Microsoft Sentinel 中的自定义数据引入和转换

Azure Monitor 日志用作Microsoft Sentinel的数据平台。 引入到 Microsoft Sentinel 中的所有日志都存储在 Log Analytics 工作区中，以 Kusto 查询语言 (KQL) 编写的日志查询用于检测威胁和监视网络活动。

Log Analytics 通过自定义数据引入和 数据收集规则 (DCR) 提供对引入工作区的数据的高级别控制。 DCR 允许在将数据存储在工作区中之前收集和操作数据。 DCR 既格式化数据，又将数据发送到标准 Log Analytics 表，以及生成唯一日志格式的数据源的可自定义表。

可以在引入时对数据应用筛选和拆分转换，以减少干扰并将数据路由到适当的存储层。 这些转换不需要创建 DCR，在 Defender 门户的Microsoft Sentinel表管理页中定义。 有关详细信息，请参阅Microsoft Sentinel中的筛选和拆分转换。

Azure监视用于Microsoft Sentinel中自定义数据引入的监视工具

Microsoft Sentinel使用以下Azure Monitor 工具来控制自定义数据引入：

• 转换 在 DCR 中定义，并将 KQL 查询应用于传入数据，然后再将其存储在工作区中。 这些转换可以筛选出不相关的数据，使用分析或外部数据扩充现有数据，或者屏蔽敏感信息或个人信息。

• 日志引入 API 允许将自定义格式的日志从任何数据源发送到 Log Analytics 工作区，并将这些日志存储在某些标准表或你创建的自定义格式表中。 你可以完全控制这些自定义表的创建，包括指定列名称和类型。 API 使用 DCR 来定义、配置和应用这些数据流的转换。

Microsoft Sentinel中的 DCR 支持

引入时转换在数据收集规则中定义， (DCR) 控制 Azure Monitor 中的数据流。 DCR 由使用日志引入 API 的基于 AMA 的Sentinel连接器和工作流使用。 每个 DCR 都包含特定数据收集方案的配置，多个连接器或源可以共享单个 DCR。

工作区转换 DCR 支持不使用 DCR 的工作流。 工作区转换 DCR 包含任何 受支持的表 的转换，并应用于发送到该表的所有流量。

有关更多信息，请参阅：

• Azure Monitor 中的数据收集转换
• Azure监视日志中的日志引入 API
• Azure Monitor 中的数据收集规则

用例和示例方案

Azure Monitor 中的示例转换一文为使用 Azure Monitor 中的引入时转换的常见方案提供了说明和示例查询。 对Microsoft Sentinel特别有用的方案包括：

• 降低数据成本。 按行或列筛选数据收集，以减少引入和存储成本。

• 规范化数据。 使用 高级安全信息模型 (ASIM) 规范化日志，以提高规范化查询的性能。 有关详细信息，请参阅 引入时规范化。

• 扩充数据。 通过引入时转换，可以使用添加到配置的 KQL 转换的额外列来扩充数据，从而改进分析。 额外的列可能包括来自现有列的已分析或计算数据。

• 删除敏感数据。 引入时转换可用于屏蔽或删除个人信息，例如屏蔽社会安全号码或信用卡号码的最后一位数字。

Microsoft Sentinel 中的数据引入流

下图显示了引入时数据转换在Microsoft Sentinel中进入数据引入流的位置。 此数据可以是支持的标准表，也可以是 一组特定的自定义表。

此图显示了云管道，该管道表示 Azure Monitor 的数据收集组件。 可以在数据收集规则 (Azure Monitor 中的 DCR) 中了解有关它和其他数据收集方案的详细信息。

Microsoft Sentinel从多个源收集 Log Analytics 工作区中的数据。

• 从日志引入 API 终结点或 Azure Monitor 代理 (AMA) 收集的数据由可能包含引入时转换的特定 DCR 进行处理。
• 使用工作区 DCR 中的硬编码工作流和引入时转换的组合，在 Log Analytics 中处理来自内置数据连接器的数据。

下表描述了对Microsoft Sentinel数据连接器类型的 DCR 支持：

相关内容

有关更多信息，请参阅：

• 在引入时转换或自定义Microsoft Sentinel (预览)
• 在 Microsoft Sentinel 中筛选和拆分转换
• Microsoft Sentinel数据连接器
• 查找Microsoft Sentinel数据连接器