Condividi tramite

Usare origini dati federate in Microsoft Sentinel

Dopo aver configurato i connettori dati federati, è possibile accedere alle tabelle federate tramite più interfacce in Microsoft Sentinel. Le tabelle federate vengono usate nello stesso modo di altre tabelle data lake. Questo articolo illustra come visualizzare le tabelle federate, eseguire query usando KQL (linguaggio di query Kusto) e usarle nei notebook di Jupyter.

Prerequisiti

Prima di iniziare, assicurarsi:

Comprendere la denominazione delle tabelle federate

I nomi di tabella federati seguono il modello <tableName>_<connectorInstanceName>. Per esempio:

Nome tabella originale Nome dell'istanza del connettore Nome tabella federata
widgets ADLS01 widgets_ADLS01
sales_data AzureDBX01 sales_data_AzureDBX01
inventory Fabric01 inventory_Fabric01

Se più tabelle nell'istanza del connettore hanno lo stesso nome di tabella, viene aggiunto un identificatore numerico al nome dell'istanza del connettore, ad esempio widgets_ADLS01_1 quando vengono chiamate ADLS01due tabelle all'interno dell'istanza del widgets connettore.

Usare il nome della tabella federata durante l'esecuzione di query sui dati dal data lake di Sentinel.

Visualizzare le tabelle federate nella gestione delle tabelle

La vista gestione tabelle offre una panoramica di tutte le tabelle nel data lake di Sentinel, incluse le tabelle federate.

  1. Passare aTabelle> di >.
  2. Selezionare il filtro Tipo.
  3. Selezionare Federato e selezionare Applica.

Screenshot che mostra la vista gestione tabella filtrata per visualizzare le tabelle federate.

Visualizzare i dettagli della tabella

Selezionare una riga di tabella per aprire il pannello dei dettagli. Il pannello contiene tre schede:

Tab Descrizione
Sintesi Informazioni di base sulla tabella federata, inclusi il tipo di origine e lo stato della connessione.
Origini dati Mostra le istanze del connettore che forniscono i dati per questa tabella.
Schema Visualizza le colonne, i tipi di dati e le descrizioni per le colonne della tabella. Gli utenti con autorizzazioni per scrivere nelle tabelle di sistema data lake possono selezionare Aggiorna schema per aggiornare le colonne e altri metadati dello schema dall'origine.

Screenshot che mostra il riquadro espandibile dei dettagli della tabella federata con panoramica, origini dati e schemi.

Eseguire query su tabelle federate usando KQL

La pagina query KQL in Microsoft Sentinel consente di eseguire query su tabelle federate insieme ai dati nativi di Sentinel. Le tabelle federate sono supportate per i job KQL, le query interattive e asincrone e gli strumenti MCP.

  1. Vai a Microsoft Sentinel>esplorazione del Data Lake>query KQL.

  2. Selezionare il pulsante Area di lavoro selezionata nella barra delle informazioni.

  3. Selezionare Tabelle di sistema come una delle aree di lavoro.

  4. Nella scheda Schema espandere la sezione Tabelle di sistema .

  5. Espandere la sezione Tabelle federate .

  6. Trovare il tipo di federazione per l'origine dati, ad esempio Microsoft Fabric, Azure Databricks o Azure Data Lake Storage Gen2.

  7. Espandere il tipo di federazione per visualizzare le tabelle federate.

  8. Espandere una tabella per visualizzarne le colonne.

Annotazioni

A causa dell'ottimizzazione delle prestazioni delle query in KQL, possono essere necessari fino a 15 minuti prima che i nuovi dati in una tabella federata diventino disponibili per la query.

Screenshot che illustra la scheda dello schema delle query KQL con le tabelle federate in espansione.

Scrivere ed eseguire query

Le interrogazioni su tabelle federate funzionano in modo simile alle interrogazioni su tabelle native del data lake, con alcune importanti differenze:

  • È possibile che si verifichi una modifica allo schema di una tabella nell'origine esterna. Ciò può causare un errore durante una query che indica che una colonna non è presente. Aggiornare le colonne nella pagina Gestione tabelle selezionando la tabella federata, selezionando la scheda Schema e selezionando Aggiorna schema.

  • Le tabelle federate senza una TimeGenerated colonna o in cui una TimeGenerated colonna è presente con dati nel formato errato, non può essere usata in Data Lake Explorer per selezionare gli intervalli di tempo usando la selezione ora nell'interfaccia utente. Definire i filtri di data nel corpo di KQL che corrispondono al formato di data della tabella federata.

Creare processi KQL da query federate

È possibile creare processi KQL basati su query che usano tabelle federate:

  1. Scrivere e testare la query KQL usando tabelle federate.
  2. Selezionare il pulsante Crea job nell'angolo in alto a destra del pannello della query.
  3. Configura le impostazioni del processo, inclusa la pianificazione e la destinazione dell'output.
  4. Salvare il lavoro.

Annotazioni

  • La scrittura di dati in una tabella federata non è supportata. L'output KQL viene creato in base agli stessi criteri usati durante la creazione di un processo KQL, e può scrivere su una tabella nuova o esistente in base alla destinazione selezionata.

  • Se le tabelle federate non contengono TimeGenerated colonne o l'output non contiene una TimeGenerated colonna con un valore di data formattato correttamente per ogni riga, le query KQL non funzioneranno nella tabella dopo la creazione nel lake.

Le tabelle federate sono completamente supportate per processi KQL, query asincrone e strumenti MCP.

Creare uno strumento MCP con query di tabella federate

È possibile creare strumenti MCP basati su query che usano tabelle federate:

  1. Scrivi e testa la tua query KQL usando le tabelle federate.

  2. Selezionare il pulsante Salva con nome sopra l'editor di query.

  3. Modificare la query in base alle esigenze, ad esempio parametrizzare i valori.

  4. Per qualsiasi riferimento a una tabella federata, assicurarsi di anteporre workspace("default"). al nome della tabella. Ad esempio, se la tabella è widgets_ADLS01, il codice viene visualizzato workspace("default").widgets_ADLS01 per tale tabella.

  5. Salvare lo strumento.

Usare tabelle federate nei notebook di Jupyter

Le tabelle federate sono accessibili nei notebook di Jupyter tramite l'estensione Vs Code di Microsoft Sentinel.

Nell'estensione VS Code di Microsoft Sentinel le tabelle federate compaiono sotto: Tabelle Lake>Tabelle di sistema>Tabelle federate

Screenshot che mostra le tabelle federate nell'estensione Vs Code di Microsoft Sentinel in Tabelle federate di sistema.

L'uso di tabelle federate nei notebook jupyter segue gli stessi modelli delle tabelle di sistema native:

  1. Usare il nome completo della tabella: tabelle di riferimento usando il <tableName>_<connectorInstance> formato .
  2. Non specificare un nome dell'area di lavoro: le operazioni di lettura non richiedono una specifica dell'area di lavoro.
  3. Accesso in sola lettura: le tabelle federate sono di sola lettura; non è possibile scrivere di nuovo i dati nelle origini federate.

Annotazioni

Dopo aver abilitato la prima federazione dei dati, possono essere necessarie fino a 24 ore prima di visualizzare le tabelle federate nei notebook di Jupyter.

Attività di Jupyter Notebook

È possibile creare processi di Notebook Jupyter pianificati che usano tabelle federate nello stesso modo in cui si creerebbe un processo notebook per le tabelle native di Data Lake:

  1. Sviluppa il tuo notebook con le query delle tabelle federate.
  2. Testare il notebook per assicurarsi che le query federate vengano eseguite correttamente.
  3. Creare un'attività dal notebook.
  4. Configurare la pianificazione e i parametri del processo.

Annotazioni

I processi notebook possono scrivere solo nelle aree di lavoro di Sentinel o nelle tabelle di sistema come destinazioni. Non è possibile scrivere dati in una tabella federata.

Procedure consigliate

Ottimizzazione della query

  • Applicare i filtri in anticipo: filtrare i dati nell'origine quando possibile per ridurre il trasferimento dei dati.
  • Limitare i set di risultati: usare clausole take o limit durante lo sviluppo.
  • Usare le proiezioni: selezionare solo le colonne necessarie per migliorare le prestazioni.

Esempio: Query ottimizzata

large_dataset_adls_connector
| where EventTime >= ago(1h)           // Filter early
| where EventType == "Login"           // Reduce data volume
| project EventTime, UserId, SourceIP  // Select needed columns
| take 10000                           // Limit results

Strategie di join

  • Usare i tipi di join appropriati: scegliere inner, leftoutero rightouter in base alle proprie esigenze.
  • Filtra prima della giunzione: Ridurre il volume di dati prima delle operazioni di join.
  • Prendere in considerazione le dimensioni dei dati: posizionare la tabella più piccola sul lato destro del join.

Gestione degli errori

  • Controllare lo stato della connessione: verificare che le istanze del connettore federato siano connesse prima dell'esecuzione di query.
  • Gestire i valori Null: i dati esterni possono contenere valori Null imprevisti; usare coalesce() o isnull() funzioni.
  • Monitorare le prestazioni delle query: tenere traccia dei tempi di esecuzione per le query federate per identificare i problemi di prestazioni.

Risoluzione dei problemi

La query non restituisce risultati

  • Verificare che l'istanza del connettore sia nello stato di connessione.
  • Verificare che l'origine dati esterna sia disponibile, insieme alle tabelle di destinazione nella query.
  • Verifica che le autorizzazioni non siano state rimosse dall'entità servizio o dall'identità gestita di Sentinel in relazione all'origine dati di destinazione.
  • Verificare di usare il formato corretto del nome della tabella federata.
  • Assicurarsi che le Tabelle di Sistema siano disponibili nel riquadro di spostamento per le query KQL o la sessione Notebook.

La query è lenta

  • Applicare filtri per ridurre il volume di dati sottoposto a query da origini esterne.
  • Controllare le prestazioni e la disponibilità dell'origine esterna.
  • Prendere in considerazione la creazione di tabelle di riepilogo per i dati a cui si accede di frequente.

Incompatibilità dello schema

  • Esaminare lo schema della tabella nella vista di gestione delle tabelle.
  • Modificare la query per gestire le differenze di schema.
  • Controllare se lo schema della tabella esterna è stato modificato dopo la creazione del connettore.

Non è possibile eseguire gli strumenti MCP per le tabelle federate

Assicurarsi di anteporre il prefisso al nome workspace("default"). della tabella ovunque si faccia riferimento a una tabella federata all'interno dello strumento MCP.

Passaggi successivi

  • Last updated on