Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In eerdere artikelen hebt u een doelplatform geselecteerd voor uw historische gegevens. U hebt ook een hulpprogramma geselecteerd om uw gegevens over te dragen en de historische gegevens opgeslagen in een faseringslocatie. U kunt nu beginnen met het opnemen van de gegevens in het doelplatform.
In dit artikel wordt beschreven hoe u uw historische gegevens opneemt in het geselecteerde doelplatform.
Gegevens exporteren uit de verouderde SIEM
In het algemeen kunnen SIEM's gegevens exporteren of dumpen naar een bestand in uw lokale bestandssysteem, zodat u deze methode kunt gebruiken om de historische gegevens te extraheren. Het is ook belangrijk om een faseringslocatie in te stellen voor uw geëxporteerde bestanden. Het hulpprogramma dat u gebruikt om de gegevensopname over te dragen, kan de bestanden van de faseringslocatie naar het doelplatform kopiëren.
In dit diagram ziet u het export- en opnameproces op hoog niveau.
Als u gegevens wilt exporteren uit uw huidige SIEM, raadpleegt u een van de volgende secties:
Opnemen naar Azure Data Explorer
Uw historische gegevens opnemen in Azure Data Explorer (ADX) (optie 1 in het bovenstaande diagram):
- Installeer en configureer LightIngest op het systeem waarop logboeken worden geëxporteerd, of installeer LightIngest op een ander systeem dat toegang heeft tot de geëxporteerde logboeken. LightIngest ondersteunt alleen Windows.
- Als u geen bestaand ADX-cluster hebt, maakt u een nieuw cluster en kopieert u de verbindingsreeks. Meer informatie over het instellen van ADX.
- Maak in ADX tabellen en definieer een schema voor de CSV- of JSON-indeling (voor QRadar). Meer informatie over het maken van een tabel en het definiëren van een schema met voorbeeldgegevens of zonder voorbeeldgegevens.
-
Voer LightIngest uit met het mappad dat de geëxporteerde logboeken als pad bevat en de ADX-verbindingsreeks als uitvoer. Wanneer u LightIngest uitvoert, moet u ervoor zorgen dat u de naam van de ADX-doeltabel opgeeft, dat het argumentpatroon is ingesteld op
*.csven dat de indeling is ingesteld op.csv(ofjsonvoor QRadar).
Gegevens opnemen in Microsoft Sentinel Hulp-/Basic-logboeken
Uw historische gegevens opnemen in Microsoft Sentinel Hulplogboeken of Basislogboeken (optie 2 in het bovenstaande diagram):
Als u geen bestaande Log Analytics-werkruimte hebt, maakt u een nieuwe werkruimte en installeert u Microsoft Sentinel.
Maak een aangepaste logboektabel om de gegevens op te slaan en geef een gegevensvoorbeeld op. In deze stap kunt u ook een transformatie definiëren voordat de gegevens worden opgenomen.
Verzamel gegevens uit de regel voor gegevensverzameling en wijs machtigingen toe aan de regel.
Voer het script Aangepaste logboekopname uit. Het script vraagt om de volgende details:
- Pad naar de logboekbestanden die moeten worden opgenomen
- tenant-id Microsoft Entra
- Toepassings-id
- Toepassingsgeheim
- DCE-eindpunt (gebruik de eindpunt-URI voor logboekopname voor de DCR)
- Onveranderbare DCR-id
- Naam van gegevensstroom uit de DCR
Het script retourneert het aantal gebeurtenissen dat naar de werkruimte is verzonden.
Opnemen naar Azure Blob Storage
Uw historische gegevens opnemen in Azure Blob Storage (optie 3 in het bovenstaande diagram):
- Installeer en configureer AzCopy op het systeem waarnaar u de logboeken hebt geëxporteerd. U kunt ook AzCopy installeren op een ander systeem dat toegang heeft tot de geëxporteerde logboeken.
- Maak een Azure Blob Storage-account en kopieer de geautoriseerde Microsoft Entra ID referenties of het Shared Access Signature-token.
- Voer AzCopy uit met het mappad dat de geëxporteerde logboeken als bron bevat en de Azure Blob Storage verbindingsreeks als uitvoer.
Volgende stappen
In dit artikel hebt u geleerd hoe u uw gegevens opneemt in het doelplatform.