Prostředky pro vytváření vlastních konektorů služby Microsoft Sentinel
Microsoft Sentinel poskytuje širokou škálu integrovaných konektorů pro služby Azure a externí řešení a také podporuje ingestování dat z některých zdrojů bez vyhrazeného konektoru.
Pokud nemůžete připojit zdroj dat ke službě Microsoft Sentinel pomocí některého z dostupných řešení, zvažte vytvoření vlastního konektoru zdroje dat.
Úplný seznam podporovaných konektorů najdete v blogovém příspěvku Microsoft Sentinel: The connectors grand (CEF, Syslog, Direct, Agent, Custom a další).
Porovnání metod vlastních konektorů
Následující tabulka porovnává základní podrobnosti o jednotlivých metodách vytváření vlastních konektorů popsaných v tomto článku. Výběrem odkazů v tabulce zobrazíte další podrobnosti o jednotlivých metodách.
Popis metody | Schopnost | Bez serveru | Složitost |
---|---|---|---|
Platforma konektoru bez kódu (CCP) Pro méně technické cílové skupiny je vhodné vytvářet konektory SaaS pomocí konfiguračního souboru místo pokročilého vývoje. |
Podporuje všechny funkce dostupné s kódem. | Yes | Nízké; jednoduchý vývoj bez kódu |
Log Analytics Agent Nejlepší pro shromažďování souborů z místních zdrojů a zdrojů IaaS |
Pouze kolekce souborů | No | Nízká |
Logstash Nejvhodnější pro místní zdroje a zdroje IaaS, jakýkoli zdroj, pro který je k dispozici modul plug-in, a organizace, které už znají logstash |
Dostupné moduly plug-in a vlastní moduly plug-in poskytují značnou flexibilitu. | Ne; vyžaduje spuštění virtuálního počítače nebo clusteru virtuálních počítačů. | Nízké; podporuje mnoho scénářů s moduly plug-in |
Logic Apps Vysoké náklady; vyhnout se velkoobsáhovým datům Nejlepší pro cloudové zdroje s nízkým objemem |
Programování bez kódu umožňuje omezenou flexibilitu bez podpory implementace algoritmů. Pokud vaše požadavky ještě nepodporuje žádná dostupná akce, může vytvoření vlastní akce zkompilovat. |
Yes | Nízké; jednoduchý vývoj bez kódu |
PowerShell Nejlepší pro vytváření prototypů a pravidelné nahrávání souborů |
Přímá podpora shromažďování souborů PowerShell se dá použít ke shromažďování dalších zdrojů, ale bude vyžadovat kódování a konfiguraci skriptu jako služby. |
No | Nízká |
Rozhraní API služby Log Analytics Nejvhodnější pro nezávislé výrobce softwaru implementovaná integrace a jedinečné požadavky na kolekci |
Podporuje všechny funkce dostupné s kódem. | Závisí na implementaci | Vysoká |
Azure Functions Nejlepší pro vysokoobsážové cloudové zdroje a jedinečné požadavky na shromažďování |
Podporuje všechny funkce dostupné s kódem. | Yes | Vysoké; vyžaduje znalosti programování. |
Tip
Porovnání použití Logic Apps a Azure Functions pro stejný konektor najdete tady:
- Rychlé ingestování Web Application Firewall protokolů do služby Microsoft Sentinel
- Office 365 (komunita GitHubu pro Microsoft Sentinel): Konektor funkce Azure Functions konektoru | aplikacelogiky
Připojení s platformou konektoru bez kódu
Platforma codeless Connector Platform (CCP) poskytuje konfigurační soubor, který můžou používat zákazníci i partneři a pak ho nasadit do vlastního pracovního prostoru nebo jako řešení galerie řešení služby Microsoft Sentinel.
Konektory vytvořené pomocí ccp jsou plně SaaS, bez jakýchkoli požadavků na instalace služeb, a také zahrnují monitorování stavu a plnou podporu ze služby Microsoft Sentinel.
Další informace najdete v tématu Vytvoření konektoru bez kódu pro Microsoft Sentinel.
Připojení pomocí agenta Log Analytics
Pokud váš zdroj dat doručuje události v souborech, doporučujeme k vytvoření vlastního konektoru použít agenta Log Analytics služby Azure Monitor.
Další informace najdete v tématu Shromažďování vlastních protokolů ve službě Azure Monitor.
Příklad této metody najdete v tématu Shromažďování vlastních zdrojů dat JSON pomocí agenta Log Analytics pro Linux ve službě Azure Monitor.
Připojení pomocí Logstash
Pokud znáte logstash, můžete použít Logstash s výstupním modulem plug-in Logstash pro Microsoft Sentinel k vytvoření vlastního konektoru.
Pomocí modulu plug-in Výstup logstash služby Microsoft Sentinel můžete použít jakékoli vstupní a filtrovací moduly plug-in Logstash a nakonfigurovat Microsoft Sentinel jako výstup pro kanál Logstash. Logstash má velkou knihovnu modulů plug-in, které umožňují vstup z různých zdrojů, jako jsou event hubs, Apache Kafka, Soubory, databáze a cloudové služby. Pomocí modulů plug-in pro filtrování můžete analyzovat události, filtrovat nepotřebné události, obfuscate hodnoty atd.
Příklady použití logstash jako vlastního konektoru najdete tady:
- Vyhledávání cílů TTPs pro porušení capital one v protokolech AWS pomocí služby Microsoft Sentinel (blog)
- Průvodce implementací služby Radware Microsoft Sentinel
Příklady užitečných modulů plug-in Logstash najdete tady:
- Vstupní modul plug-in Cloudwatch
- modul plug-in Azure Event Hubs
- Vstupní modul plug-in Google Cloud Storage
- Google_pubsub vstupní modul plug-in
Tip
Logstash také umožňuje shromažďování škálovaných dat pomocí clusteru. Další informace najdete v tématu Použití virtuálního počítače Logstash s vyrovnáváním zatížení ve velkém měřítku.
Připojení pomocí Logic Apps
Pomocí Azure Logic Apps můžete vytvořit bezserverový vlastní konektor pro Microsoft Sentinel.
Poznámka
Vytváření bezserverových konektorů pomocí Logic Apps může být sice pohodlné, ale použití služby Logic Apps pro vaše konektory může být nákladné pro velké objemy dat.
Tuto metodu doporučujeme používat jenom pro zdroje dat s nízkým objemem dat nebo rozšiřování nahrávání dat.
Ke spuštění Logic Apps použijte jeden z následujících triggerů:
Trigger Description Opakovaný úkol Můžete například naplánovat, aby aplikace logiky pravidelně načítala data z konkrétních souborů, databází nebo externích rozhraní API.
Další informace najdete v tématu Vytváření, plánování a spouštění opakovaných úloh a pracovních postupů v Azure Logic Apps.Aktivace na vyžádání Spusťte aplikaci logiky na vyžádání pro ruční shromažďování a testování dat.
Další informace najdete v tématu Volání, trigger nebo vnoření aplikací logiky pomocí koncových bodů HTTPS.Koncový bod HTTP/S Doporučuje se pro streamování a jestli zdrojový systém může spustit přenos dat.
Další informace najdete v tématu Volání koncových bodů služby přes PROTOKOL HTTP nebo HTTPS.K získání událostí použijte kterýkoli z konektorů aplikace logiky, které čtou informace. Příklad:
Tip
Vlastní konektory pro rozhraní REST API, SQL Servery a systémy souborů také podporují načítání dat z místních zdrojů dat. Další informace najdete v dokumentaci k instalaci místní brány dat .
Připravte informace, které chcete načíst.
Pomocí akce Parsovat JSON můžete například získat přístup k vlastnostem v obsahu JSON, což vám umožní vybrat tyto vlastnosti ze seznamu dynamického obsahu při zadávání vstupů pro vaši aplikaci logiky.
Další informace najdete v tématu Provádění operací s daty v Azure Logic Apps.
Zapište data do Log Analytics.
Další informace najdete v dokumentaci ke kolektoru dat Azure Log Analytics .
Příklady vytvoření vlastního konektoru pro službu Microsoft Sentinel pomocí Logic Apps najdete tady:
- Vytvoření datového kanálu pomocí rozhraní API kolektoru dat
- Konektor Palo Alto Prisma Logic App s využitím webhooku (komunita GitHubu pro Microsoft Sentinel)
- Zabezpečení hovorů v Microsoft Teams pomocí plánované aktivace (blog)
- Ingestování indikátorů hrozeb AlienVault OTX do služby Microsoft Sentinel (blog)
Připojení přes PowerShell
Skript Prostředí PowerShell Upload-AzMonitorLog umožňuje používat PowerShell ke streamování událostí nebo kontextových informací do služby Microsoft Sentinel z příkazového řádku. Toto streamování efektivně vytvoří vlastní konektor mezi zdrojem dat a službou Microsoft Sentinel.
