你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

使用 Azure Functions 将 Microsoft Sentinel 连接到数据源

可以将 Azure Functions 与各种编码语言（如 PowerShell 或 Python）结合使用，以创建到兼容数据源 REST API 终结点的无服务器连接器。 然后，Azure Function Apps 允许将 Microsoft Sentinel 连接到数据源的 REST API 来拉取日志。

本文介绍如何使用 Azure Function Apps 来配置 Microsoft Sentinel。 可能还需要配置源系统，可以在门户中每个数据连接器页或 Microsoft Sentinel 数据连接器参考页中的服务部分查找供应商和产品特定信息链接。

注意

• 将数据引入 Microsoft Sentinel 后，数据存储在运行 Microsoft Sentinel 的工作区的地理位置。

  对于长期保留，你可能还需要将数据存储在“辅助日志”或“基本日志”等日志类型中。 有关详细信息，请参阅 Microsoft Sentinel 中的日志保留计划。

• 使用 Azure Functions 将数据引入 Microsoft Sentinel 可能会导致额外的数据引入成本。 有关详细信息，请参阅 Azure Functions 定价页。

先决条件

在使用 Azure Functions 连接到数据源 Microsoft Sentinel 以及在 Microsoft Sentinel 中拉取其日志之前，请确保具有以下权限和凭据：

• 必须对 Microsoft Sentinel 工作区拥有读取和写入权限。

• 必须有工作区的共享密钥的读取权限。 详细了解工作区密钥。

• 必须具有 Azure Functions 的读取和写入权限，用于创建函数应用。 详细了解 Azure Functions。

• 还需要凭据才能访问产品的 API - 用户名和密码、令牌、密钥或其他组合。 可能还需要其他 API 信息，例如终结点 URI。

  有关详细信息，请参阅要连接到的服务的文档以及 Microsoft Sentinel 数据连接器参考页中的服务部分。

• 从 Microsoft Sentinel 的内容中心安装包含基于 Azure Function 的连接器的解决方案。 有关详细信息，请参阅发现和管理 Microsoft Sentinel 的现成内容。

配置和连接数据源

注意

• 可以将工作区和 API 授权密钥或令牌安全地存储在 Azure Key Vault 中。 Azure Key Vault 提供了一种存储和检索键值的安全机制。 按照这些说明，将 Azure Key Vault 与 Azure 函数应用结合使用。

• 某些数据连接器依赖于基于 Kusto 函数的分析程序才能按预期方式工作。 有关用于创建 Kusto 函数和别名的说明，请参阅 Microsoft Sentinel 数据连接器参考页中的服务部分。

步骤 1：获取源系统的 API 凭据

按照源系统的说明获取其“API 凭据/授权密钥/令牌”。 将其复制并粘贴到文本文件中，供稍后使用。

可以在门户的数据连接器页和 Microsoft Sentinel 数据连接器参考页的服务部分找到所需的确切凭据的详细信息，以及指向产品查找或创建说明的链接。

可能还需在源系统上配置日志记录或其他设置。 你将找到相关的以及上一段落中的说明。

步骤 2：部署连接器和关联的 Azure 函数应用

选择部署选项

Azure 资源管理器 (ARM) 模板

此方法使用 ARM 模板自动部署基于 Azure 函数的连接器。

1. 在 Microsoft Sentinel 门户中，单击“数据连接器”。 从列表中选择基于 Azure Functions 的连接器，然后选择“打开连接器页面”。

2. 在“配置”下，复制 Microsoft Sentinel“工作区 ID”和“主密钥”，并粘贴到一旁 。

3. 选择“部署到 Azure”。 （可能需要向下滚动才能看到此按钮。）

4. 将显示“自定义部署”屏幕。

   • 选择“订阅”、“资源组”以及“区域”来部署函数应用 。

   • 输入上述步骤 1 中保存的 API 凭据/授权密钥/令牌。

   • 输入复制并放在一旁的 Microsoft Sentinel“工作区 ID”和“工作区密钥”（主密钥） 。

     注意

     如果针对以上任何值使用 Azure Key Vault 机密，请使用 @Microsoft.KeyVault(SecretUri={Security Identifier}) 架构来表示字符串值。 有关更多详细信息，请参阅 Key Vault 参考文档。

   • 在“自定义部署”屏幕上填写窗体中的其他任何字段。 在门户中查看数据连接器页，或在 Microsoft Sentinel 数据连接器参考页中查看服务部分。

   • 选择“查看 + 创建” 。 验证完成后，选择“创建”。

使用 PowerShell 进行手动部署

使用以下分步说明手动部署使用 PowerShell 函数且基于 Azure Functions 的连接器。

1. 在 Microsoft Sentinel 门户中，单击“数据连接器”。 从列表中选择基于 Azure Functions 的连接器，然后选择“打开连接器页面”。

2. 在“配置”下，复制 Microsoft Sentinel“工作区 ID”和“主密钥”，并粘贴到一旁 。

3. 创建函数应用

   1. 从 Azure 门户，搜索并选择“函数应用”。

   2. 在“函数应用”页面，选择“创建” 。 将打开“创建函数应用”向导。

   3. 在“基本信息”选项卡中：

      • 选择一个“订阅”和“资源组” 。
      • 为函数应用命名。
      • 设置 PowerShell Core 的“运行时堆栈”。
      • 选择适当的版本号。
      • 选择要部署的“区域”，然后选择“下一步: 托管” 。

   4. 在“托管”选项卡中：

      • 选择要使用的存储帐户，或新建一个。
      • 选择“消耗(无服务器)”作为“计划类型”。

   5. 进行所需的任何其他配置更改，然后选择“查看 + 创建”。

   6. 等待“验证通过”的消息，然后选择“创建”。

   7. 部署完成后，选择“转到资源”。

4. 导入函数应用代码

   1. 在新建的函数应用中，从导航菜单中选择“函数”。

   2. 在“函数”页面，选择“+ 添加” 。

   3. 在“添加函数”面板，选择“计时器”触发 。

   4. 为函数输入一个唯一名称，并输入 cron 表达式以指定计划。 默认时间间隔为每 5 分钟。

   5. 创建函数后，在左窗格中选择“代码 + 测试”。

   6. 下载源系统供应商提供的函数应用代码，将其复制并粘贴到“函数应用”的“run.ps1”编辑器中，替换默认存在的代码。 可以在连接器页或位于 Microsoft Sentinel 数据连接器参考页的服务部分找到下载链接。

   7. 选择“保存” 。

5. 配置函数应用

   1. 在函数应用页面，在导航菜单的“设置”下选择“配置” 。

   2. 在“应用程序设置”选项卡中，选择“+ 新建应用程序设置” 。

   3. 根据各自区分大小写的字符串值，将指定的应用程序设置单独添加到产品中。 查看数据连接器页或 Microsoft Sentinel 数据连接器参考服务部分中的产品部分。

      提示

      如果适用，请使用“logAnalyticsUri”应用程序设置来替代 Log Analytics API 终结点（如果使用的是专用云）。 因此，例如，如果使用的是公有云，将值留空；对于 Azure GovUS 云环境，指定以下格式的值：https://<CustomerId>.ods.opinsights.azure.us。

使用 Python 进行手动部署

使用以下分步说明手动部署使用 Python 函数且基于 Azure Functions 的连接器。 此类部署需要 Visual Studio Code。

1. 在 Microsoft Sentinel 门户中，单击“数据连接器”。 从列表中选择基于 Azure Functions 的连接器，然后选择“打开连接器页面”。

2. 在“配置”下，复制 Microsoft Sentinel“工作区 ID”和“主密钥”，并粘贴到一旁 。

3. 部署函数应用

   注意

   需要为 Azure 函数开发准备 Visual Studio Code (VS Code)。

   1. 使用数据连接器页和 Microsoft Sentinel 数据连接器参考页的服务部分提供的链接下载 Azure 函数应用文件。 将存档提取到本地开发计算机。

   2. 启动 VS Code。 从菜单栏中，选择“文件”>“打开文件夹...”。

   3. 在从存档提取的文件中选择顶层文件夹。

   4. 在 VS Code 活动栏（左侧）中，选择 Azure 图标。 然后，在“Azure: 函数”区域，选择“部署到函数应用”按钮 。

      注意

      如果你尚未登录，请在活动栏中选择 Azure 图标。 然后，在“Azure: 函数”区域，选择“登录到 Azure” 。
      如果已登录，请转到下一步骤。

   5. 根据提示提供以下信息：

      • 选择文件夹：从工作区选择一个文件夹，或浏览一个包含你的函数应用的文件夹。
      • 选择订阅：选择要使用的订阅。
      • 选择“在 Azure 中新建函数应用”。 （请勿选择“高级”选项。）
      • 为函数应用输入一个全局唯一名称：为函数应用指定一个在 URL 路径中有效的名称。 将对你选择的名称进行验证，以确保它在 Azure Functions 中是唯一的。
      • 选择运行时：选择“Python 3.8”。

   6. 将开始部署。 创建函数应用并应用了部署包之后，会显示一个通知。

   7. 返回到函数应用的配置页面。

4. 配置函数应用

   1. 在函数应用页面，在导航菜单的“设置”下选择“配置” 。

   2. 在“应用程序设置”选项卡中，选择“+ 新建应用程序设置” 。

   3. 根据各自区分大小写的字符串值，将指定的应用程序设置单独添加到产品中。 查看数据连接器页或 Microsoft Sentinel 数据连接器参考页服务部分中的应用程序设置以添加。

      • 如果适用，请使用“logAnalyticsUri”应用程序设置来替代 Log Analytics API 终结点（如果使用的是专用云）。 因此，例如，如果使用的是公有云，将值留空；对于 Azure GovUS 云环境，指定以下格式的值：https://<CustomerId>.ods.opinsights.azure.us。

查找数据

成功建立连接后，数据会显示在“CustomLogs”下的日志中，在 Microsoft Sentinel 数据连接器参考页的服务部分列出的表中。

若要查询数据，请在查询窗口中输入其中一个表名称或相关的 Kusto 函数别名。

请参阅连接器页中的“后续步骤”选项卡，了解一些有用的示例查询。

验证连接

可能需要长达 20 分钟的时间，日志才会开始显示在 Log Analytics 中。

后续步骤

在本文档，你已了解如何使用基于 Azure Functions 的连接器将 Microsoft Sentinel 连接到数据源。 若要详细了解 Microsoft Sentinel，请参阅以下文章：

• 了解如何洞悉数据和潜在威胁。
• 开始使用 Microsoft Sentinel 检测威胁。
• 使用工作簿监视数据。