Prostředky pro vytváření vlastních konektorů služby Microsoft Sentinel

Microsoft Sentinel poskytuje širokou škálu integrovaných konektorů pro služby Azure a externí řešení a také podporuje ingestování dat z některých zdrojů bez vyhrazeného konektoru.

Pokud nemůžete připojit zdroj dat ke službě Microsoft Sentinel pomocí některého z dostupných řešení, zvažte vytvoření vlastního konektoru zdroje dat.

Úplný seznam podporovaných konektorů najdete v blogovém příspěvku Microsoft Sentinel: The connectors grand (CEF, Syslog, Direct, Agent, Custom a další).

Porovnání metod vlastních konektorů

Následující tabulka porovnává základní podrobnosti o jednotlivých metodách vytváření vlastních konektorů popsaných v tomto článku. Výběrem odkazů v tabulce zobrazíte další podrobnosti o jednotlivých metodách.

Popis metody Schopnost Bez serveru Složitost
Platforma konektoru bez kódu (CCP)
Pro méně technické cílové skupiny je vhodné vytvářet konektory SaaS pomocí konfiguračního souboru místo pokročilého vývoje.
Podporuje všechny funkce dostupné s kódem. Yes Nízké; jednoduchý vývoj bez kódu
Log Analytics Agent
Nejlepší pro shromažďování souborů z místních zdrojů a zdrojů IaaS
Pouze kolekce souborů No Nízká
Logstash
Nejvhodnější pro místní zdroje a zdroje IaaS, jakýkoli zdroj, pro který je k dispozici modul plug-in, a organizace, které už znají logstash
Dostupné moduly plug-in a vlastní moduly plug-in poskytují značnou flexibilitu. Ne; vyžaduje spuštění virtuálního počítače nebo clusteru virtuálních počítačů. Nízké; podporuje mnoho scénářů s moduly plug-in
Logic Apps
Vysoké náklady; vyhnout se velkoobsáhovým datům
Nejlepší pro cloudové zdroje s nízkým objemem
Programování bez kódu umožňuje omezenou flexibilitu bez podpory implementace algoritmů.

Pokud vaše požadavky ještě nepodporuje žádná dostupná akce, může vytvoření vlastní akce zkompilovat.
Yes Nízké; jednoduchý vývoj bez kódu
PowerShell
Nejlepší pro vytváření prototypů a pravidelné nahrávání souborů
Přímá podpora shromažďování souborů

PowerShell se dá použít ke shromažďování dalších zdrojů, ale bude vyžadovat kódování a konfiguraci skriptu jako služby.
No Nízká
Rozhraní API služby Log Analytics
Nejvhodnější pro nezávislé výrobce softwaru implementovaná integrace a jedinečné požadavky na kolekci
Podporuje všechny funkce dostupné s kódem. Závisí na implementaci Vysoká
Azure Functions
Nejlepší pro vysokoobsážové cloudové zdroje a jedinečné požadavky na shromažďování
Podporuje všechny funkce dostupné s kódem. Yes Vysoké; vyžaduje znalosti programování.

Tip

Porovnání použití Logic Apps a Azure Functions pro stejný konektor najdete tady:

Připojení s platformou konektoru bez kódu

Platforma codeless Connector Platform (CCP) poskytuje konfigurační soubor, který můžou používat zákazníci i partneři a pak ho nasadit do vlastního pracovního prostoru nebo jako řešení galerie řešení služby Microsoft Sentinel.

Konektory vytvořené pomocí ccp jsou plně SaaS, bez jakýchkoli požadavků na instalace služeb, a také zahrnují monitorování stavu a plnou podporu ze služby Microsoft Sentinel.

Další informace najdete v tématu Vytvoření konektoru bez kódu pro Microsoft Sentinel.

Připojení pomocí agenta Log Analytics

Pokud váš zdroj dat doručuje události v souborech, doporučujeme k vytvoření vlastního konektoru použít agenta Log Analytics služby Azure Monitor.