Například následující skript nahraje soubor CSV do služby Microsoft Sentinel:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
Skript PowerShellu Upload-AzMonitorLog používá následující parametry:
Parametr | Popis |
---|---|
Id pracovního prostoru | ID pracovního prostoru služby Microsoft Sentinel, do kterého budete ukládat data. Vyhledejte ID a klíč pracovního prostoru. |
Klíč pracovního prostoru | Primární nebo sekundární klíč pracovního prostoru služby Microsoft Sentinel, do kterého budete ukládat data. Vyhledejte ID a klíč pracovního prostoru. |
LogTypeName | Název vlastní tabulky protokolů, do které chcete data uložit. Na konec názvu tabulky se automaticky přidá přípona _CL . |
Přidatnázevpočítače | Pokud tento parametr existuje, skript přidá název aktuálního počítače do každého záznamu protokolu do pole s názvem Počítač. |
TaggedAzureResourceId | Pokud tento parametr existuje, skript přidruží všechny nahrané záznamy protokolu k zadanému prostředku Azure. Toto přidružení umožňuje nahrané záznamy protokolu pro dotazy na kontext prostředků a dodržuje řízení přístupu na základě role zaměřené na prostředky. |
AdditionalDataTaggingName | Pokud tento parametr existuje, skript přidá do každého záznamu protokolu další pole s nakonfigurovaným názvem a hodnotou nakonfigurovanou pro parametr AdditionalDataTaggingValue . V tomto případě nesmí být Hodnota AdditionalDataTaggingValue prázdná. |
AdditionalDataTaggingValue | Pokud tento parametr existuje, skript přidá do každého záznamu protokolu další pole s nakonfigurovanou hodnotou a názvem pole nakonfigurovaným pro parametr AdditionalDataTaggingName . Pokud je parametr AdditionalDataTaggingName prázdný, ale je nakonfigurovaná hodnota, výchozí název pole je DataTagging. |
Zjištění ID a klíče pracovního prostoru
Vyhledejte podrobnosti o parametrech WorkspaceID a WorkspaceKey ve službě Microsoft Sentinel:
Ve službě Microsoft Sentinel vyberte nastavení na levé straně a pak vyberte kartu Nastavení pracovního prostoru .
V části Začínáme s Log Analytics>1 Připojit zdroj dat vyberte Správa agentů pro Windows a Linux.
ID pracovního prostoru, primární klíč a sekundární klíč najdete na kartách Serverů s Windows .
Připojení s využitím rozhraní LOG Analytics API
Události můžete streamovat do služby Microsoft Sentinel pomocí rozhraní API kolektoru dat Log Analytics, které přímo volá koncový bod RESTful.
I když volání koncového bodu RESTful přímo vyžaduje více programování, poskytuje také větší flexibilitu.
Další informace najdete v tématu Rozhraní API kolektoru dat Log Analytics, zejména v následujících příkladech:
Připojení pomocí Azure Functions
K vytvoření vlastního konektoru bez serveru použijte Azure Functions společně s rozhraním RESTful API a různými programovacími jazyky, jako je PowerShell.
Příklady této metody najdete tady:
- Připojení koncového bodu VMware Carbon Black Cloud Standard ke službě Microsoft Sentinel pomocí funkce Azure Functions
- Připojení samostatného Sign-On Okta ke službě Microsoft Sentinel pomocí funkce Azure Functions
- Připojení proofpointu TAP k Microsoft Sentinelu s využitím funkce Azure Functions
- Připojení virtuálního počítače Qualys ke službě Microsoft Sentinel pomocí funkce Azure Functions
- Ingestování XML, CSV nebo jiných formátů dat
- Monitorování funkce Zoom pomocí služby Microsoft Sentinel (blog)
- Nasazení aplikace funkcí pro získávání dat rozhraní API Office 365 Management do služby Microsoft Sentinel (komunita Microsoft Sentinelu na GitHubu)
Parsování dat vlastního konektoru
Pokud chcete využívat data shromážděná pomocí vlastního konektoru, vytvořte analyzátory ASIM (Advanced Security Information Model) pro práci s vaším konektorem. Použití ASIM umožňuje integrovanému obsahu služby Microsoft Sentinel používat vlastní data a usnadňuje analytikům dotazování na data.
Pokud to vaše metoda konektoru umožňuje, můžete část analýzy implementovat jako součást konektoru a zlepšit tak výkon analýzy doby dotazu:
- Pokud jste používali Logstash, použijte k parsování dat modul plug-in Filtru Grok .
- Pokud jste použili funkci Azure, parsujte data pomocí kódu.
Stále budete muset implementovat analyzátory ASIM, ale implementace části analýzy přímo s konektorem zjednodušuje analýzu a zlepšuje výkon.
Další kroky
Pomocí dat přijatých do služby Microsoft Sentinel zabezpečte své prostředí pomocí některého z následujících procesů:
- Získání přehledu o upozorněních
- Vizualizace a monitorování dat
- Šetření incidentů
- Detekce hrozeb
- Automatizace prevence hrozeb
- Proaktivní vyhledávání hrozeb
Přečtěte si také o jednom příkladu vytvoření vlastního konektoru pro monitorování funkce Zoom: Monitorování funkce Zoom pomocí služby Microsoft Sentinel.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro