Verwenden von Azure Functions zum Verbinden von Microsoft Sentinel mit Ihrer Datenquelle
Sie können Azure Functions in Verbindung mit verschiedenen Programmiersprachen wie PowerShell oder Python verwenden, um einen serverlosen Connector mit den REST-API-Endpunkten Ihrer kompatiblen Datenquellen zu erstellen. Mit Azure Functions-Apps können Sie dann Microsoft Sentinel mit der REST-API Ihrer Datenquelle verbinden, um Protokolle zu pullen.
In diesem Artikel wird beschrieben, wie Sie Microsoft Sentinel für die Verwendung von Azure Functions-Apps konfigurieren. Möglicherweise müssen Sie auch Ihr Quellsystem konfigurieren. Anbieter- und produktspezifische Informationslinks finden Sie auf der Seite jedes Datenconnectors im Portal oder im Abschnitt für Ihren Dienst auf der Seite Referenz zu Microsoft Sentinel-Datenconnectors.
Hinweis
Nach der Erfassung in Microsoft Sentinel werden Daten am geografischen Standort des Arbeitsbereichs gespeichert, in dem Sie Microsoft Sentinel ausführen.
Bei Langzeitaufbewahrung können Sie auch Daten in Protokolltypen wie Hilfsprotokolle oder Basisprotokolle speichern. Weitere Informationen finden Sie unter Protokollaufbewahrungspläne in Microsoft Sentinel.
Die Verwendung von Azure Functions zum Erfassen von Daten in Microsoft Sentinel kann zusätzliche Datenerfassungskosten verursachen. Weitere Informationen finden Sie auf der Seite Azure Functions – Preise.
Voraussetzungen
Stellen Sie sicher, dass Sie über die folgenden Berechtigungen und Anmeldeinformationen verfügen, bevor Sie Azure Functions verwenden, um Microsoft Sentinel mit Ihrer Datenquelle zu verbinden und deren Protokolle in Microsoft Sentinel zu pullen:
Sie benötigen Lese- und Schreibberechtigungen für den Microsoft Sentinel-Arbeitsbereich.
Sie müssen über Leseberechtigungen für freigegebene Schlüssel für den Arbeitsbereich verfügen. Weitere Informationen zu Arbeitsbereichsschlüsseln
Sie benötigen Lese- und Schreibberechtigungen für Azure Functions, um eine Funktions-App erstellen zu können. Informieren Sie sich ausführlicher über Azure Functions.
Sie benötigen auch Anmeldeinformationen für den Zugriff auf die API des Produkts – entweder einen Benutzernamen und ein Kennwort, ein Token, einen Schlüssel oder eine andere Kombination. Möglicherweise benötigen Sie auch andere API-Informationen, z. B. einen Endpunkt-URI.
Weitere Informationen finden Sie in der Dokumentation für den Dienst, mit dem Sie eine Verbindung herstellen, und im Abschnitt für Ihren Dienst auf der Seite Referenz zu Microsoft Sentinel-Datenconnectors.
Installieren Sie die Lösung, die Ihren Azure Functions-basierten Connector aus dem Content Hub in Microsoft Sentinel enthält. Weitere Informationen finden Sie unter Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte.
Konfigurieren und Verbinden Ihrer Datenquelle
Hinweis
Sie können Arbeitsbereichs- und API-Autorisierungsschlüssel oder -token sicher in Azure Key Vault speichern. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure-Funktions-App zu verwenden.
Die erwartungsgemäße Funktion einiger Datenconnectors ist von einem Parser abhängig, der auf einer Kusto-Funktion basiert. Links zu Anweisungen zum Erstellen der Kusto-Funktion und des Alias finden Sie im Abschnitt für Ihren Dienst auf der Seite Referenz zu Microsoft Sentinel-Datenconnectors.
Schritt 1: Abrufen der API-Anmeldeinformationen Ihres Quellsystems
Befolgen Sie die Anweisungen Ihres Quellsystems, um seine API-Anmeldeinformationen/-Autorisierungsschlüssel/-Token abzurufen. Kopieren Sie sie, und fügen Sie sie zur späteren Verwendung in eine Textdatei ein.
