Använda Azure Functions för att ansluta Microsoft Sentinel till din datakälla

Du kan använda Azure Functions, tillsammans med olika kodningsspråk som PowerShell eller Python, för att skapa en serverlös anslutningsapp till REST API-slutpunkterna för dina kompatibla datakällor. Med Azure Function Apps kan du sedan ansluta Microsoft Sentinel till datakällans REST API för att hämta loggar.

I den här artikeln beskrivs hur du konfigurerar Microsoft Sentinel för användning av Azure Function Apps. Du kan också behöva konfigurera källsystemet och du kan hitta länkar för leverantörs- och produktspecifik information på varje dataanslutningssida i portalen, eller avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsappar.

Kommentar

• När data har matats in i Microsoft Sentinel lagras de på den geografiska platsen för arbetsytan där du kör Microsoft Sentinel.

  För långsiktig kvarhållning kanske du också vill lagra data i loggtyper som extraloggar eller Grundläggande loggar. Mer information finns i Loggkvarhållningsplaner i Microsoft Sentinel.

• Om du använder Azure Functions för att mata in data i Microsoft Sentinel kan det leda till ytterligare kostnader för datainmatning. Mer information finns på prissättningssidan för Azure Functions.

Förutsättningar

Kontrollera att du har följande behörigheter och autentiseringsuppgifter innan du använder Azure Functions för att ansluta Microsoft Sentinel till din datakälla och hämta loggarna till Microsoft Sentinel:

• Du måste ha läs- och skrivbehörigheter på Microsoft Sentinel-arbetsytan.

• Du måste ha läsbehörighet till delade nycklar för arbetsytan. Läs mer om arbetsytenycklar.

• Du måste ha läs- och skrivbehörighet för Azure Functions för att kunna skapa en funktionsapp. Läs mer om Azure Functions.

• Du behöver också autentiseringsuppgifter för att komma åt produktens API – antingen ett användarnamn och lösenord, en token, en nyckel eller någon annan kombination. Du kan också behöva annan API-information, till exempel en slutpunkts-URI.

  Mer information finns i dokumentationen för den tjänst som du ansluter till och avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsappar.

• Installera lösningen som innehåller din Azure Functions-baserade anslutningsapp från Innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.

Konfigurera och ansluta datakällan

Kommentar

• Du kan lagra arbetsytor och API-auktoriseringsnycklar eller token på ett säkert sätt i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna för att använda Azure Key Vault med en Azure-funktionsapp.

• Vissa dataanslutningar är beroende av en parser baserat på en Kusto-funktion för att fungera som förväntat. Se avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningar för länkar till instruktioner för att skapa kusto-funktionen och aliaset.

Steg 1: Hämta källsystemets API-autentiseringsuppgifter

Följ källsystemets instruktioner för att hämta dess API-autentiseringsuppgifter /auktoriseringsnycklar/token. Kopiera och klistra in dem i en textfil för senare.

Du hittar information om de exakta autentiseringsuppgifter du behöver och länkar till produktens instruktioner för att hitta eller skapa dem på sidan för dataanslutning i portalen och i avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningar.

Du kan också behöva konfigurera loggning eller andra inställningar i källsystemet. Du hittar relevanta instruktioner tillsammans med dem i föregående stycke.

Steg 2: Distribuera anslutningsappen och den associerade Azure-funktionsappen

Välj ett distributionsalternativ

Azure Resource Manager (ARM)-mall

Den här metoden tillhandahåller en automatiserad distribution av din Azure Function-baserade anslutningsapp med hjälp av en ARM-mall.

1. I Microsoft Sentinel-portalen väljer du Dataanslutningsprogram. Välj din Azure Functions-baserade anslutningsapp i listan och öppna sedan sidan Öppna anslutningsapp.

2. Under Konfiguration kopierar du Microsoft Sentinel-arbetsytans ID och primärnyckel och klistrar in dem åt sidan.

3. Välj Distribuera till Azure. (Du kan behöva rulla nedåt för att hitta knappen.)

4. Skärmen Anpassad distribution visas.

   • Välj en prenumeration, resursgrupp och region där funktionsappen ska distribueras.

   • Ange dina API-autentiseringsuppgifter/auktoriseringsnycklar/token som du sparade i steg 1 ovan.

   • Ange ditt Microsoft Sentinel-arbetsyte-ID och arbetsytenyckel (primärnyckel) som du kopierade och lade åt sidan.

     Kommentar

     Om du använder Azure Key Vault-hemligheter för något av värdena ovan använder du @Microsoft.KeyVault(SecretUri={Security Identifier}) schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault-referenser.

   • Fyll i alla andra fält i formuläret på skärmen Anpassad distribution . Se sidan för dataanslutning i portalen eller avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsappar.

   • Välj Granska + skapa. När verifieringen är klar väljer du Skapa.

Manuell distribution med PowerShell

Använd följande stegvisa instruktioner för att manuellt distribuera Azure Functions-baserade anslutningsappar som använder PowerShell-funktioner.

1. I Microsoft Sentinel-portalen väljer du Dataanslutningsprogram. Välj din Azure Functions-baserade anslutningsapp i listan och öppna sedan sidan Öppna anslutningsapp.

2. Under Konfiguration kopierar du Microsoft Sentinel-arbetsytans ID och primärnyckel och klistrar in dem åt sidan.

3. Skapa en funktionsapp

   1. Från Azure Portal söker du efter och väljer Funktionsapp.

   2. På sidan Funktionsapp väljer du Skapa. Guiden Skapa funktionsapp öppnas.

   3. På fliken Grundläggande :

      • Välj en prenumeration och resursgrupp.
      • Ge funktionsappen ett namn.
      • Ange Runtime-stacken till PowerShell Core.
      • Välj lämpligt versionsnummer.
      • Välj den region där du vill distribuera och välj sedan Nästa : Värd.

