Zasoby do tworzenia łączników niestandardowych usługi Microsoft Sentinel
Usługa Microsoft Sentinel udostępnia szeroką gamę wbudowanych łączników dla usług platformy Azure i rozwiązań zewnętrznych, a także obsługuje pozyskiwanie danych z niektórych źródeł bez dedykowanego łącznika.
Jeśli nie możesz połączyć źródła danych z usługą Microsoft Sentinel przy użyciu dowolnego z dostępnych rozwiązań, rozważ utworzenie własnego łącznika źródła danych.
Aby uzyskać pełną listę obsługiwanych łączników, zobacz Znajdowanie łącznika danych usługi Microsoft Sentinel).
Porównanie niestandardowych metod łącznika
W poniższej tabeli porównano podstawowe informacje o każdej metodzie tworzenia łączników niestandardowych opisanych w tym artykule. Wybierz linki w tabeli, aby uzyskać więcej szczegółów na temat każdej metody.
Opis metody | Możliwość | Praca bezserwerowa | Złożoności |
---|---|---|---|
Platforma łącznika bez kodu (KPCH) Najlepiej, aby mniej odbiorców technicznych tworzyć łączniki SaaS przy użyciu pliku konfiguracji zamiast zaawansowanego programowania. |
Obsługuje wszystkie możliwości dostępne w kodzie. | Tak | Niski; proste, bez kodu programowanie |
Azure Monitor Agent Najlepsze rozwiązanie do zbierania plików ze źródeł lokalnych i IaaS |
Zbieranie plików, przekształcanie danych | Nie. | Niski |
Usługa Logstash Najlepsze w przypadku źródeł lokalnych i IaaS, dowolnego źródła, dla którego jest dostępna wtyczka, a organizacje znają już usługę Logstash |
Obsługuje wszystkie możliwości agenta usługi Azure Monitor | Nie; wymaga uruchomienia maszyny wirtualnej lub klastra maszyny wirtualnej | Niski; obsługuje wiele scenariuszy z wtyczkami |
Logic Apps Wysoki koszt; unikanie dużych ilości danych Najlepsze w przypadku źródeł chmury o małym woluminie |
Programowanie bez kodu pozwala na ograniczoną elastyczność bez obsługi implementowania algorytmów. Jeśli żadna dostępna akcja nie spełnia już wymagań, utworzenie akcji niestandardowej może zwiększyć złożoność. |
Tak | Niski; proste, bez kodu programowanie |
Interfejs API pozyskiwania dzienników w usłudze Azure Monitor Najlepsze w przypadku niezależnych dostawców oprogramowania wdrażających integrację i w przypadku unikatowych wymagań dotyczących kolekcji |
Obsługuje wszystkie możliwości dostępne w kodzie. | Zależy od implementacji | Wys. |
Azure Functions Najlepsze dla źródeł w chmurze o dużej ilości i w przypadku unikatowych wymagań dotyczących kolekcji |
Obsługuje wszystkie możliwości dostępne w kodzie. | Tak | Wysoki; wymaga wiedzy programistycznej |
Napiwek
Aby uzyskać porównania użycia usług Logic Apps i Azure Functions dla tego samego łącznika, zobacz:
- Szybkie pozyskiwanie dzienników zapory aplikacji internetowej w usłudze Microsoft Sentinel
- Office 365 (społeczność usługi GitHub usługi Microsoft Sentinel): łącznik usługi Logic Łącznik aplikacji | Azure Function
Nawiązywanie połączenia za pomocą platformy łącznika bez kodu
Platforma łącznika bez kodu (KPCH) udostępnia plik konfiguracji, który może być używany zarówno przez klientów, jak i partnerów, a następnie wdrożony we własnym obszarze roboczym lub jako rozwiązanie w centrum zawartości usługi Microsoft Sentinel.
Łączniki utworzone przy użyciu protokołu KPCH są w pełni SaaS, bez żadnych wymagań dotyczących instalacji usług, a także obejmują monitorowanie kondycji i pełną obsługę usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Tworzenie łącznika bez kodu dla usługi Microsoft Sentinel.
Nawiązywanie połączenia z agentem usługi Azure Monitor
Jeśli źródło danych dostarcza zdarzenia w plikach tekstowych, zalecamy użycie agenta usługi Azure Monitor do utworzenia łącznika niestandardowego.
