Bruk forbundsdatakilder i Microsoft Sentinel

Når du har konfigurert forbundsdatakoblinger, kan du få tilgang til de organisasjonsbaserte tabellene gjennom flere grensesnitt i Microsoft Sentinel. Forbundstabeller brukes på samme måte som andre datasjøtabeller. Denne artikkelen forklarer hvordan du viser tabeller i forbund, spør dem ved hjelp av KQL (Kusto Query Language), og arbeider med dem i Jupyter-notatblokker.

Forutsetninger

Før du begynner, må du sørge for at:

Forstå navngivning av forbundstabell

Tabellnavn i organisasjonsforbund følger mønsteret <tableName>_<connectorInstanceName>. Eksempel:

Opprinnelig tabellnavn Navn på koblingsforekomst Navn på organisasjonsbasert tabell
widgets ADLS01 widgets_ADLS01
sales_data AzureDBX01 sales_data_AzureDBX01
inventory Fabric01 inventory_Fabric01

Hvis flere tabeller i koblingsforekomsten har samme tabellnavn, legges en numerisk identifikator til navnet på koblingsforekomsten, for eksempel når to tabeller i ADLS01 koblingsforekomsten widgets_ADLS01_1 kalles widgets.

Bruk tabellnavnet i forbund når du spør etter data fra Sentinel datasjøen.

Vis forbundstabeller i tabellbehandling

Tabellbehandlingsvisningen gir en oversikt over alle tabeller i Sentinel datasjøen, inkludert tabeller i forbund.

  1. Gå til Microsoft Sentinel>Konfigureringstabeller>.
  2. Velg Type-filteret .
  3. Velg Organisasjonsforbund, og velg Bruk.

Skjermbilde som viser tabellbehandlingsvisningen filtrert for å vise tabeller i forbund.

Vis tabelldetaljer

Velg en tabellrad for å åpne detaljpanelet. Panelet inneholder tre faner:

Tab Beskrivelse
Oversikt Grunnleggende informasjon om den samlede tabellen, inkludert kildetype og tilkoblingsstatus.
Datakilder Viser hvilke koblingsforekomster som inneholder data for denne tabellen.
Skjemaet Viser kolonnene, datatypene og beskrivelsene for kolonnene i tabellen. Brukere med tillatelse til å skrive til data lake System-tabeller kan velge Oppdater skjema for å oppdatere kolonner og andre skjemametadata fra kilden.

Skjermbilde som viser undermenyen for tabelldetaljer i forbund med oversikt, datakilder og skjemafaner.

Spørringssamlede tabeller ved hjelp av KQL

KQL-spørringssiden i Microsoft Sentinel lar deg spørre i forbundstabeller sammen med opprinnelige Sentinel data. Organisasjonsbaserte tabeller støttes for KQL-jobber, interaktive og aynkrone spørringer og MCP-verktøy.

  1. Naviger til Microsoft Sentinel>Data Lake Exploration>KQL-spørringer.

  2. Velg Knappen Valgt arbeidsområde på informasjonslinjen.

  3. Velg Systemtabeller som ett av arbeidsområdene.

  4. Utvid Systemtabeller-delenSkjema-fanen.

  5. Utvid delen For samlede tabeller .

  6. Finn forbundstypen for datakilden, for eksempel Microsoft Fabric, Azure Databricks eller Azure Data Lake Storage Gen2.

  7. Utvid forbundstypen for å se tabellene i organisasjonsforbundet.

  8. Utvid en tabell for å vise kolonnene.

Obs!

På grunn av ytelsesoptimalisering for spørringer i KQL kan det ta opptil 15 minutter før nye data i en forbundstabell blir tilgjengelige for spørring.

Skjermbilde som viser KQL-spørringsskjemafanen med organisasjonstabeller utvidet.

Skrive og kjøre spørringer

Spørringer mot forbundstabeller fungerer som spørringer mot opprinnelige innsjøtabeller med noen viktige forskjeller:

  • Det er mulig at det oppstår en endring i skjemaet for en tabell i den eksterne kilden. Dette kan føre til en feil under en spørring som angir at en kolonne ikke finnes. Oppdater kolonner på tabellbehandlingssiden ved å velge tabellen i forbund, velge Skjema-fanen og velge Oppdater skjema.

  • Organisasjonsbaserte tabeller uten en TimeGenerated kolonne, eller der en TimeGenerated kolonne finnes med data i feil format, kan ikke brukes i Data Lake Explorer til å velge tidsområder ved hjelp av tidsvelgeren i brukergrensesnittet. Definer datofiltre i brødteksten i KQL som samsvarer med datoformatet til den samlede tabellen.

Opprett KQL-jobber fra spørringer i forbund

Du kan opprette KQL-jobber basert på spørringer som bruker forbundstabeller:

  1. Skriv og test KQL-spørringen ved hjelp av forbundstabeller.
  2. Velg Opprett jobb-knappen øverst til høyre i spørringspanelet.
  3. Konfigurer jobbinnstillingene, inkludert tidsplan- og utdatamålet.
  4. Lagre jobben.

Obs!

  • Skriving av data til en samlet tabell støttes ikke. KQL-utdata opprettes basert på de samme vilkårene som brukes i dag når du oppretter en KQL-jobb, der den kan skrive ut til en ny eller eksisterende tabell basert på det valgte målet.

  • Hvis forbundstabeller ikke inneholder TimeGenerated kolonner, eller utdataene ikke inneholder en TimeGenerated kolonne med en riktig formatert datoverdi for hver rad, vil ikke KQL-spørringer fungere på tabellen når den er opprettet i innsjøen.

Organisasjonsbaserte tabeller støttes fullstendig for KQL-jobber, aynkrone spørringer og MCP-verktøy.

Opprett MCP-verktøy med tabellspørringer i forbund

Du kan opprette MCP-verktøy basert på spørringer som bruker forbundstabeller:

  1. Skriv og test KQL-spørringen ved hjelp av forbundstabeller.

  2. Velg Lagre som-verktøyknappen over redigeringsprogrammet for spørring.

  3. Juster spørringen etter behov, for eksempel parameterverdier.

  4. Hvis du vil ha en referanse til en forbundstabell, må du sørge for at du prefikser tabellnavnet med workspace("default").. Hvis for eksempel tabellen var widgets_ADLS01det, vises workspace("default").widgets_ADLS01 koden for tabellen.

  5. Lagre verktøyet.

Bruke tabeller i forbund i Jupyter-notatblokker

Tabeller i organisasjonsforbund er tilgjengelige i Jupyter-notatblokker gjennom Microsoft Sentinel VS Code-utvidelsen.

I Microsoft Sentinel VS Code-utvidelsen vises forbundstabeller under:Tabeller i forbundstabeller i Lake-tabeller>>

Skjermbilde som viser forbundstabeller i Microsoft Sentinel VS Code-utvidelsen under Tabeller i organisasjonsforbund.

Arbeid med forbundstabeller i Jupyter-notatblokker følger de samme mønstrene som opprinnelige systemtabeller:

  1. Bruk det fullstendige tabellnavnet: Referansetabeller som bruker <tableName>_<connectorInstance> formatet.
  2. Ikke angi et arbeidsområdenavn: Leseoperasjoner krever ikke et arbeidsområdespesifikasjon.
  3. Skrivebeskyttet tilgang: Tabeller i organisasjonsforbund er skrivebeskyttet, du kan ikke skrive data tilbake til forbundskilder.

Obs!

Når du har aktivert dataforbundet for første gang, kan det ta opptil 24 timer før du ser tabeller i forbund i Jupyter-notatblokker.

Jupyter-notatblokkjobber

Du kan opprette planlagte Jupyter-notatblokkjobber som bruker tabeller i forbund på samme måte som du oppretter en notatblokkjobb for opprinnelige datasjøtabeller:

  1. Utvikle notatblokken med tabellspørringer i forbund.
  2. Test notatblokken for å sikre at spørringer i forbund utføres på riktig måte.
  3. Opprett en jobb fra notatblokken.
  4. Konfigurer jobbtidsplanen og parameterne.

Obs!

Notatblokkjobber kan bare skrive til Sentinel arbeidsområder eller systemtabeller som mål. Du kan ikke skrive data til en forbundstabell.

Anbefalte fremgangsmåter

Spørringsoptimalisering

  • Bruk filtre tidlig: Filtrer data i kilden når det er mulig for å redusere dataoverføring.
  • Begrens resultatsett: Bruk take eller limit setninger under utvikling.
  • Bruk projeksjoner: Velg bare kolonnene du trenger for å forbedre ytelsen.

Eksempel: Optimalisert spørring

large_dataset_adls_connector
| where EventTime >= ago(1h)           // Filter early
| where EventType == "Login"           // Reduce data volume
| project EventTime, UserId, SourceIP  // Select needed columns
| take 10000                           // Limit results

Bli med i strategier

  • Bruk riktige sammenføyningstyper: Velg inner, leftoutereller rightouter basert på behovene dine.
  • Filtrer før sammenføyning: Reduser datavolumet før sammenføyningsoperasjoner.
  • Vurder datastørrelser: Plasser den mindre tabellen på høyre side av sammenføyningen.

Feilbehandling

  • Kontroller tilkoblingsstatus: Kontroller at forbundskoblingsforekomster er tilkoblet før spørring.
  • Håndtere nullverdier: Eksterne data kan inneholde uventede nullverdier. bruk coalesce() eller isnull() funksjoner.
  • Overvåk spørringsytelse: Spor kjøringstider for spørringer i forbund for å identifisere ytelsesproblemer.

Feilsøking

Spørringen returnerer ingen resultater

  • Kontroller at koblingsforekomsten er i en tilkoblet tilstand.
  • Kontroller at den eksterne datakilden er tilgjengelig, sammen med tabellene som er målrettet i spørringen.
  • Kontroller at tillatelser ikke ble fjernet fra tjenestekontohaveren eller Sentinel administrert identitet basert på den målrettede datakilden.
  • Kontroller at du bruker riktig forbundstabellnavnformat.
  • Kontroller at systemtabeller er tilgjengelige i navigasjonsruten for KQL-spørringer eller notatblokkøkt.

Spørringen er treg

  • Bruk filtre for å redusere datavolumet som spørres fra eksterne kilder.
  • Kontroller ytelsen og tilgjengeligheten til den eksterne kilden.
  • Vurder å opprette sammendragstabeller for ofte brukte data.

Skjemakonflikt

  • Se gjennom tabellskjemaet i tabellbehandlingsvisningen.
  • Juster spørringen for å håndtere skjemaforskjeller.
  • Kontroller om det eksterne tabellskjemaet er endret siden koblingen ble opprettet.

Kan ikke kjøre MCP-verktøy for forbundstabeller

Sørg for at du prefikset tabellnavnet med workspace("default"). uansett hvor du refererer til en forbundstabell i MCP-verktøyet.

Neste trinn

  • Last updated on