Připojení pomocí Logstash

Pokud znáte logstash, můžete použít Logstash s výstupním modulem plug-in Logstash pro Microsoft Sentinel k vytvoření vlastního konektoru.

Pomocí modulu plug-in Výstup logstash služby Microsoft Sentinel můžete použít jakékoli vstupní a filtrovací moduly plug-in Logstash a nakonfigurovat Microsoft Sentinel jako výstup pro kanál Logstash. Logstash má velkou knihovnu modulů plug-in, které umožňují vstup z různých zdrojů, jako jsou event hubs, Apache Kafka, Soubory, databáze a cloudové služby. Pomocí modulů plug-in pro filtrování můžete analyzovat události, filtrovat nepotřebné události, obfuscate hodnoty atd.

Příklady použití logstash jako vlastního konektoru najdete tady:

Příklady užitečných modulů plug-in Logstash najdete tady:

Tip

Logstash také umožňuje shromažďování škálovaných dat pomocí clusteru. Další informace najdete v tématu Použití virtuálního počítače Logstash s vyrovnáváním zatížení ve velkém měřítku.

Připojení pomocí Logic Apps

Pomocí Azure Logic Apps můžete vytvořit bezserverový vlastní konektor pro Microsoft Sentinel.

Poznámka

Vytváření bezserverových konektorů pomocí Logic Apps může být sice pohodlné, ale použití služby Logic Apps pro vaše konektory může být nákladné pro velké objemy dat.

Tuto metodu doporučujeme používat jenom pro zdroje dat s nízkým objemem dat nebo rozšiřování nahrávání dat.

  1. Ke spuštění Logic Apps použijte jeden z následujících triggerů:

    Trigger Description
    Opakovaný úkol Můžete například naplánovat, aby aplikace logiky pravidelně načítala data z konkrétních souborů, databází nebo externích rozhraní API.
    Další informace najdete v tématu Vytváření, plánování a spouštění opakovaných úloh a pracovních postupů v Azure Logic Apps.
    Aktivace na vyžádání Spusťte aplikaci logiky na vyžádání pro ruční shromažďování a testování dat.
    Další informace najdete v tématu Volání, trigger nebo vnoření aplikací logiky pomocí koncových bodů HTTPS.
    Koncový bod HTTP/S Doporučuje se pro streamování a jestli zdrojový systém může spustit přenos dat.
    Další informace najdete v tématu Volání koncových bodů služby přes PROTOKOL HTTP nebo HTTPS.
  2. K získání událostí použijte kterýkoli z konektorů aplikace logiky, které čtou informace. Příklad:

    Tip

    Vlastní konektory pro rozhraní REST API, SQL Servery a systémy souborů také podporují načítání dat z místních zdrojů dat. Další informace najdete v dokumentaci k instalaci místní brány dat .

  3. Připravte informace, které chcete načíst.

    Pomocí akce Parsovat JSON můžete například získat přístup k vlastnostem v obsahu JSON, což vám umožní vybrat tyto vlastnosti ze seznamu dynamického obsahu při zadávání vstupů pro vaši aplikaci logiky.

    Další informace najdete v tématu Provádění operací s daty v Azure Logic Apps.

  4. Zapište data do Log Analytics.

    Další informace najdete v dokumentaci ke kolektoru dat Azure Log Analytics .

Příklady vytvoření vlastního konektoru pro službu Microsoft Sentinel pomocí Logic Apps najdete tady:

Připojení přes PowerShell

Skript Prostředí PowerShell Upload-AzMonitorLog umožňuje používat PowerShell ke streamování událostí nebo kontextových informací do služby Microsoft Sentinel z příkazového řádku. Toto streamování efektivně vytvoří vlastní konektor mezi zdrojem dat a službou Microsoft Sentinel.

