Usare origini dati federate in Microsoft Sentinel

Dopo aver configurato i connettori dati federati, è possibile accedere alle tabelle federate tramite più interfacce in Microsoft Sentinel. Le tabelle federate vengono usate allo stesso modo delle altre tabelle data lake. Questo articolo illustra come visualizzare le tabelle federate, eseguire query su di esse usando KQL (Linguaggio di query Kusto) e usarle nei notebook di Jupyter.

Prerequisiti

Prima di iniziare, assicurarsi:

Informazioni sulla denominazione delle tabelle federate

I nomi di tabella federati seguono il modello <tableName>_<connectorInstanceName>. Ad esempio:

Nome tabella originale Nome dell'istanza del connettore Nome tabella federata
widgets ADLS01 widgets_ADLS01
sales_data AzureDBX01 sales_data_AzureDBX01
inventory Fabric01 inventory_Fabric01

Se più tabelle nell'istanza del connettore hanno lo stesso nome di tabella, viene aggiunto un identificatore numerico al nome dell'istanza del connettore, ad esempio widgets_ADLS01_1 quando vengono chiamate widgetsdue tabelle all'interno dell'istanza del ADLS01 connettore.

Usare il nome della tabella federata quando si eseguono query sui dati dal data lake Sentinel.

Visualizzare le tabelle federate nella gestione delle tabelle

La visualizzazione gestione tabelle offre una panoramica di tutte le tabelle nel data lake Sentinel, incluse le tabelle federate.

  1. Passare a Microsoft Sentinel>Configurazione>tabelle.
  2. Selezionare il filtro Tipo .
  3. Selezionare Federated (Federated) e quindi Apply (Applica).

Screenshot che mostra la visualizzazione gestione tabelle filtrata per visualizzare le tabelle federate.

Visualizzare i dettagli della tabella

Selezionare una riga di tabella per aprire il pannello dei dettagli. Il pannello contiene tre schede:

Scheda Descrizione
Panoramica Informazioni di base sulla tabella federata, inclusi il tipo di origine e lo stato della connessione.
Origini dati Mostra le istanze del connettore che forniscono i dati per questa tabella.
Schema Visualizza le colonne, i tipi di dati e le descrizioni per le colonne della tabella. Gli utenti con autorizzazioni di scrittura nelle tabelle di sistema data lake possono selezionare Aggiorna schema per aggiornare le colonne e altri metadati dello schema dall'origine.

Screenshot che mostra il riquadro a comparsa dei dettagli della tabella federata con panoramica, origini dati e schede dello schema.

Eseguire query sulle tabelle federate usando KQL

La pagina query KQL in Microsoft Sentinel consente di eseguire query sulle tabelle federate insieme ai dati Sentinel nativi. Le tabelle federate sono supportate per processi KQL, query interattive e asincrone e strumenti MCP.

  1. Passare a Microsoft Sentinel> QueryKQL di esplorazione> del data lake.

  2. Selezionare il pulsante Area di lavoro selezionata nella barra delle informazioni.

  3. Selezionare Tabelle di sistema come una delle aree di lavoro.

  4. Nella scheda Schema espandere la sezione Tabelle di sistema .

  5. Espandere la sezione Tabelle federate .

  6. Trovare il tipo di federazione per l'origine dati, ad esempio Microsoft Fabric, Azure Databricks o Azure Data Lake Storage Gen2.

  7. Espandere il tipo di federazione per visualizzare le tabelle federate.

  8. Espandere una tabella per visualizzarne le colonne.

Nota

A causa dell'ottimizzazione delle prestazioni delle query in KQL, possono essere necessari fino a 15 minuti prima che i nuovi dati in una tabella federata diventino disponibili per la query.

Screenshot che mostra la scheda dello schema delle query KQL con le tabelle federate espanse.

Scrivere ed eseguire query

Le query su tabelle federate funzionano come le query su tabelle lake native con alcune differenze importanti:

  • È possibile che si verifichi una modifica allo schema di una tabella nell'origine esterna. Ciò può causare un errore durante una query che indica che una colonna non è presente. Aggiornare le colonne nella pagina Gestione tabelle selezionando la tabella federata, selezionando la scheda Schema e selezionando Aggiorna schema.

  • Le tabelle federate senza una TimeGenerated colonna o in cui una TimeGenerated colonna è presente con dati nel formato errato non possono essere usate in Esplora data lake per selezionare intervalli di tempo usando la selezione ora nell'interfaccia utente. Definire i filtri di data nel corpo del KQL che corrispondono al formato di data della tabella federata.

Creare processi KQL da query federate

È possibile creare processi KQL basati su query che usano tabelle federate:

  1. Scrivere e testare la query KQL usando tabelle federate.
  2. Selezionare il pulsante Crea processo nell'angolo superiore destro del pannello di query.
  3. Configurare le impostazioni del processo, inclusa la pianificazione e la destinazione di output.
  4. Salvare il processo.

Nota

  • La scrittura di dati in una tabella federata non è supportata. L'output KQL viene creato in base agli stessi criteri usati attualmente durante la creazione di un processo KQL, in cui può scrivere in una tabella nuova o esistente in base alla destinazione selezionata.

  • Se le tabelle federate non contengono TimeGenerated colonne o l'output non contiene una TimeGenerated colonna con un valore di data formattato correttamente per ogni riga, le query KQL non funzioneranno nella tabella una volta creata nel lake.

Le tabelle federate sono completamente supportate per processi KQL, query asincrone e strumenti MCP.

Creare uno strumento MCP con query di tabella federate

È possibile creare strumenti MCP basati su query che usano tabelle federate:

  1. Scrivere e testare la query KQL usando tabelle federate.

  2. Selezionare il pulsante dello strumento Salva come sopra l'editor di query.

  3. Modificare la query in base alle esigenze, ad esempio parametrizzare i valori.

  4. Per qualsiasi riferimento a una tabella federata, assicurarsi di anteporre al nome della tabella il prefisso workspace("default").. Ad esempio, se la tabella era widgets_ADLS01, il codice viene visualizzato workspace("default").widgets_ADLS01 per tale tabella.

  5. Salvare lo strumento.

Usare tabelle federate nei notebook di Jupyter

Le tabelle federate sono accessibili nei notebook di Jupyter tramite l'estensione Microsoft Sentinel VS Code.

Nell'estensione Microsoft Sentinel VS Code, le tabelle federate vengono visualizzate in: Tabelle> LakeTabelle di sistema Tabelle>federate

Screenshot che mostra le tabelle federate nell'estensione Microsoft Sentinel VS Code nelle tabelle di sistema Tabelle federate.

L'uso di tabelle federate nei notebook di Jupyter segue gli stessi modelli delle tabelle di sistema native:

  1. Usare il nome completo della tabella: tabelle di riferimento usando il <tableName>_<connectorInstance> formato .
  2. Non specificare un nome dell'area di lavoro: le operazioni di lettura non richiedono una specifica dell'area di lavoro.
  3. Accesso di sola lettura: le tabelle federate sono di sola lettura; non è possibile riscrivere i dati in origini federate.

Nota

Dopo aver abilitato la federazione dei dati la prima volta, possono essere necessarie fino a 24 ore prima di visualizzare le tabelle federate nei notebook di Jupyter.

Processi del notebook di Jupyter

È possibile creare processi notebook jupyter pianificati che utilizzano tabelle federate nello stesso modo in cui si creerebbe un processo notebook per le tabelle data lake native:

  1. Sviluppare il notebook con query di tabella federate.
  2. Testare il notebook per assicurarsi che le query federate vengano eseguite correttamente.
  3. Creare un processo dal notebook.
  4. Configurare la pianificazione del processo e i parametri.

Nota

I processi notebook possono scrivere solo in Sentinel aree di lavoro o tabelle di sistema come destinazioni. Non è possibile scrivere dati in una tabella federata.

Procedure consigliate

Ottimizzazione query

  • Applica filtri in anticipo: filtrare i dati all'origine quando possibile per ridurre il trasferimento dei dati.
  • Limitare i set di risultati: usare take le clausole o limit durante lo sviluppo.
  • Usare le proiezioni: selezionare solo le colonne necessarie per migliorare le prestazioni.

Esempio: Query ottimizzata

large_dataset_adls_connector
| where EventTime >= ago(1h)           // Filter early
| where EventType == "Login"           // Reduce data volume
| project EventTime, UserId, SourceIP  // Select needed columns
| take 10000                           // Limit results

Strategie di join

  • Usare i tipi di join appropriati: scegliere inner, leftoutero rightouter in base alle proprie esigenze.
  • Filtrare prima del join: ridurre il volume di dati prima delle operazioni di join.
  • Considerare le dimensioni dei dati: posizionare la tabella più piccola sul lato destro del join.

Gestione di errori

  • Controllare lo stato della connessione: verificare che le istanze del connettore federato siano connesse prima di eseguire query.
  • Gestire i valori Null: i dati esterni possono contenere valori Null imprevisti; funzioni coalesce() o isnull() .
  • Monitorare le prestazioni delle query: tenere traccia dei tempi di esecuzione per le query federate per identificare i problemi di prestazioni.

Risoluzione dei problemi

La query non restituisce risultati

  • Verificare che l'istanza del connettore sia in uno stato connesso.
  • Verificare che l'origine dati esterna sia disponibile, insieme alle tabelle di destinazione nella query.
  • Verificare che le autorizzazioni non siano state rimosse dall'entità servizio o Sentinel'identità gestita in base all'origine dati di destinazione.
  • Verificare di usare il formato di nome di tabella federato corretto.
  • Verificare che le tabelle di sistema siano disponibili nel riquadro di spostamento per le query KQL o la sessione Notebook.

La query è lenta

  • Applicare filtri per ridurre il volume di dati sottoposto a query da origini esterne.
  • Controllare le prestazioni e la disponibilità dell'origine esterna.
  • Prendere in considerazione la creazione di tabelle di riepilogo per i dati a cui si accede di frequente.

Mancata corrispondenza dello schema

  • Esaminare lo schema della tabella nella visualizzazione gestione tabelle.
  • Modificare la query per gestire le differenze di schema.
  • Controllare se lo schema della tabella esterna è stato modificato dopo la creazione del connettore.

Non è possibile eseguire gli strumenti MCP per le tabelle federate

Assicurarsi di anteporre al nome workspace("default"). della tabella il prefisso ovunque si faccia riferimento a una tabella federata all'interno dello strumento MCP.

Passaggi successivi

  • Last updated on