   4. På fliken Värd :

      • Välj det Lagringskonto som du vill använda eller skapa ett nytt.
      • Välj Förbrukning (serverlös) som plantyp.

   5. Gör andra konfigurationsändringar som du behöver och välj sedan Granska + skapa.

   6. Vänta tills meddelandet "Validering har skickats" och välj sedan Skapa.

   7. När distributionen är klar väljer du Gå till resurs.

4. Importera funktionsappkod

   1. I den nyligen skapade funktionsappen väljer du Funktioner på navigeringsmenyn.

   2. På sidan Funktioner väljer du + Lägg till.

   3. I panelen Lägg till funktion väljer du timerutlösaren .

   4. Ange ett unikt namn för funktionen och ange ett cron-uttryck för att ange schemat. Standardintervallet är var 5:e minut.

   5. När funktionen har skapats väljer du Kod + Test i den vänstra rutan.

   6. Ladda ned funktionsappkoden som tillhandahålls av källsystemets leverantör och kopiera och klistra in den i funktionsappen run.ps1-redigeraren och ersätt det som finns där som standard. Du hittar nedladdningslänken på anslutningssidan eller i avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsappar.

   7. Välj Spara.

5. Konfigurera funktionsappen

   1. På funktionsappens sida väljer du Konfiguration under Inställningar på navigeringsmenyn.

   2. På fliken Programinställningar väljer du + Ny programinställning.

   3. Lägg till de föreskrivna programinställningarna för din produkt individuellt med respektive skiftlägeskänsliga strängvärden. Se dataanslutningssidan eller produktavsnittet i avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsappar.

      Dricks

      Om tillämpligt använder du logAnalyticsUri-programinställningen för att åsidosätta LOG Analytics API-slutpunkten om du använder ett dedikerat moln. Om du till exempel använder det offentliga molnet lämnar du värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.

Manuell distribution med Python

Använd följande stegvisa instruktioner för att manuellt distribuera Azure Functions-baserade anslutningsappar som använder Python-funktioner. Den här typen av distribution kräver Visual Studio Code.

1. I Microsoft Sentinel-portalen väljer du Dataanslutningsprogram. Välj din Azure Functions-baserade anslutningsapp i listan och öppna sedan sidan Öppna anslutningsapp.

2. Under Konfiguration kopierar du Microsoft Sentinel-arbetsytans ID och primärnyckel och klistrar in dem åt sidan.

3. Distribuera en funktionsapp

   Kommentar

   Du måste förbereda Visual Studio Code (VS Code) för azure-funktionsutveckling.

   1. Ladda ned Azure Function App-filen med hjälp av länken som anges på dataanslutningssidan och i avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsappar. Extrahera arkivet till din lokala utvecklingsdator.

   2. Starta VS Code. I menyraden väljer du Arkiv > Öppna mapp....

   3. Välj mappen på den översta nivån från filerna som extraheras från arkivet.

   4. Välj Azure-ikonen i aktivitetsfältet för VS Code (till vänster). I området Azure: Functions väljer du sedan knappen Distribuera till funktionsapp .

      Kommentar

      Om du inte redan är inloggad väljer du Azure-ikonen i aktivitetsfältet. I området Azure: Functions väljer du sedan Logga in på Azure.
      Om du redan är inloggad går du till nästa steg.

   5. Ange följande information i meddelanderutorna:

      • Välj mapp: Välj en mapp från arbetsytan eller bläddra till en mapp som innehåller funktionsappen.
      • Välj prenumeration: Välj den prenumeration som ska användas.
      • Välj Skapa ny funktionsapp i Azure. (Välj inteAvancerat alternativ.)
      • Ange ett globalt unikt namn för funktionsappen: Ge funktionsappen ett namn som skulle vara giltigt i en URL-sökväg. Namnet du väljer verifieras för att se till att det är unikt i Hela Azure Functions.
      • Välj en körning: Välj Python 3.8.

   6. Distributionen påbörjas. Ett meddelande visas när funktionsappen har skapats och distributionspaketet har tillämpats.

   7. Gå tillbaka till funktionsappens sida för konfiguration.

4. Konfigurera funktionsappen

   1. På funktionsappens sida väljer du Konfiguration under Inställningar på navigeringsmenyn.

   2. På fliken Programinställningar väljer du + Ny programinställning.

   3. Lägg till de föreskrivna programinställningarna för din produkt individuellt med respektive skiftlägeskänsliga strängvärden. Se sidan för dataanslutning eller avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsappar för de programinställningar som ska läggas till.

      • Om tillämpligt använder du logAnalyticsUri-programinställningen för att åsidosätta LOG Analytics API-slutpunkten om du använder ett dedikerat moln. Om du till exempel använder det offentliga molnet lämnar du värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.

Hitta dina data

När en lyckad anslutning har upprättats visas data i Loggar under CustomLogs, i tabellerna som anges i avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningar.

Om du vill fråga efter data anger du ett av dessa tabellnamn – eller relevant Kusto-funktionsalias – i frågefönstret.

Se fliken Nästa steg på anslutningssidan för några användbara exempelfrågor.

Validera anslutningen

Det kan ta upp till 20 minuter innan loggarna börjar visas i Log Analytics.

Nästa steg

I det här dokumentet har du lärt dig hur du ansluter Microsoft Sentinel till din datakälla med hjälp av Azure Functions-baserade anslutningsappar. Mer information om Microsoft Sentinel finns i följande artiklar:

• Lär dig hur du får insyn i dina data och potentiella hot.
• Kom igång identifiera hot med Microsoft Sentinel.
• Använd arbetsböcker för att övervaka dina data.