Například následující skript nahraje soubor CSV do služby Microsoft Sentinel:

Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"

Skript PowerShellu Upload-AzMonitorLog používá následující parametry:

Parametr Popis
Id pracovního prostoru ID pracovního prostoru služby Microsoft Sentinel, do kterého budete ukládat data. Vyhledejte ID a klíč pracovního prostoru.
Klíč pracovního prostoru Primární nebo sekundární klíč pracovního prostoru služby Microsoft Sentinel, do kterého budete ukládat data. Vyhledejte ID a klíč pracovního prostoru.
LogTypeName Název vlastní tabulky protokolů, do které chcete data uložit. Na konec názvu tabulky se automaticky přidá přípona _CL .
Přidatnázevpočítače Pokud tento parametr existuje, skript přidá název aktuálního počítače do každého záznamu protokolu do pole s názvem Počítač.
TaggedAzureResourceId Pokud tento parametr existuje, skript přidruží všechny nahrané záznamy protokolu k zadanému prostředku Azure.

Toto přidružení umožňuje nahrané záznamy protokolu pro dotazy na kontext prostředků a dodržuje řízení přístupu na základě role zaměřené na prostředky.
AdditionalDataTaggingName Pokud tento parametr existuje, skript přidá do každého záznamu protokolu další pole s nakonfigurovaným názvem a hodnotou nakonfigurovanou pro parametr AdditionalDataTaggingValue .

V tomto případě nesmí být Hodnota AdditionalDataTaggingValue prázdná.
AdditionalDataTaggingValue Pokud tento parametr existuje, skript přidá do každého záznamu protokolu další pole s nakonfigurovanou hodnotou a názvem pole nakonfigurovaným pro parametr AdditionalDataTaggingName .

Pokud je parametr AdditionalDataTaggingName prázdný, ale je nakonfigurovaná hodnota, výchozí název pole je DataTagging.

Zjištění ID a klíče pracovního prostoru

Vyhledejte podrobnosti o parametrech WorkspaceID a WorkspaceKey ve službě Microsoft Sentinel:

  1. Ve službě Microsoft Sentinel vyberte nastavení na levé straně a pak vyberte kartu Nastavení pracovního prostoru .

  2. V části Začínáme s Log Analytics>1 Připojit zdroj dat vyberte Správa agentů pro Windows a Linux.

  3. ID pracovního prostoru, primární klíč a sekundární klíč najdete na kartách Serverů s Windows .

Připojení s využitím rozhraní LOG Analytics API

Události můžete streamovat do služby Microsoft Sentinel pomocí rozhraní API kolektoru dat Log Analytics, které přímo volá koncový bod RESTful.

I když volání koncového bodu RESTful přímo vyžaduje více programování, poskytuje také větší flexibilitu.

Další informace najdete v tématu Rozhraní API kolektoru dat Log Analytics, zejména v následujících příkladech:

Připojení pomocí Azure Functions

K vytvoření vlastního konektoru bez serveru použijte Azure Functions společně s rozhraním RESTful API a různými programovacími jazyky, jako je PowerShell.

Příklady této metody najdete tady:

Parsování dat vlastního konektoru

Pokud chcete využívat data shromážděná pomocí vlastního konektoru, vytvořte analyzátory ASIM (Advanced Security Information Model) pro práci s vaším konektorem. Použití ASIM umožňuje integrovanému obsahu služby Microsoft Sentinel používat vlastní data a usnadňuje analytikům dotazování na data.

Pokud to vaše metoda konektoru umožňuje, můžete část analýzy implementovat jako součást konektoru a zlepšit tak výkon analýzy doby dotazu:

  • Pokud jste používali Logstash, použijte k parsování dat modul plug-in Filtru Grok .
  • Pokud jste použili funkci Azure, parsujte data pomocí kódu.

Stále budete muset implementovat analyzátory ASIM, ale implementace části analýzy přímo s konektorem zjednodušuje analýzu a zlepšuje výkon.

Další kroky

Pomocí dat přijatých do služby Microsoft Sentinel zabezpečte své prostředí pomocí některého z následujících procesů:

Přečtěte si také o jednom příkladu vytvoření vlastního konektoru pro monitorování funkce Zoom: Monitorování funkce Zoom pomocí služby Microsoft Sentinel.