Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Dans les articles précédents, vous avez sélectionné une plateforme cible pour vos données historiques. Vous avez également sélectionné un outil pour transférer vos données et stocké les données historiques dans un emplacement intermédiaire. Vous pouvez maintenant commencer à ingérer les données dans la plateforme cible.
Cet article explique comment ingérer vos données historiques dans la plateforme cible sélectionnée.
Exporter des données à partir du SIEM hérité
En règle générale, les cartes SIM peuvent exporter ou vider des données dans un fichier de votre système de fichiers local. Vous pouvez donc utiliser cette méthode pour extraire les données historiques. Il est également important de configurer un emplacement intermédiaire pour vos fichiers exportés. L’outil que vous utilisez pour transférer l’ingestion des données peut copier les fichiers de l’emplacement intermédiaire vers la plateforme cible.
Ce diagramme montre le processus d’exportation et d’ingestion de haut niveau.
Pour exporter des données à partir de votre SIEM actuel, consultez l’une des sections suivantes :
- Exporter des données à partir d’ArcSight
- Exporter des données à partir de Splunk
- Exporter des données à partir de QRadar
Ingérer pour Azure Data Explorer
Pour ingérer vos données historiques dans Azure Data Explorer (ADX) (option 1 dans le diagramme ci-dessus) :
- Installez et configurez LightIngest sur le système où les journaux sont exportés, ou installez LightIngest sur un autre système qui a accès aux journaux exportés. LightIngest prend uniquement en charge Windows.
- Si vous n’avez pas de cluster ADX existant, créez un cluster et copiez le chaîne de connexion. Découvrez comment configurer ADX.
- Dans ADX, créez des tables et définissez un schéma pour le format CSV ou JSON (pour QRadar). Découvrez comment créer une table et définir un schéma avec des exemples de données ou sans exemple de données.
-
Exécutez LightIngest avec le chemin du dossier qui inclut les journaux exportés comme chemin d’accès et le chaîne de connexion ADX comme sortie. Lorsque vous exécutez LightIngest, assurez-vous de fournir le nom de la table ADX cible, que le modèle d’argument est défini sur
*.csvet que le format est défini sur.csv(oujsonpour QRadar).
Ingérer des données dans Microsoft Sentinel journaux auxiliaires/de base
Pour ingérer vos données historiques dans Microsoft Sentinel journaux auxiliaires ou journaux de base (option 2 dans le diagramme ci-dessus) :
Si vous n’avez pas d’espace de travail Log Analytics existant, créez-en un et installez Microsoft Sentinel.
Créez une inscription d’application pour vous authentifier auprès de l’API.
Créez une table de journal personnalisée pour stocker les données et fournissez un exemple de données. Dans cette étape, vous pouvez également définir une transformation avant l’ingestion des données.
Collectez des informations à partir de la règle de collecte de données et attribuez des autorisations à la règle.
Remplacez la table par Les journaux auxiliaires ou de base de la table.
Exécutez le script d’ingestion des journaux personnalisés. Le script demande les détails suivants :
- Chemin des fichiers journaux à ingérer
- ID de locataire Microsoft Entra
- ID de l’application
- Secret de l’application
- Point de terminaison DCE (Utiliser l’URI du point de terminaison d’ingestion des journaux pour la DCR)
- ID immuable DCR
- Nom du flux de données à partir de la DCR
Le script retourne le nombre d’événements qui ont été envoyés à l’espace de travail.
Ingérer pour Stockage Blob Azure
Pour ingérer vos données historiques dans Stockage Blob Azure (option 3 dans le diagramme ci-dessus) :
- Installez et configurez AzCopy sur le système vers lequel vous avez exporté les journaux. Vous pouvez également installer AzCopy sur un autre système qui a accès aux journaux exportés.
- Créez un compte Stockage Blob Azure et copiez les informations d’identification Microsoft Entra ID autorisées ou le jeton de signature d’accès partagé.
- Exécutez AzCopy avec le chemin du dossier qui inclut les journaux exportés comme source et le Stockage Blob Azure chaîne de connexion comme sortie.
Étapes suivantes
Dans cet article, vous avez appris à ingérer vos données dans la plateforme cible.