Připojení Služby Microsoft Sentinel ke zdroji dat pomocí Azure Functions

Azure Functions můžete ve spojení s různými programovacími jazyky, jako je PowerShell nebo Python, použít k vytvoření bezserverového konektoru ke koncovým bodům rozhraní REST API kompatibilních zdrojů dat. Aplikace Azure Functions pak umožňují připojit Microsoft Sentinel k rozhraní REST API vašeho zdroje dat a vyžádat si protokoly.

Tento článek popisuje, jak nakonfigurovat Microsoft Sentinel pro používání aplikací Azure Function Apps. Možná budete muset nakonfigurovat zdrojový systém a najdete odkazy na informace specifické pro dodavatele a produkty na stránce každého datového konektoru na portálu nebo v části pro vaši službu na referenční stránce datových konektorů Microsoft Sentinelu.

Poznámka:

• Po ingestování do Microsoft Sentinelu se data ukládají v zeměpisném umístění pracovního prostoru, ve kterém používáte Microsoft Sentinel.

  V případě dlouhodobého uchovávání můžete také chtít ukládat data do typů protokolů, jako jsou pomocné protokoly nebo základní protokoly. Další informace najdete v tématu Plány uchovávání protokolů v Microsoft Sentinelu.

• Použití azure Functions k ingestování dat do Služby Microsoft Sentinel může vést k dalším nákladům na příjem dat. Další informace najdete na stránce s cenami služby Azure Functions.

Požadavky

Před použitím služby Azure Functions se ujistěte, že máte následující oprávnění a přihlašovací údaje pro připojení Služby Microsoft Sentinel ke zdroji dat a načtení protokolů do Microsoft Sentinelu:

• V pracovním prostoru Microsoft Sentinelu musíte mít oprávnění ke čtení a zápisu.

• Ke sdíleným klíčům pracovního prostoru musíte mít oprávnění ke čtení. Přečtěte si další informace o klíčích pracovního prostoru.

• Abyste mohli vytvořit aplikaci Funkcí, musíte mít oprávnění ke čtení a zápisu ve službě Azure Functions. Přečtěte si další informace o Azure Functions.

• Budete také potřebovat přihlašovací údaje pro přístup k rozhraní API produktu – uživatelské jméno a heslo, token, klíč nebo jinou kombinaci. Můžete také potřebovat další informace o rozhraní API, jako je identifikátor URI koncového bodu.

  Další informace najdete v dokumentaci ke službě, ke které se připojujete, a část pro vaši službu na referenční stránce datových konektorů Microsoft Sentinelu.

• Nainstalujte řešení, které obsahuje konektor založený na Službě Azure Functions z centra obsahu v Microsoft Sentinelu. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

Konfigurace a připojení zdroje dat

Poznámka:

• Ve službě Azure Key Vault můžete bezpečně ukládat autorizační klíče nebo tokeny pracovního prostoru a rozhraní API. Azure Key Vault poskytuje zabezpečený mechanismus pro ukládání a načítání hodnot klíčů. Postupujte podle těchto pokynů k používání služby Azure Key Vault s aplikací funkcí Azure.

• Některé datové konektory závisí na analyzátoru založeném na funkci Kusto, která funguje podle očekávání. Odkazy na pokyny k vytvoření funkce a aliasu kusto najdete v části pro vaši službu na referenční stránce datových konektorů Microsoft Sentinelu.

Krok 1: Získání přihlašovacích údajů rozhraní API zdrojového systému

Postupujte podle pokynů zdrojového systému a získejte přihlašovací údaje rozhraní API / autorizační klíče nebo tokeny. Zkopírujte je a vložte do textového souboru pro pozdější použití.

Podrobnosti o přesných přihlašovacích údajích, které budete potřebovat, a odkazy na pokyny k jejich vyhledání nebo vytvoření najdete na stránce datového konektoru na portálu a v části pro vaši službu na referenční stránce datových konektorů Microsoft Sentinelu.

Možná budete také muset nakonfigurovat protokolování nebo jiná nastavení ve zdrojovém systému. Příslušné pokyny najdete společně s pokyny v předchozím odstavci.

Krok 2: Nasazení konektoru a přidružené aplikace Funkcí Azure

Výběr možnosti nasazení

Šablona ARM (Azure Resource Manageru)

Tato metoda poskytuje automatizované nasazení konektoru založeného na funkcích Azure pomocí šablony ARM.

1. Na portálu Microsoft Sentinel vyberte Datové konektory. V seznamu vyberte konektor založený na Azure Functions a pak otevřete stránku konektoru.