Details zu den genauen Anmeldeinformationen, die Sie benötigen, sowie Links zu den Anweisungen für Ihr Produkts zu deren Suche oder Erstellung finden Sie auf der Datenconnectorseite im Portal und im Abschnitt für Ihren Dienst auf der Seite Referenz zu Microsoft Sentinel-Datenconnectors.
Möglicherweise müssen Sie auch die Protokollierung oder andere Einstellungen auf Ihrem Quellsystem konfigurieren. Sie finden die relevanten Anweisungen hierfür bei den Anweisungen im vorherigen Absatz.
Schritt 2: Bereitstellen des Connectors und der zugeordneten Azure-Funktions-App
Auswählen einer Bereitstellungsoption
- ARM-Vorlage (Azure Resource Manager)
- Manuelle Bereitstellung mit PowerShell
- Manuelle Bereitstellung mit Python
Diese Methode stellt eine automatisierte Bereitstellung Ihres Azure-Funktionsbasierten Connectors mithilfe einer ARM-Vorlage bereit.
Wählen Sie im Microsoft Sentinel-Portal Datenconnectors aus. Wählen Sie ihren Azure Functions-basierten Connector aus der Liste und dann Connectorseite öffnen aus.
Kopieren Sie unter Konfiguration die Arbeitsbereich-ID von Microsoft Sentinel und den Primärschlüssel, und fügen Sie so ein, dass Sie diese Informationen zur Hand haben.
Wählen Sie Bereitstellung in Azure aus. (Möglicherweise müssen Sie nach unten scrollen, um die Schaltfläche zu finden.)
Der Bildschirm Benutzerdefinierte Bereitstellung wird angezeigt.
Wählen Sie ein Abonnement, eine Ressourcengruppe und eine Region aus, in dem bzw. der Ihre Funktions-App bereitgestellt werden soll.
Geben Sie Ihre API-Anmeldeinformationen/-Autorisierungsschlüssel/-Token ein, die Sie oben in Schritt 1 gespeichert haben.
Fügen Sie die Arbeitsbereichs-ID und den Arbeitsbereichsschlüssel (Primärschlüssel) von Microsoft Sentinel ein, die Sie zuvor kopiert haben.
Hinweis
Wenn Sie Azure Key Vault-Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie das
@Microsoft.KeyVault(SecretUri={Security Identifier})
-Schema anstelle der Zeichenfolgenwerte. Weitere Informationen finden Sie in der Referenzdokumentation zu Key Vault.Füllen Sie alle anderen Felder im Formular auf dem Bildschirm Benutzerdefinierte Bereitstellung aus. Weitere Informationen finden Sie auf der Seite ihres Datenconnectors im Portal oder im Abschnitt für Ihren Dienst auf der Seite Referenz zu Microsoft Sentinel-Datenconnectors.
Klicken Sie auf Überprüfen + erstellen. Wählen Sie nach Abschluss der Überprüfung die Option Erstellen aus.
Suchen von Daten
Nach dem erfolgreichen Herstellen einer Verbindung werden die Daten in Protokollen unter CustomLogs in den Tabellen angezeigt, die im Abschnitt für Ihren Dienst auf der Seite Referenz zu Microsoft Sentinel-Datenconnectors aufgeführt sind.
Um Daten abzufragen, geben Sie einen dieser Tabellennamen (oder den relevanten Kusto-Funktionsalias) in das Abfragefenster ein.
Einige hilfreiche Beispielabfragen finden Sie auf der Registerkarte Nächste Schritte auf der Connectorseite.
Überprüfen der Konnektivität
Es kann bis zu 20 Minuten dauern, bis Ihre Protokolle in Log Analytics angezeigt werden.
Nächste Schritte
In diesem Dokument haben Sie erfahren, wie Sie Microsoft Sentinel mittels Azure Functions-basierter Connectors mit Ihrer Datenquelle verbinden. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:
- Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
- Beginnen Sie mit Erkennung von Bedrohungen mithilfe von Microsoft Sentinel.
- Verwenden Sie Arbeitsmappen, um Ihre Daten zu überwachen.