我一直在努力寻找最有效(优雅)的解决方案来实现我想要做的事情。我想听听社区的意见,谢谢。
情况:
- 需要在 Sentinel 上丰富 IP 地址记录。示例:成功的 SigninLogs,因为 MSFT 扩充有时会在 IP 扩充映射中生成“未知”结果。
- 外部参考文件(子网、国家代码、国家名称)是公开的,但是记录的大小和数量相当大。(~12MB,200K+记录)。
问题:
- 尝试使用存储帐户 blob 托管“参考表”,显然达到了最大限制。存储帐户中的 blob 大小。
- 看起来有最大值。使用“externaldata”命令从外部源读取工作簿上的 30.000 条记录。因此,只能读取和参考部分参考数据。
考虑的选项:
- 将参考表提取到日志分析工作区,对此自定义参考表进行联接/查找以进行丰富
- 将 SigninLogs 表中的 IP 地址导出到 blob 存储,使用 logicapps 丰富 IP 地址,然后将其放回“参考”blob 存储。然后使用“externaldata”语法读取“参考”blob 存储。
观察到的限制:
- 意识到 Sentinel 无法执行 API 调用以丰富外部数据。(CMIIW)。我用 Splunk 做过类似的事情,我们可以通过调用对外部数据库的多个 API 调用来动态丰富数据。