Inserire dati cronologici nella piattaforma di destinazione

Negli articoli precedenti è stata selezionata una piattaforma di destinazione per i dati cronologici. È stato anche selezionato uno strumento per trasferire i dati e archiviare i dati cronologici in una posizione di staging. È ora possibile iniziare a inserire i dati nella piattaforma di destinazione.

Questo articolo descrive come inserire i dati cronologici nella piattaforma di destinazione selezionata.

Esportare dati dal SIEM legacy

In generale, i SIEM possono esportare o eseguire il dump dei dati in un file nel file system locale, quindi è possibile usare questo metodo per estrarre i dati cronologici. È anche importante configurare un percorso di staging per i file esportati. Lo strumento usato per trasferire l'inserimento dei dati può copiare i file dal percorso di staging alla piattaforma di destinazione.

Questo diagramma mostra il processo di esportazione e inserimento di alto livello.

Per esportare i dati dal SIEM corrente, vedere una delle sezioni seguenti:

• Esportare dati da ArcSight
• Esportare dati da Splunk
• Esportare dati da QRadar

Inserimento in Azure Esplora dati

Per inserire i dati cronologici in Azure Esplora dati (ADX) (opzione 1 nel diagramma precedente):

1. Installare e configurare LightIngest nel sistema in cui vengono esportati i log oppure installare LightIngest in un altro sistema che ha accesso ai log esportati. LightIngest supporta solo Windows.
2. Se non si dispone di un cluster ADX esistente, creare un nuovo cluster e copiare il stringa di connessione. Informazioni su come configurare ADX.
3. In ADX creare tabelle e definire uno schema per il formato CSV o JSON (per QRadar). Informazioni su come creare una tabella e definire uno schema con dati di esempio o senza dati di esempio.
4. Eseguire LightIngest con il percorso della cartella che include i log esportati come percorso e ADX stringa di connessione come output. Quando si esegue LightIngest, assicurarsi di specificare il nome della tabella ADX di destinazione, che il modello di argomento sia impostato su *.csve che il formato sia impostato su .csv (o json per QRadar).

Inserire dati in Microsoft Sentinel log ausiliari/di base

Per inserire i dati cronologici in Microsoft Sentinel log ausiliari o log di base (opzione 2 nel diagramma precedente):

1. Se non si dispone di un'area di lavoro Log Analytics esistente, creare una nuova area di lavoro e installare Microsoft Sentinel.

2. Creare una registrazione dell'app per l'autenticazione con l'API.

3. Creare una tabella di log personalizzata per archiviare i dati e fornire un esempio di dati. In questo passaggio è anche possibile definire una trasformazione prima dell'inserimento dei dati.

4. Raccogliere informazioni dalla regola di raccolta dati e assegnare le autorizzazioni alla regola.

5. Modificare la tabella da Analisi a Log ausiliari o di base.

6. Eseguire lo script di inserimento log personalizzato. Lo script richiede i dettagli seguenti:

   • Percorso dei file di log da inserire
   • MICROSOFT ENTRA ID tenant
   • ID applicazione
   • Segreto dell'applicazione
   • Endpoint DCE (usare l'URI dell'endpoint di inserimento dei log per il DCR)
   • ID non modificabile DCR
   • Nome del flusso di dati dal DCR

   Lo script restituisce il numero di eventi inviati all'area di lavoro.

Inserimento in Archiviazione BLOB di Azure

Per inserire i dati cronologici in Archiviazione BLOB di Azure (opzione 3 nel diagramma precedente):

1. Installare e configurare AzCopy nel sistema in cui sono stati esportati i log. In alternativa, installare AzCopy in un altro sistema che ha accesso ai log esportati.
2. Creare un account Archiviazione BLOB di Azure e copiare le credenziali di Microsoft Entra ID autorizzate o il token di firma di accesso condiviso.
3. Eseguire AzCopy con il percorso della cartella che include i log esportati come origine e il Archiviazione BLOB di Azure stringa di connessione come output.

Passaggi successivi

In questo articolo si è appreso come inserire i dati nella piattaforma di destinazione.