2. V části Konfigurace zkopírujte ID pracovního prostoru Služby Microsoft Sentinel a primární klíč a vložte je stranou.

3. Vyberte Nasadit do Azure. (Možná se budete muset posunout dolů, abyste tlačítko našli.)

4. Zobrazí se obrazovka Vlastní nasazení .

   • Vyberte předplatné, skupinu prostředků a oblast, ve které chcete nasadit aplikaci Function App.

   • Zadejte přihlašovací údaje rozhraní API / autorizační klíče / tokeny, které jste uložili v kroku 1 výše.

   • Zadejte ID pracovního prostoru Služby Microsoft Sentinel a klíč pracovního prostoru (primární klíč), které jste zkopírovali a uložili do stran.

     Poznámka:

     Pokud pro některou z výše uvedených hodnot používáte tajné kódy služby Azure Key Vault, použijte @Microsoft.KeyVault(SecretUri={Security Identifier}) schéma místo řetězcových hodnot. Další podrobnosti najdete v dokumentaci ke službě Key Vault.

   • Vyplňte všechna další pole ve formuláři na obrazovce Vlastní nasazení . Podívejte se na stránku datového konektoru na portálu nebo v části pro vaši službu na referenční stránce datových konektorů Microsoft Sentinelu.

   • Vyberte Zkontrolovat a vytvořit. Po dokončení ověření vyberte Vytvořit.

Ruční nasazení pomocí PowerShellu

Pomocí následujících podrobných pokynů ručně nasaďte konektory založené na Azure Functions, které používají funkce PowerShellu.

1. Na portálu Microsoft Sentinel vyberte Datové konektory. V seznamu vyberte konektor založený na Azure Functions a pak otevřete stránku konektoru.

2. V části Konfigurace zkopírujte ID pracovního prostoru Služby Microsoft Sentinel a primární klíč a vložte je stranou.

3. Vytvoření aplikace funkcí

   1. Na webu Azure Portal vyhledejte a vyberte Aplikaci funkcí.

   2. Na stránce Aplikace funkcí vyberte Vytvořit. Otevře se průvodce vytvořením aplikace funkcí.

   3. Na kartě Základy :

      • Vyberte předplatné a skupinu prostředků.
      • Pojmenujte aplikaci funkcí.
      • Nastavte zásobník modulu runtime na PowerShell Core.
      • Vyberte příslušné číslo verze.
      • Vyberte oblast, ve které chcete nasadit, a pak vyberte Další: Hostování.

   4. Na kartě Hostování :

      • Zvolte účet úložiště, který chcete použít, nebo vytvořte nový.
      • Jako typ plánu vyberte Consumption (bezserverová).

   5. Proveďte všechny potřebné změny konfigurace a pak vyberte Zkontrolovat a vytvořit.

   6. Počkejte, až se zobrazí zpráva Ověření proběhlo úspěšně, a pak vyberte Vytvořit.

   7. Po dokončení nasazení vyberte Přejít k prostředku.

4. Import kódu aplikace funkcí

   1. V nově vytvořené aplikaci Funkcí vyberte v navigační nabídce funkce .

   2. Na stránce Funkce vyberte + Přidat.

   3. Na panelu Přidat funkci vyberte trigger Časovač .

   4. Zadejte jedinečný název funkce a zadáním výrazu cron zadejte plán. Výchozí interval je každých 5 minut.

   5. Po vytvoření funkce vyberte v levém podokně kód + test .

   6. Stáhněte si kód aplikace funkcí zadaný dodavatelem zdrojového systému a zkopírujte ho a vložte ho do editoru Run.ps1 aplikace funkcí a nahraďte to, co tam je ve výchozím nastavení. Odkaz ke stažení najdete na stránce konektoru nebo v části pro vaši službu na referenční stránce datových konektorů Microsoft Sentinelu.

   7. Zvolte Uložit.

5. Konfigurace aplikace funkcí

   1. Na stránce aplikace funkcí vyberte v části Nastavení v navigační nabídce možnost Konfigurace.

   2. Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.

   3. Přidejte předepsané nastavení aplikace pro váš produkt jednotlivě s příslušnými řetězcovými hodnotami rozlišující malá a velká písmena. Podívejte se na stránku datového konektoru nebo oddíl vašeho produktu pro vaši službu na referenční stránce datových konektorů Microsoft Sentinelu.

      Tip

      Pokud je to možné, použijte nastavení aplikace logAnalyticsUri k přepsání koncového bodu rozhraní API log Analytics, pokud používáte vyhrazený cloud. Pokud tedy například používáte veřejný cloud, nechejte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu: https://<CustomerId>.ods.opinsights.azure.us.

