Udostępnij za pośrednictwem


Zasoby do tworzenia łączników niestandardowych usługi Microsoft Sentinel

Usługa Microsoft Sentinel udostępnia szeroką gamę wbudowanych łączników dla usług platformy Azure i rozwiązań zewnętrznych, a także obsługuje pozyskiwanie danych z niektórych źródeł bez dedykowanego łącznika.

Jeśli nie możesz połączyć źródła danych z usługą Microsoft Sentinel przy użyciu dowolnego z dostępnych rozwiązań, rozważ utworzenie własnego łącznika źródła danych.

Aby uzyskać pełną listę obsługiwanych łączników, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel).

Porównanie niestandardowych metod łącznika

W poniższej tabeli porównano podstawowe informacje o każdej metodzie tworzenia łączników niestandardowych opisanych w tym artykule. Wybierz linki w tabeli, aby uzyskać więcej szczegółów na temat każdej metody.

Opis metody Możliwość Praca bezserwerowa Złożoności
Platforma łącznika bez kodu (KPCH)
Najlepiej, aby mniej odbiorców technicznych tworzyć łączniki SaaS przy użyciu pliku konfiguracji zamiast zaawansowanego programowania.
Obsługuje wszystkie możliwości dostępne w kodzie. Tak Niski; proste, bez kodu programowanie
Azure Monitor Agent
Najlepsze rozwiązanie do zbierania plików ze źródeł lokalnych i IaaS
Zbieranie plików, przekształcanie danych Nie. Niski
Usługa Logstash
Najlepsze w przypadku źródeł lokalnych i IaaS, dowolnego źródła, dla którego jest dostępna wtyczka, a organizacje znają już usługę Logstash
Obsługuje wszystkie możliwości agenta usługi Azure Monitor Nie; wymaga uruchomienia maszyny wirtualnej lub klastra maszyny wirtualnej Niski; obsługuje wiele scenariuszy z wtyczkami
Logic Apps
Wysoki koszt; unikanie dużych ilości danych
Najlepsze w przypadku źródeł chmury o małym woluminie
Programowanie bez kodu pozwala na ograniczoną elastyczność bez obsługi implementowania algorytmów.

Jeśli żadna dostępna akcja nie spełnia już wymagań, utworzenie akcji niestandardowej może zwiększyć złożoność.
Tak Niski; proste, bez kodu programowanie
Interfejs API pozyskiwania dzienników w usłudze Azure Monitor
Najlepsze w przypadku niezależnych dostawców oprogramowania wdrażających integrację i w przypadku unikatowych wymagań dotyczących kolekcji
Obsługuje wszystkie możliwości dostępne w kodzie. Zależy od implementacji Wys.
Azure Functions
Najlepsze dla źródeł w chmurze o dużej ilości i w przypadku unikatowych wymagań dotyczących kolekcji
Obsługuje wszystkie możliwości dostępne w kodzie. Tak Wysoki; wymaga wiedzy programistycznej

Napiwek

Aby uzyskać porównania użycia usług Logic Apps i Azure Functions dla tego samego łącznika, zobacz:

Nawiązywanie połączenia za pomocą platformy łącznika bez kodu

Platforma łącznika bez kodu (KPCH) udostępnia plik konfiguracji, który może być używany zarówno przez klientów, jak i partnerów, a następnie wdrożony we własnym obszarze roboczym lub jako rozwiązanie w centrum zawartości usługi Microsoft Sentinel.

Łączniki utworzone przy użyciu protokołu KPCH są w pełni SaaS, bez żadnych wymagań dotyczących instalacji usług, a także obejmują monitorowanie kondycji i pełną obsługę usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Tworzenie łącznika bez kodu dla usługi Microsoft Sentinel.

Nawiązywanie połączenia z agentem usługi Azure Monitor

Jeśli źródło danych dostarcza zdarzenia w plikach tekstowych, zalecamy użycie agenta usługi Azure Monitor do utworzenia łącznika niestandardowego.

Nawiązywanie połączenia z usługą Logstash

Jeśli znasz usługę Logstash, możesz użyć usługi Logstash z wtyczką danych wyjściowych usługi Logstash dla usługi Microsoft Sentinel w celu utworzenia łącznika niestandardowego.

Za pomocą wtyczki danych wyjściowych usługi Logstash usługi Microsoft Sentinel można użyć dowolnych wtyczek wejściowych i filtrujących usługi Logstash oraz skonfigurować usługę Microsoft Sentinel jako dane wyjściowe potoku usługi Logstash. Usługa Logstash ma dużą bibliotekę wtyczek, które umożliwiają wprowadzanie danych wejściowych z różnych źródeł, takich jak Event Hubs, Apache Kafka, Pliki, Bazy danych i Usługi w chmurze. Użyj wtyczek filtrowania, aby analizować zdarzenia, filtrować niepotrzebne zdarzenia, zaciemniać wartości i nie tylko.

Przykłady użycia usługi Logstash jako łącznika niestandardowego można znaleźć w temacie:

Przykłady przydatnych wtyczek usługi Logstash można znaleźć w temacie:

Napiwek

Usługa Logstash umożliwia również skalowanie zbierania danych przy użyciu klastra. Aby uzyskać więcej informacji, zobacz Using a load-balanced Logstash VM at scale (Używanie maszyny wirtualnej usługi Logstash o zrównoważonym obciążeniu na dużą skalę).

Nawiązywanie połączenia z usługą Logic Apps

Użyj usługi Azure Logic Apps , aby utworzyć bezserwerowy, niestandardowy łącznik dla usługi Microsoft Sentinel.

Uwaga

Chociaż tworzenie łączników bezserwerowych przy użyciu usługi Logic Apps może być wygodne, użycie usługi Logic Apps dla łączników może być kosztowne w przypadku dużych ilości danych.

Zalecamy użycie tej metody tylko w przypadku źródeł danych o małej ilości lub wzbogacania danych.

  1. Użyj jednego z następujących wyzwalaczy, aby uruchomić usługę Logic Apps:

    Wyzwalacz opis
    Zadanie cykliczne Zaplanuj na przykład aplikację logiki, aby regularnie pobierała dane z określonych plików, baz danych lub zewnętrznych interfejsów API.
    Aby uzyskać więcej informacji, zobacz Tworzenie, planowanie i uruchamianie cyklicznych zadań i przepływów pracy w usłudze Azure Logic Apps.
    Wyzwalanie na żądanie Uruchom aplikację logiki na żądanie w celu ręcznego zbierania i testowania danych.
    Aby uzyskać więcej informacji, zobacz Wywoływanie, wyzwalanie lub zagnieżdżanie aplikacji logiki przy użyciu punktów końcowych HTTPS.
    Punkt końcowy HTTP/S Zalecane do przesyłania strumieniowego i jeśli system źródłowy może uruchomić transfer danych.
    Aby uzyskać więcej informacji, zobacz Wywoływanie punktów końcowych usługi za pośrednictwem protokołu HTTP lub protokołu HTTPs.
  2. Użyj dowolnego Łącznik aplikacji logiki, który odczytuje informacje, aby pobrać zdarzenia. Na przykład:

    Napiwek

    Łączniki niestandardowe do interfejsów API REST, serwerów SQL i systemów plików obsługują również pobieranie danych z lokalnych źródeł danych. Aby uzyskać więcej informacji, zobacz Instalowanie lokalnej bramy danych w dokumentacji.

  3. Przygotuj informacje, które chcesz pobrać.

    Na przykład użyj akcji analizowania kodu JSON, aby uzyskać dostęp do właściwości w zawartości JSON, umożliwiając wybranie tych właściwości z listy zawartości dynamicznej podczas określania danych wejściowych dla aplikacji logiki.

    Aby uzyskać więcej informacji, zobacz Wykonywanie operacji na danych w usłudze Azure Logic Apps.

  4. Zapisz dane w usłudze Log Analytics.

    Aby uzyskać więcej informacji, zobacz dokumentację modułu zbierającego dane usługi Azure Log Analytics.

Aby zapoznać się z przykładami tworzenia łącznika niestandardowego dla usługi Microsoft Sentinel przy użyciu usługi Logic Apps, zobacz:

Nawiązywanie połączenia za pomocą interfejsu API pozyskiwania dzienników

Zdarzenia można przesyłać strumieniowo do usługi Microsoft Sentinel przy użyciu interfejsu API modułu zbierającego dane usługi Log Analytics w celu bezpośredniego wywołania punktu końcowego RESTful.

Wywołanie punktu końcowego RESTful wymaga bezpośredniego programowania, ale zapewnia również większą elastyczność.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

Nawiązywanie połączenia za pomocą usługi Azure Functions

Użyj usługi Azure Functions razem z interfejsem API RESTful i różnymi językami kodowania, takimi jak program PowerShell, aby utworzyć bezserwerowy łącznik niestandardowy.

Aby zapoznać się z przykładami tej metody, zobacz:

Analizowanie danych łącznika niestandardowego

Aby korzystać z danych zebranych za pomocą łącznika niestandardowego, utwórz analizatory advanced Security Information Model (ASIM) do pracy z łącznikiem. Użycie karty ASIM umożliwia wbudowanym zawartości usługi Microsoft Sentinel korzystanie z danych niestandardowych i ułatwia analitykom wykonywanie zapytań o dane.

Jeśli metoda łącznika pozwala na to, możesz zaimplementować część analizowania jako część łącznika, aby poprawić wydajność analizowania czasu zapytania:

  • Jeśli użyto usługi Logstash, użyj wtyczki filtru Grok , aby przeanalizować dane.
  • Jeśli używasz funkcji platformy Azure, przeanalizuj dane przy użyciu kodu.

Nadal trzeba będzie zaimplementować analizatory ASIM, ale implementacja części analizowania bezpośrednio za pomocą łącznika upraszcza analizowanie i poprawia wydajność.

Następne kroki

Użyj danych pozyskanych do usługi Microsoft Sentinel, aby zabezpieczyć środowisko przy użyciu dowolnego z następujących procesów: