Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Azure monitorlogger fungerer som dataplattform for Microsoft Sentinel. Alle logger som tas inn i Microsoft Sentinel lagres i et log analytics-arbeidsområde, og loggspørringer skrevet i Kusto Query Language (KQL) brukes til å oppdage trusler og overvåke nettverksaktiviteten.
Log Analytics gir deg en høy grad av kontroll over dataene som blir inntatt til arbeidsområdet med egendefinerte datainntaks- og datainnsamlingsregler (DCR-er). Med DCR-er kan du både samle inn og manipulere dataene før de lagres i arbeidsområdet. DCR-er både formaterer og sender data til både standard Log Analytics-tabeller og tabeller som kan tilpasses for datakilder som produserer unike loggformater.
Filtrer og del transformasjoner kan brukes på data ved inntakstid for å redusere støy og rute data til riktig lagringsnivå. Disse transformasjonene krever ikke at du oppretter en DCR og er definert på tabellbehandlingssiden for Microsoft Sentinel i Defender-portalen. Hvis du vil ha mer informasjon, kan du se Filtrere og dele transformasjoner i Microsoft Sentinel.
Azure Overvåke verktøy for egendefinert datainntak i Microsoft Sentinel
Microsoft Sentinel bruker følgende Azure monitorverktøy til å kontrollere egendefinert datainntak:
Transformasjoner defineres i DCR-er og bruker KQL-spørringer på innkommende data før de lagres i arbeidsområdet. Disse transformasjonene kan filtrere ut irrelevante data, berike eksisterende data med analyser eller eksterne data, eller maskere sensitive eller personlige opplysninger.
Logs-inntaks-API-en lar deg sende egendefinerte formatlogger fra en hvilken som helst datakilde til Log Analytics-arbeidsområdet, og lagre disse loggene enten i bestemte standardtabeller eller i egendefinerte formaterte tabeller som du oppretter. Du har full kontroll over opprettingen av disse egendefinerte tabellene, ned til å angi kolonnenavn og -typer. API-en bruker DCR-er til å definere, konfigurere og bruke transformasjoner på disse dataflytene.
Obs!
Log Analytics-arbeidsområder som er aktivert for Microsoft Sentinel, er ikke underlagt Azure monitorens belastning for filtreringsinntak, uavhengig av hvor mye data transformasjonsfiltrene er. Transformasjoner i Microsoft Sentinel har imidlertid ellers de samme begrensningene som Azure Monitor. Hvis du vil ha mer informasjon, kan du se Begrensninger og vurderinger.
DCR-støtte i Microsoft Sentinel
Inntakstidstransformasjoner er definert i datainnsamlingsregler (DCR-er), som styrer dataflyten i Azure Monitor. DCR-er brukes av AMA-baserte Sentinel koblinger og arbeidsflyter ved hjelp av Logs-inntaks-API-en. Hver DCR inneholder konfigurasjonen for et bestemt scenario for datainnsamling, og flere koblinger eller kilder kan dele én enkelt DCR.
DCR-er for transformasjon av arbeidsområder støtter arbeidsflyter som ellers ikke bruker DCR-er. DCR-er for transformasjon av arbeidsområder inneholder transformasjoner for alle støttede tabeller og brukes på all trafikk som sendes til tabellen.
Hvis du vil ha mer informasjon, kan du se:
- Datainnsamlingstransformasjoner i Azure Monitor
- Logger inntaks-API i Azure overvåkingslogger
- Datainnsamlingsregler i Azure Monitor
Brukstilfeller og eksempelscenarioer
Artikkelen Eksempeltransformasjoner i Azure Monitor gir beskrivelses- og eksempelspørringer for vanlige scenarioer ved hjelp av inntakstidstransformasjoner i Azure Monitor. Scenarioer som er spesielt nyttige for Microsoft Sentinel omfatter:
Redusere datakostnader. Filtrer datainnsamling etter enten rader eller kolonner for å redusere inntaks- og lagringskostnader.
Normaliser data. Normaliser logger med Advanced Security Information Model (ASIM) for å forbedre ytelsen til normaliserte spørringer. Hvis du vil ha mer informasjon, kan du se Inntakstid-normalisering.
Berike data. Med inntakstidstransformasjoner kan du forbedre analyser ved å berike dataene med ekstra kolonner som er lagt til i den konfigurerte KQL-transformasjonen. Ekstra kolonner kan inneholde analyserte eller beregnede data fra eksisterende kolonner.
Fjern sensitive data. Inntakstidstransformasjoner kan brukes til å maskere eller fjerne personlige opplysninger, for eksempel maskere alle, bortsett fra de siste sifrene i et personnummer eller kredittkortnummer.
Datainntaksflyt i Microsoft Sentinel
Bildet nedenfor viser hvor datatransformasjon for inntakstid legger inn datainntaksflyten i Microsoft Sentinel. Disse dataene kan støttes standardtabeller eller i et bestemt sett med egendefinerte tabeller.
Dette bildet viser skysamlebåndet, som representerer datainnsamlingskomponenten for Azure Monitor. Du kan lære mer om det sammen med andre datainnsamlingsscenarioer i datainnsamlingsregler (DCR-er) i Azure Monitor.
Microsoft Sentinel samler inn data i Log Analytics-arbeidsområdet fra flere kilder.
- Data som samles inn fra logginntaks-API-endepunktet eller Azure Monitor-agenten (AMA), behandles av en bestemt DCR som kan inkludere en inntakstidstransformasjon.
- Data fra innebygde datakoblinger behandles i Log Analytics ved hjelp av en kombinasjon av hardkodede arbeidsflyter og inntakstidstransformasjoner i arbeidsområdet DCR.
Tabellen nedenfor beskriver DCR-støtte for Microsoft Sentinel datakoblingstyper:
| Datakoblingstype | DCR-støtte |
|---|---|
|
logger for Azure monitoragent (AMA), for eksempel: |
Én eller flere DCR-er knyttet til agenten |
| Direkteinntak via Logs-inntaks-API | DCR angitt i API-kall |
|
Innebygd, API-basert datakobling, for eksempel: |
DCR opprettet for kobling |
| Diagnostiske innstillinger-baserte tilkoblinger | DCR for transformasjon av arbeidsområde med støttede utdatatabeller |
|
Innebygde API-baserte datakoblinger, for eksempel: |
Støttes ikke for øyeblikket |
|
Innebygde tjeneste-til-tjeneste-datakoblinger, for eksempel: |
DCR for transformasjon av arbeidsområde for tabeller som støtter transformasjoner |
Beslektet innhold
Hvis du vil ha mer informasjon, kan du se: