Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Depois de configurar os conectores de dados federados, pode aceder às tabelas federadas através de várias interfaces no Microsoft Sentinel. As tabelas federadas são utilizadas da mesma forma que outras tabelas de data lake. Este artigo explica como ver tabelas federadas, consultar com KQL (Linguagem de Pesquisa Kusto) e trabalhar com elas em blocos de notas do Jupyter.
Pré-requisitos
Antes de começar, certifique-se de que:
- O inquilino tem de estar integrado no data lake Sentinel. Para obter mais informações, veja Integrar no Microsoft Sentinel data lake
- Tem as permissões adequadas para consultar dados no Sentinel data lake. Para obter mais informações, veja Funções e permissões na plataforma Microsoft Sentinel.
Compreender a nomenclatura de tabela federada
Os nomes das tabelas federadas seguem o padrão <tableName>_<connectorInstanceName>. Por exemplo:
| Nome da tabela original | Nome da instância do conector | Nome da tabela federada |
|---|---|---|
widgets |
ADLS01 |
widgets_ADLS01 |
sales_data |
AzureDBX01 |
sales_data_AzureDBX01 |
inventory |
Fabric01 |
inventory_Fabric01 |
Se várias tabelas na instância do conector tiverem o mesmo nome de tabela, é acrescentado um identificador numérico ao nome da instância do conector, por exemplo widgets_ADLS01_1 , quando duas tabelas na instância do ADLS01 conector são chamadas widgets.
Utilize o nome da tabela federada ao consultar dados do data lake Sentinel.
Ver tabelas federadas na gestão de tabelas
A vista de gestão de tabelas fornece uma descrição geral de todas as tabelas no seu Sentinel data lake, incluindo tabelas federadas.
- Navegue para Microsoft Sentinel>Configuração>de Tabelas.
- Selecione o filtro Tipo .
- Selecione Federado e selecione Aplicar.
Ver detalhes da tabela
Selecione uma linha de tabela para abrir o painel de detalhes. O painel contém três separadores:
| Separador | Descrição |
|---|---|
| Descrição geral | Informações básicas sobre a tabela federada, incluindo o tipo de origem e o estado da ligação. |
| Origens de Dados | Mostra que instâncias de conector fornecem dados para esta tabela. |
| Esquema | Apresenta as colunas, tipos de dados e descrições das colunas da tabela. Os utilizadores com permissões para escrever nas tabelas do Data Lake System podem selecionar Atualizar esquema para atualizar colunas e outros metadados de esquema da origem. |
Consultar tabelas federadas com KQL
A página de consultas KQL no Microsoft Sentinel permite-lhe consultar tabelas federadas juntamente com dados Sentinel nativos. As tabelas federadas são suportadas para tarefas KQL, consultas interativas e assíncronas e ferramentas MCP.
Navegue para Microsoft Sentinel> Asconsultas KQL de exploração> do lago de dados.
Selecione o botão Área de trabalho Selecionada na barra de informações.
Selecione Tabelas do Sistema como uma das áreas de trabalho.
No separador Esquema , expanda a secção Tabelas do sistema .
Expanda a secção Tabelas federadas .
Localize o tipo de federação para a sua origem de dados, como o Microsoft Fabric, Azure Databricks ou Azure Data Lake Storage Gen2.
Expanda o tipo de federação para ver as tabelas federadas.
Expanda uma tabela para ver as respetivas colunas.
Nota
Devido à otimização do desempenho de consultas no KQL, pode demorar até 15 minutos para que os novos dados numa tabela federada fiquem disponíveis para consulta.
Escrever e executar consultas
As consultas em tabelas federadas funcionam como consultas em tabelas lake nativas com algumas diferenças importantes:
É possível que ocorra uma alteração ao esquema de uma tabela na origem externa. Isto pode resultar numa falha durante uma consulta que indica que uma coluna não está presente. Atualize as colunas na página Gestão de tabelas selecionando a tabela federada, selecionando o separador Esquema e selecionando Atualizar Esquema.
As tabelas federadas sem uma
TimeGeneratedcoluna ou onde umaTimeGeneratedcoluna está presente com dados no formato errado não podem ser utilizadas no Data Lake Explorer para selecionar intervalos de tempo com o seletor de tempo na interface de utilizador. Defina filtros de data no corpo do KQL que correspondem ao formato de data da tabela federada.
Criar tarefas KQL a partir de consultas federadas
Pode criar tarefas KQL com base em consultas que utilizam tabelas federadas:
- Escreva e teste a consulta KQL com tabelas federadas.
- Selecione o botão Criar tarefa no canto superior direito do painel de consulta.
- Configure as definições da tarefa, incluindo o destino de agendamento e saída.
- Guarde a tarefa.
Nota
A escrita de dados numa tabela federada não é suportada. A saída KQL é criada com base nos mesmos critérios utilizados atualmente ao criar uma tarefa KQL, onde pode escrever numa tabela nova ou existente com base no destino selecionado.
Se as tabelas federadas não tiverem
TimeGeneratedcolunas ou a saída não contiver umaTimeGeneratedcoluna com um valor de data corretamente formatado para cada linha, as consultas KQL não funcionarão na tabela depois de criadas no lake.
As tabelas federadas são totalmente suportadas para tarefas KQL, consultas assíncronas e ferramentas MCP.
Criar ferramenta MCP com consultas de tabela federadas
Pode criar ferramentas MCP com base em consultas que utilizam tabelas federadas:
Escreva e teste a consulta KQL com tabelas federadas.
Selecione o botão Guardar como ferramenta acima do editor de consultas.
Ajuste a consulta conforme necessário, por exemplo, parametrizar valores.
Para qualquer referência de uma tabela federada, certifique-se de que prefixa o nome da tabela com
workspace("default").. Por exemplo, se a tabela forwidgets_ADLS01, o código é apresentadoworkspace("default").widgets_ADLS01para essa tabela.Guarde a ferramenta.
Utilizar tabelas federadas em blocos de notas do Jupyter
As tabelas federadas são acessíveis nos blocos de notas do Jupyter através da extensão Microsoft Sentinel VS Code.
No Microsoft Sentinel extensão do VS Code, as tabelas federadas aparecem em: Tabelas lake Tabelas> dosistema Tabelas>federadas
Trabalhar com tabelas federadas em blocos de notas do Jupyter segue os mesmos padrões que as tabelas nativas do Sistema:
-
Utilize o nome completo da tabela: tabelas de referência com o
<tableName>_<connectorInstance>formato . - Não especifique um nome de área de trabalho: as operações de leitura não requerem uma especificação da área de trabalho.
- Acesso só de leitura: as tabelas federadas são só de leitura; não pode voltar a escrever dados em origens federadas.
Nota
Depois de ativar a federação de dados pela primeira vez, pode demorar até 24 horas até ver tabelas federadas nos blocos de notas do Jupyter.
Tarefas de blocos de notas do Jupyter
Pode criar tarefas de blocos de notas do Jupyter agendadas que utilizem tabelas federadas da mesma forma que criaria uma tarefa de bloco de notas para tabelas nativas do Data Lake:
- Desenvolva o seu bloco de notas com consultas de tabela federadas.
- Teste o bloco de notas para garantir que as consultas federadas são executadas corretamente.
- Crie uma tarefa a partir do bloco de notas.
- Configure o agendamento e os parâmetros da tarefa.
Nota
As tarefas do bloco de notas só podem ser escritas em áreas de trabalho Sentinel ou tabelas de sistema como destinos. Não pode escrever dados numa tabela federada.
Best practices
Otimização de consultas
- Aplicar filtros antecipadamente: filtre os dados na origem sempre que possível para reduzir a transferência de dados.
-
Limitar conjuntos de resultados: utilize
takeoulimitcláusulas durante o desenvolvimento. - Utilizar projeções: selecione apenas as colunas de que precisa para melhorar o desempenho.
Exemplo: Consulta otimizada
large_dataset_adls_connector
| where EventTime >= ago(1h) // Filter early
| where EventType == "Login" // Reduce data volume
| project EventTime, UserId, SourceIP // Select needed columns
| take 10000 // Limit results
Estratégias de associação
-
Utilize tipos de associação adequados: selecione
inner,leftouterourightoutercom base nas suas necessidades. - Filtrar antes de associar: reduza o volume de dados antes das operações de associação.
- Considere os tamanhos dos dados: coloque a tabela mais pequena no lado direito da associação.
Processamento de erros
- Verificar o estado da ligação: verifique se as instâncias do conector federado estão ligadas antes de consultar.
-
Processar valores nulos: os dados externos podem conter valores nulos inesperados; utilizar
coalesce()ouisnull()funções. - Monitorizar o desempenho das consultas: controle os tempos de execução das consultas federadas para identificar problemas de desempenho.
Resolução de Problemas
A consulta não devolve resultados
- Verifique se a instância do conector está num estado ligado.
- Verifique se a origem de dados externa está disponível, juntamente com as tabelas visadas na consulta.
- Verifique se as permissões não foram removidas do principal de serviço ou Sentinel identidade gerida com base na origem de dados de destino.
- Verifique se está a utilizar o formato de nome de tabela federado correto.
- Certifique-se de que as Tabelas de Sistema estão disponíveis no painel de navegação para as consultas KQL ou sessão do Bloco de Notas.
A consulta está lenta
- Aplique filtros para reduzir o volume de dados consultado a partir de origens externas.
- Verifique o desempenho e a disponibilidade da origem externa.
- Considere criar tabelas de resumo para dados acedidos com frequência.
Erro de correspondência do esquema
- Reveja o esquema da tabela na vista de gestão de tabelas.
- Ajuste a consulta para lidar com as diferenças de esquema.
- Verifique se o esquema da tabela externa foi alterado desde a criação do conector.
Não é possível executar ferramentas MCP para tabelas federadas
Certifique-se de que prefixou o nome da tabela onde workspace("default"). quer que faça referência a uma tabela federada na ferramenta MCP.