyihin, jotka käyttävät liitettyjä taulukoita:

  1. Kirjoita ja testaa KQL-kyselysi liitettyjen taulukoiden avulla.

  2. Valitse Tallenna työkaluna -painike kyselyeditorin yläpuolella.

  3. Muokkaa kyselyä tarpeen mukaan, esimerkiksi parametrisoi arvot.

  4. Varmista liitetyn taulukon viitteille, että taulukon nimen etuliitteenä on workspace("default").. Jos taulukkosi oli widgets_ADLS01esimerkiksi , koodisi näkyy workspace("default").widgets_ADLS01 kyseiselle taulukolle.

  5. Tallenna työkalu.

Liitettyjen taulukoiden käyttäminen Jupyter-muistikirjoissa

Liitetyt taulukot ovat käytettävissä Jupyter-muistikirjoissa Microsoft Sentinel VS Code -laajennuksen kautta.

MICROSOFT SENTINEL VS Code -laajennuksessa liitetyt taulukot näkyvät kohdassa: Lake tables>Järjestelmätaulukot>Liitetyt taulukot

Näyttökuva, jossa näkyvät liitetyt taulukot Microsoft Sentinel VS Code -laajennuksessa liitettyjen järjestelmätaulukoiden alla.

Liitettyjen taulukoiden käyttäminen Jupyter-muistikirjoissa noudattaa samoja malleja kuin alkuperäiset Järjestelmä-taulukot:

  1. Käytä taulukon koko nimeä: Viitetaulukot -muotoa <tableName>_<connectorInstance> käyttämällä.
  2. Älä määritä työtilan nimeä: Lukutoiminnot eivät edellytä työtilan määritystä.
  3. Vain luku -oikeudet: Liitetyt taulukot ovat vain luku -tilassa. et voi kirjoittaa tietoja takaisin liitettyihin lähteisiin.

Huomautus

Kun olet ottanut tietoliittämisen käyttöön ensimmäisen kerran, voi kestää jopa 24 tuntia, ennen kuin näet liitetyt taulukot Jupyter-muistikirjoissa.

Jupyter-muistikirjatyöt

Voit luoda ajoitettuja Jupyter-muistikirjatöitä, jotka käyttävät liitettyjä taulukoita samalla tavalla kuin muistikirjatyötä alkuperäisille Data Lake -taulukoille:

  1. Kehitä muistikirja liitettyjen taulukkokyselyiden avulla.
  2. Testaa muistikirjaa varmistaaksesi, että liitetyt kyselyt suoritetaan oikein.
  3. Luo työ muistikirjasta.
  4. Määritä työn aikataulu ja parametrit.

Huomautus

Muistikirjatyöt voivat kirjoittaa vain Sentinel työtiloihin tai järjestelmätaulukoihin kohdesijainteina. Et voi kirjoittaa tietoja liitettyihin taulukkoihin.

Parhaat käytännöt

Kyselyn optimointi

  • Ota suodattimet käyttöön aikaisessa vaiheessa: Suodata tiedot lähteessä, kun mahdollista tiedonsiirron vähentämiseksi.
  • Rajoita tulosjoukkoja: Käytä take tai limit lausekkeita kehityksen aikana.
  • Käytä ennusteita: Valitse vain sarakkeet, joita tarvitset suorituskyvyn parantamiseksi.

Esimerkki: Optimoitu kysely

large_dataset_adls_connector
| where EventTime >= ago(1h)           // Filter early
| where EventType == "Login"           // Reduce data volume
| project EventTime, UserId, SourceIP  // Select needed columns
| take 10000                           // Limit results

Liity strategioihin

  • Käytä sopivia liitostyyppejä: Valitse inner, leftoutertai tai rightouter tarpeiden mukaan.
  • Suodatus ennen liittymistä: Pienennä tietojen määrää ennen liitostoimintoja.
  • Harkitse tietojen kokoa: Sijoita pienempi taulukko liitoksen oikealle puolelle.

Virheenkäsittely

  • Tarkista yhteyden tila: Varmista, että liitetyn liittimen esiintymät on yhdistetty ennen kyselyä.
  • Käsittele tyhjäarvot: Ulkoiset tiedot saattavat sisältää odottamattomia tyhjäarvoja. -toiminnolla coalesce() tai isnull() -funktioilla.
  • Valvo kyselyn suorituskykyä: Seuraa liitettyjen kyselyiden suoritusaikoja suorituskykyongelmien tunnistamiseksi.

Vianmääritys

Kysely ei palauta tuloksia

  • Varmista, että yhdistimen esiintymä on yhdistetyssä tilassa.
  • Varmista, että ulkoinen tietolähde on käytettävissä, samoin kuin kyselyssä kohdennetut taulukot.
  • Varmista, että käyttöoikeuksia ei poistettu palvelun päänimestä tai Sentinel kohdennettuun tietolähteeseen perustuvia hallittuja käyttäjätietoja.
  • Tarkista, että käytät oikeaa liitettyä taulukon nimen muotoa.
  • Varmista, että järjestelmätaulukot ovat käytettävissä KQL-kyselyiden tai muistikirjaistunnon siirtymisruudussa.

Kysely on hidas

  • Suodattimien avulla voit vähentää ulkoisista lähteistä haetun tietomäärän määrää.
  • Tarkista ulkoisen lähteen suorituskyky ja käytettävyys.
  • Harkitse usein käytössä olevien tietojen yhteenvetotaulukoiden luomista.

Rakenteen ristiriita

  • Tarkista taulukon rakenne taulukon hallintanäkymässä.
  • Muokkaa kyselyä, jotta voit käsitellä rakenteen eroja.
  • Tarkista, onko ulkoisen taulukon rakenne muuttunut yhdistimen luomisen jälkeen.

MCP-työkaluja ei voi suorittaa liitetyille taulukoille

Varmista, että olet merkinnyt taulukon nimen etuliitteeksi workspace("default"). aina, kun viittaat liitettyihin taulukoiden mcp-työkalun sisällä.

Seuraavat vaiheet

  • Last updated on