Ruční nasazení pomocí Pythonu

Pomocí následujících podrobných pokynů ručně nasaďte konektory založené na Azure Functions, které používají funkce Pythonu. Tento druh nasazení vyžaduje Visual Studio Code.

1. Na portálu Microsoft Sentinel vyberte Datové konektory. V seznamu vyberte konektor založený na Azure Functions a pak otevřete stránku konektoru.

2. V části Konfigurace zkopírujte ID pracovního prostoru Služby Microsoft Sentinel a primární klíč a vložte je stranou.

3. Nasazení aplikace funkcí

   Poznámka:

   Budete muset připravit Visual Studio Code (VS Code) na vývoj funkcí Azure Functions.

   1. Stáhněte si soubor aplikace funkcí Azure pomocí odkazu zadaného na stránce datového konektoru a v části pro vaši službu na referenční stránce datových konektorů Microsoft Sentinelu. Extrahujte archiv do místního vývojového počítače.

   2. Spusťte VS Code. Na řádku nabídek vyberte > Soubor otevřít složku....

   3. Vyberte složku nejvyšší úrovně ze souborů extrahovaných z archivu.

   4. Na panelu aktivit VS Code (vlevo) zvolte ikonu Azure. Pak v oblasti Azure: Functions zvolte tlačítko Nasadit do aplikace funkcí.

      Poznámka:

      Pokud ještě nejste přihlášení, zvolte ikonu Azure na panelu aktivit. Pak v oblasti Azure: Functions zvolte Přihlásit se k Azure.
      Pokud už jste přihlášení, přejděte k dalšímu kroku.

   5. Podle pokynů na obrazovce zadejte tyto informace:

      • Vyberte složku: Vyberte složku z pracovního prostoru nebo přejděte do složky, která obsahuje vaši aplikaci funkcí.
      • Vyberte předplatné: Zvolte předplatné, které chcete použít.
      • Vyberte Vytvořit novou aplikaci funkcí v Azure. (Nevybírejte Upřesnit možnost.)
      • Zadejte globálně jedinečný název aplikace funkcí: Dejte aplikaci funkcí název, který by byl platný v cestě URL. Název, který zvolíte, se ověří, abyste měli jistotu, že je jedinečný v rámci Azure Functions.
      • Vyberte modul runtime: Zvolte Python 3.8.

   6. Zahájí se nasazení. Po vytvoření aplikace funkcí a použití balíčku nasazení se zobrazí oznámení.

   7. Vraťte se na stránku vaší aplikace funkcí a vyhledejte konfiguraci.

4. Konfigurace aplikace funkcí

   1. Na stránce aplikace funkcí vyberte v části Nastavení v navigační nabídce možnost Konfigurace.

   2. Na kartě Nastavení aplikace vyberte + Nové nastavení aplikace.

   3. Přidejte předepsané nastavení aplikace pro váš produkt jednotlivě s příslušnými řetězcovými hodnotami rozlišující malá a velká písmena. Na stránce s referenčními informacemi o datových konektorech Microsoft Sentinelu najdete stránku datového konektoru nebo oddíl vaší služby , kde najdete informace o nastavení aplikace, která se mají přidat.

      • Pokud je to možné, použijte nastavení aplikace logAnalyticsUri k přepsání koncového bodu rozhraní API log Analytics, pokud používáte vyhrazený cloud. Pokud tedy například používáte veřejný cloud, nechejte hodnotu prázdnou; Pro cloudové prostředí Azure GovUS zadejte hodnotu v následujícím formátu: https://<CustomerId>.ods.opinsights.azure.us.

Vyhledání dat

Po úspěšném připojení se data zobrazí v protokolech v části CustomLogs v tabulkách uvedených v části pro vaši službu na referenční stránce datových konektorů Microsoft Sentinelu.

Pokud chcete dotazovat data, zadejte do okna dotazu jeden z těchto názvů tabulek nebo příslušný alias funkce Kusto.

Některé užitečné ukázkové dotazy najdete na kartě Další kroky na stránce konektoru.

Ověření možností připojení

Může to trvat až 20 minut, než se vaše protokoly začnou zobrazovat v Log Analytics.

Další kroky

V tomto dokumentu jste zjistili, jak připojit Microsoft Sentinel ke zdroji dat pomocí konektorů založených na Azure Functions. Další informace o službě Microsoft Sentinel najdete v následujících článcích:

• Zjistěte, jak získat přehled o datech a potenciálních hrozbách.
• Začněte zjišťovat hrozby pomocí Služby Microsoft Sentinel.
• Pomocí sešitů můžete monitorovat data.