Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment configurer la transformation des données au moment de l’ingestion et l’ingestion de journal personnalisée à utiliser dans Microsoft Sentinel.
La transformation des données au moment de l’ingestion offre aux clients davantage de contrôle sur les données ingérées. En complément des workflows préconfigurés et codés en dur qui créent des tables standardisées, la transformation du temps d’ingestion ajoute la possibilité de filtrer et d’enrichir les tables de sortie, même avant d’exécuter des requêtes. L’ingestion des journaux personnalisés utilise l’API de journal personnalisé pour normaliser les journaux au format personnalisé afin qu’ils puissent être ingérés dans certaines tables standard, ou pour créer des tables de sortie personnalisées avec des schémas définis par l’utilisateur pour ingérer ces journaux personnalisés.
Ces deux mécanismes sont configurés à l’aide de règles de collecte de données (DCR), soit dans le portail Log Analytics, soit via une API ou un modèle ARM. Cet article vous aidera à choisir le type de DCR dont vous avez besoin pour votre connecteur de données particulier et vous dirigera vers les instructions pour chaque scénario.
Configuration requise
Avant de commencer à configurer des DCR pour la transformation des données :
En savoir plus sur la transformation des données et les DCR dans Azure Monitor et Microsoft Sentinel. Pour plus d’informations, reportez-vous aux rubriques suivantes :
Vérifiez la prise en charge du connecteur de données. Assurez-vous que vos connecteurs de données sont pris en charge pour la transformation des données.
Dans notre article de référence sur les connecteurs de données, case activée la section de votre connecteur de données pour comprendre les types de DCR pris en charge. Poursuivez dans cet article pour comprendre comment le type de DCR que vous sélectionnez affecte le reste du processus d’ingestion et de transformation.
Déterminer vos besoins
| Si vous ingérez | La transformation au moment de l’ingestion est... | Utiliser ce type de DCR |
|---|---|---|
|
Données personnalisées via l’API d’ingestion des journaux |
DCR Standard | |
|
Types de données intégrés (Syslog, CommonSecurityLog, WindowsEvent, SecurityEvent) à l’aide de l’agent Azure Monitor |
DCR Standard | |
|
Types de données intégrés à partir de la plupart des autres sources |
DCR de transformation d’espace de travail |
Configurer votre transformation de données
Utilisez les procédures suivantes de la documentation Log Analytics et Azure Monitor pour configurer vos DCR de transformation de données :
Ingestion directe via l’API d’ingestion des journaux :
- Parcourez un tutoriel pour ingérer des journaux à l’aide de la Portail Azure.
- Parcourez un tutoriel pour ingérer des journaux à l’aide de modèles Azure Resource Manager (ARM) et de l’API REST.
Transformations de l’espace de travail :
- Parcourez un tutoriel pour configurer la transformation de l’espace de travail à l’aide de la Portail Azure.
- Parcourez un tutoriel sur la configuration de la transformation de l’espace de travail à l’aide de modèles Azure Resource Manager (ARM) et de l’API REST.
En savoir plus sur les règles de collecte de données :
- Structure d’une règle de collecte de données dans Azure Monitor (préversion)
- Transformations de collecte de données dans Azure Monitor (préversion)
Lorsque vous avez terminé, revenez à Microsoft Sentinel pour vérifier que vos données sont ingérées en fonction de la transformation que vous venez de configurer. L’application des configurations de transformation de données peut prendre jusqu’à 60 minutes.
Migrer vers la transformation des données au moment de l’ingestion
Si vous disposez actuellement de connecteurs de données Microsoft Sentinel personnalisés ou de connecteurs de données intégrés basés sur une API, vous pouvez migrer vers l’utilisation de la transformation des données au moment de l’ingestion.
Appliquez l’une des méthodes suivantes :
Configurez une DCR pour définir, à partir de zéro, l’ingestion personnalisée de votre source de données vers une nouvelle table. Vous pouvez utiliser cette option si vous souhaitez utiliser un nouveau schéma qui n’a pas les suffixes de colonne actuels et qui ne nécessite pas de fonctions KQL au moment de la requête pour normaliser vos données.
Une fois que vous avez vérifié que vos données sont correctement ingérées dans la nouvelle table, vous pouvez supprimer la table héritée, ainsi que votre connecteur de données personnalisé hérité.
Continuez à utiliser la table personnalisée créée par votre connecteur de données personnalisé. Vous pouvez utiliser cette option si vous avez un grand nombre de contenus de sécurité personnalisés créés pour votre table existante. Dans ce cas, consultez Migrer à partir de l’API Collecteur de données et des tables avec champs personnalisés vers des journaux personnalisés basés sur DCR dans la documentation Azure Monitor.
Étapes suivantes
Pour plus d’informations sur la transformation des données et les DCR, consultez :
- Ingestion et transformation de données personnalisées dans Microsoft Sentinel (préversion)
- Transformations de collecte de données dans les journaux Azure Monitor (préversion)
- API d’ingestion des journaux dans les journaux Azure Monitor (préversion)
- Structure d’une règle de collecte de données dans Azure Monitor (préversion)
- Configurer la collecte de données pour l’agent Azure Monitor