Aangepaste gegevensopname en transformatie in Microsoft Sentinel

Azure MonitorLogboeken fungeert als het gegevensplatform voor Microsoft Sentinel. Alle logboeken die worden opgenomen in Microsoft Sentinel worden opgeslagen in een Log Analytics-werkruimte en logboekquery's die zijn geschreven in Kusto-querytaal (KQL), worden gebruikt om bedreigingen te detecteren en uw netwerkactiviteit te bewaken.

Log Analytics biedt u een hoge mate van controle over de gegevens die worden opgenomen in uw werkruimte met aangepaste gegevensopname- en gegevensverzamelingsregels (DCR's). Met DCR's kunt u uw gegevens verzamelen en manipuleren voordat deze in uw werkruimte worden opgeslagen. DDR's maken en verzenden gegevens naar zowel standaard Log Analytics-tabellen als aanpasbare tabellen voor gegevensbronnen die unieke logboekindelingen produceren.

Filter- en splitstransformaties kunnen worden toegepast op gegevens tijdens opname om ruis te verminderen en gegevens naar de juiste opslaglaag te routeren. Voor deze transformaties hoeft u geen DCR te maken. Deze worden gedefinieerd op de tabelbeheerpagina van de Microsoft Sentinel in de Defender-portal. Zie Transformaties filteren en splitsen in Microsoft Sentinel voor meer informatie.

Azure Hulpprogramma's voor aangepaste gegevensopname in Microsoft Sentinel

Microsoft Sentinel gebruikt de volgende Azure Monitor-hulpprogramma's om aangepaste gegevensopname te beheren:

• Transformaties worden gedefinieerd in DDR's en passen KQL-query's toe op binnenkomende gegevens voordat deze worden opgeslagen in uw werkruimte. Deze transformaties kunnen irrelevante gegevens filteren, bestaande gegevens verrijken met analyses of externe gegevens, of gevoelige of persoonlijke informatie maskeren.

• Met de Logboekopname-API kunt u logboeken in aangepaste indeling van elke gegevensbron naar uw Log Analytics-werkruimte verzenden en deze logboeken opslaan in bepaalde standaardtabellen of in tabellen in aangepaste indeling die u maakt. U hebt volledige controle over het maken van deze aangepaste tabellen, tot aan het opgeven van de kolomnamen en -typen. De API gebruikt DDR's om transformaties op deze gegevensstromen te definiëren, te configureren en toe te passen.

DCR-ondersteuning in Microsoft Sentinel

Opnametijdtransformaties worden gedefinieerd in gegevensverzamelingsregels (DCR's) die de gegevensstroom in Azure Monitor beheren. DCR's worden gebruikt door op AMA gebaseerde Sentinel-connectors en werkstromen met behulp van de logboekopname-API. Elke DCR bevat de configuratie voor een bepaald scenario voor gegevensverzameling en meerdere connectors of bronnen kunnen één DCR delen.

DDR's voor werkruimtetransformatie ondersteunen werkstromen die anders geen DDR's gebruiken. Werkruimtetransformatie-DCR's bevatten transformaties voor ondersteunde tabellen en worden toegepast op al het verkeer dat naar die tabel wordt verzonden.

Zie voor meer informatie:

• Transformaties van gegevensverzameling in Azure Monitor
• Logboekopname-API in Azure Logboeken bewaken
• Regels voor gegevensverzameling in Azure Monitor

Gebruiksvoorbeelden en voorbeeldscenario's

Het artikel Voorbeeldtransformaties in Azure Monitor bevat beschrijvingen en voorbeeldquery's voor veelvoorkomende scenario's met behulp van opnametijdtransformaties in Azure Monitor. Scenario's die met name nuttig zijn voor Microsoft Sentinel zijn:

• Verlaag de gegevenskosten. Filter gegevensverzameling op rijen of kolommen om opname- en opslagkosten te verlagen.

• Gegevens normaliseren. Normaliseer logboeken met het Advanced Security Information Model (ASIM) om de prestaties van genormaliseerde query's te verbeteren. Zie Normalisatie van opnametijd voor meer informatie.

• Gegevens verrijken. Met opnametijdtransformaties kunt u de analyse verbeteren door uw gegevens te verrijken met extra kolommen die zijn toegevoegd aan de geconfigureerde KQL-transformatie. Extra kolommen kunnen geparseerde of berekende gegevens uit bestaande kolommen bevatten.

• Gevoelige gegevens verwijderen. Opnametijdtransformaties kunnen worden gebruikt om persoonlijke gegevens te maskeren of te verwijderen, zoals het maskeren van alle cijfers behalve de laatste cijfers van een burgerservicenummer of creditcardnummer.

Gegevensopnamestroom in Microsoft Sentinel

In de volgende afbeelding ziet u waar de gegevenstransformatie voor opnametijd de gegevensopnamestroom in Microsoft Sentinel binnenkomt. Deze gegevens kunnen worden ondersteund in standaardtabellen of in een specifieke set aangepaste tabellen.

In deze afbeelding ziet u de cloudpijplijn, die het onderdeel voor gegevensverzameling van Azure Monitor vertegenwoordigt. Meer informatie hierover vindt u samen met andere scenario's voor gegevensverzameling in Regels voor gegevensverzameling (DCR's) in Azure Monitor.

Microsoft Sentinel verzamelt gegevens in de Log Analytics-werkruimte uit meerdere bronnen.

• Gegevens die zijn verzameld van het api-eindpunt voor logboekopname of Azure Monitor-agent (AMA), worden verwerkt door een specifieke DCR die een opnametijdtransformatie kan bevatten.
• Gegevens van ingebouwde gegevensconnectors worden verwerkt in Log Analytics met behulp van een combinatie van vastgelegde werkstromen en opnametijdtransformaties in de DCR van de werkruimte.

In de volgende tabel wordt DCR-ondersteuning voor Microsoft Sentinel gegevensconnectortypen beschreven:

Verwante onderwerpen

Zie voor meer informatie:

• Gegevens transformeren of aanpassen tijdens opname in Microsoft Sentinel (preview)
• Transformaties filteren en splitsen in Microsoft Sentinel
• Microsoft Sentinel gegevensconnectors
• Uw Microsoft Sentinel-gegevensconnector zoeken