Aby uzyskać więcej informacji, zobacz Zbieranie dzienników z pliku tekstowego za pomocą agenta usługi Azure Monitor.
Przykład tej metody można znaleźć w temacie Collect logs from a JSON file with Azure Monitor Agent (Zbieranie dzienników z pliku JSON za pomocą agenta usługi Azure Monitor).
Nawiązywanie połączenia z usługą Logstash
Jeśli znasz usługę Logstash, możesz użyć usługi Logstash z wtyczką danych wyjściowych usługi Logstash dla usługi Microsoft Sentinel w celu utworzenia łącznika niestandardowego.
Za pomocą wtyczki danych wyjściowych usługi Logstash usługi Microsoft Sentinel można użyć dowolnych wtyczek wejściowych i filtrujących usługi Logstash oraz skonfigurować usługę Microsoft Sentinel jako dane wyjściowe potoku usługi Logstash. Usługa Logstash ma dużą bibliotekę wtyczek, które umożliwiają wprowadzanie danych wejściowych z różnych źródeł, takich jak Event Hubs, Apache Kafka, Pliki, Bazy danych i Usługi w chmurze. Użyj wtyczek filtrowania, aby analizować zdarzenia, filtrować niepotrzebne zdarzenia, zaciemniać wartości i nie tylko.
Przykłady użycia usługi Logstash jako łącznika niestandardowego można znaleźć w temacie:
- Wyszukiwanie zagrożeń dla dzienników TTPs zabezpieczeń capital One w dziennikach platformy AWS przy użyciu usługi Microsoft Sentinel (blog)
- Przewodnik implementacji rozwiązania Radware Microsoft Sentinel
Przykłady przydatnych wtyczek usługi Logstash można znaleźć w temacie:
- Wtyczka wejściowa cloudwatch
- Wtyczka usługi Azure Event Hubs
- Wtyczka wejściowa usługi Google Cloud Storage
- wtyczka wejściowa Google_pubsub
Napiwek
Usługa Logstash umożliwia również skalowanie zbierania danych przy użyciu klastra. Aby uzyskać więcej informacji, zobacz Using a load-balanced Logstash VM at scale (Używanie maszyny wirtualnej usługi Logstash o zrównoważonym obciążeniu na dużą skalę).
Nawiązywanie połączenia z usługą Logic Apps
Użyj usługi Azure Logic Apps , aby utworzyć bezserwerowy, niestandardowy łącznik dla usługi Microsoft Sentinel.
Uwaga
Chociaż tworzenie łączników bezserwerowych przy użyciu usługi Logic Apps może być wygodne, użycie usługi Logic Apps dla łączników może być kosztowne w przypadku dużych ilości danych.
Zalecamy użycie tej metody tylko w przypadku źródeł danych o małej ilości lub wzbogacania danych.
Użyj jednego z następujących wyzwalaczy, aby uruchomić usługę Logic Apps:
Wyzwalacz opis Zadanie cykliczne Zaplanuj na przykład aplikację logiki, aby regularnie pobierała dane z określonych plików, baz danych lub zewnętrznych interfejsów API.
Aby uzyskać więcej informacji, zobacz Tworzenie, planowanie i uruchamianie cyklicznych zadań i przepływów pracy w usłudze Azure Logic Apps.Wyzwalanie na żądanie Uruchom aplikację logiki na żądanie w celu ręcznego zbierania i testowania danych.
Aby uzyskać więcej informacji, zobacz Wywoływanie, wyzwalanie lub zagnieżdżanie aplikacji logiki przy użyciu punktów końcowych HTTPS.Punkt końcowy HTTP/S Zalecane do przesyłania strumieniowego i jeśli system źródłowy może uruchomić transfer danych.
Aby uzyskać więcej informacji, zobacz Wywoływanie punktów końcowych usługi za pośrednictwem protokołu HTTP lub protokołu HTTPs.Użyj dowolnego Łącznik aplikacji logiki, który odczytuje informacje, aby pobrać zdarzenia. Na przykład:
- Nawiązywanie połączenia z interfejsem API REST
- Nawiązywanie połączenia z programem SQL Server
- Nawiązywanie połączenia z systemem plików
Napiwek
Łączniki niestandardowe do interfejsów API REST, serwerów SQL i systemów plików obsługują również pobieranie danych z lokalnych źródeł danych. Aby uzyskać więcej informacji, zobacz Instalowanie lokalnej bramy danych w dokumentacji.
Przygotuj informacje, które chcesz pobrać.
Na przykład użyj akcji analizowania kodu JSON, aby uzyskać dostęp do właściwości w zawartości JSON, umożliwiając wybranie tych właściwości z listy zawartości dynamicznej podczas określania danych wejściowych dla aplikacji logiki.
Aby uzyskać więcej informacji, zobacz Wykonywanie operacji na danych w usłudze Azure Logic Apps.
Zapisz dane w usłudze Log Analytics.
Aby uzyskać więcej informacji, zobacz dokumentację modułu zbierającego dane usługi Azure Log Analytics.
Aby zapoznać się z przykładami tworzenia łącznika niestandardowego dla usługi Microsoft Sentinel przy użyciu usługi Logic Apps, zobacz:
- Tworzenie potoku danych przy użyciu interfejsu API modułu zbierającego dane
- Palo Alto Prisma Logic Łącznik aplikacji przy użyciu elementu webhook (społeczność usługi GitHub usługi Microsoft Sentinel)
- Zabezpieczanie wywołań usługi Microsoft Teams za pomocą zaplanowanej aktywacji (blog)
- Pozyskiwanie wskaźników zagrożeń AlienVault OTX do usługi Microsoft Sentinel (blog)
Nawiązywanie połączenia za pomocą interfejsu API pozyskiwania dzienników
Zdarzenia można przesyłać strumieniowo do usługi Microsoft Sentinel przy użyciu interfejsu API modułu zbierającego dane usługi Log Analytics w celu bezpośredniego wywołania punktu końcowego RESTful.
Wywołanie punktu końcowego RESTful wymaga bezpośredniego programowania, ale zapewnia również większą elastyczność.
Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Interfejs API pozyskiwania dzienników w usłudze Azure Monitor.
- Przykładowy kod do wysyłania danych do usługi Azure Monitor przy użyciu interfejsu API pozyskiwania dzienników.
Nawiązywanie połączenia za pomocą usługi Azure Functions
Użyj usługi Azure Functions razem z interfejsem API RESTful i różnymi językami kodowania, takimi jak program PowerShell, aby utworzyć bezserwerowy łącznik niestandardowy.
Aby zapoznać się z przykładami tej metody, zobacz:
- Łączenie programu VMware Carbon Black Cloud Endpoint Standard z usługą Microsoft Sentinel przy użyciu funkcji platformy Azure
- Łączenie logowania jednokrotnego usługi Okta z usługą Microsoft Sentinel przy użyciu funkcji platformy Azure
- Łączenie aplikacji Proofpoint TAP z usługą Microsoft Sentinel przy użyciu funkcji platformy Azure
- Łączenie maszyny wirtualnej Qualys z usługą Microsoft Sentinel przy użyciu funkcji platformy Azure
- Pozyskiwanie danych XML, CSV lub innych formatów danych
- Monitorowanie aplikacji Zoom za pomocą usługi Microsoft Sentinel (blog)
- Wdrażanie aplikacji funkcji na potrzeby pobierania danych interfejsu API zarządzania usługą Office 365 w usłudze Microsoft Sentinel (społeczność usługi GitHub usługi Microsoft Sentinel )
Analizowanie danych łącznika niestandardowego
Aby korzystać z danych zebranych za pomocą łącznika niestandardowego, utwórz analizatory advanced Security Information Model (ASIM) do pracy z łącznikiem. Użycie karty ASIM umożliwia wbudowanym zawartości usługi Microsoft Sentinel korzystanie z danych niestandardowych i ułatwia analitykom wykonywanie zapytań o dane.
Jeśli metoda łącznika pozwala na to, możesz zaimplementować część analizowania jako część łącznika, aby poprawić wydajność analizowania czasu zapytania:
- Jeśli użyto usługi Logstash, użyj wtyczki filtru Grok , aby przeanalizować dane.
- Jeśli używasz funkcji platformy Azure, przeanalizuj dane przy użyciu kodu.
Nadal trzeba będzie zaimplementować analizatory ASIM, ale implementacja części analizowania bezpośrednio za pomocą łącznika upraszcza analizowanie i poprawia wydajność.
Następne kroki
Użyj danych pozyskanych do usługi Microsoft Sentinel, aby zabezpieczyć środowisko przy użyciu dowolnego z następujących procesów: