Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Sentinel poskytuje širokou škálu předefinovaných konektorů pro Azure služby a externí řešení a také podporuje ingestování dat z některých zdrojů bez vyhrazeného konektoru.
Pokud nemůžete připojit zdroj dat k Microsoft Sentinel pomocí některého z dostupných řešení, zvažte vytvoření vlastního konektoru zdroje dat.
Úplný seznam podporovaných konektorů najdete v tématu Vyhledání Microsoft Sentinel datového konektoru).
Porovnání metod vlastních konektorů
Následující tabulka porovnává základní podrobnosti o jednotlivých metodách vytváření vlastních konektorů popsaných v tomto článku. Výběrem odkazů v tabulce zobrazíte další podrobnosti o jednotlivých metodách.
| Popis metody | Schopnosti | Bezserverová | Složitost |
|---|---|---|---|
|
Architektura konektorů bez kódu (CCF) Pro méně technické cílové skupiny je vhodné místo pokročilého vývoje vytvářet konektory SaaS pomocí konfiguračního souboru. |
Podporuje všechny funkce dostupné v kódu. | Ano | Nízké; jednoduchý vývoj bez kódu |
|
Agent Azure Monitor Nejvhodnější pro shromažďování souborů z místních zdrojů a zdrojů IaaS |
Shromažďování souborů, transformace dat | Ne | Nízké |
|
Logstash Nejvhodnější pro místní zdroje a zdroje IaaS, jakýkoli zdroj, pro který je k dispozici modul plug-in, a organizace, které už znají logstash |
Podporuje všechny funkce agenta Azure Monitor. | Ne; ke spuštění vyžaduje virtuální počítač nebo cluster virtuálních počítačů. | Nízké; podporuje mnoho scénářů s moduly plug-in |
|
Logic Apps Vysoké náklady; vyhněte se velkoobsáhovým datům Nejvhodnější pro cloudové zdroje s nízkým objemem dat |
Programování bez kódu umožňuje omezenou flexibilitu bez podpory implementace algoritmů. Pokud vaše požadavky ještě nepodporuje žádná dostupná akce, může vytvoření vlastní akce kompliovat. |
Ano | Nízké; jednoduchý vývoj bez kódu |
|
Rozhraní API pro příjem protokolů ve službě Azure Monitor Nejlepší pro nezávislé výrobce softwaru, kteří implementuje integraci, a pro jedinečné požadavky na kolekci |
Podporuje všechny funkce dostupné v kódu. | Závisí na implementaci | High (Vysoká) |
|
Azure Functions Nejvhodnější pro vysoce objemné cloudové zdroje a jedinečné požadavky na shromažďování |
Podporuje všechny funkce dostupné v kódu. | Ano | Vysoké; vyžaduje znalosti programování. |
Tip
Porovnání použití Logic Apps a Azure Functions pro stejný konektor najdete tady:
- Ingestovat rychle Web Application Firewall přihlášení do Microsoft Sentinel
- Office 365 (Microsoft Sentinel komunita GitHubu): Konektor aplikace logiky | Azure Konektor funkcí
Připojení s využitím architektury konektorů bez kódu
Architektura ccf (Codeless Connector Framework) poskytuje konfigurační soubor, který můžou používat zákazníci i partneři a pak ho nasadit do vlastního pracovního prostoru nebo jako řešení pro Microsoft Sentinel centrum obsahu.
Konektory vytvořené pomocí CCF jsou plně SaaS bez jakýchkoli požadavků na instalace služeb a zahrnují také monitorování stavu a plnou podporu od Microsoft Sentinel.
Další informace najdete v tématu Vytvoření konektoru bez kódu pro Microsoft Sentinel.
Připojení pomocí agenta Azure Monitor
Pokud váš zdroj dat doručuje události v textových souborech, doporučujeme k vytvoření vlastního konektoru použít agenta Azure Monitor.
Další informace najdete v tématu Shromažďování protokolů z textového souboru pomocí agenta Azure Monitor.
Příklad této metody najdete v tématu Shromažďování protokolů ze souboru JSON pomocí agenta Azure Monitor.
Připojení pomocí Logstash
Pokud znáte Logstash, možná budete chtít použít Logstash s výstupním modulem plug-in Logstash pro Microsoft Sentinel k vytvoření vlastního konektoru.
Pomocí modulu plug-in výstupu Microsoft Sentinel Logstash můžete použít jakékoli vstupní a filtrovací moduly plug-in Logstash a nakonfigurovat Microsoft Sentinel jako výstup pro kanál Logstash. Logstash má velkou knihovnu modulů plug-in, které umožňují vstup z různých zdrojů, jako jsou Event Hubs, Apache Kafka, Files, Databáze a cloudové služby. Pomocí modulů plug-in pro filtrování můžete analyzovat události, filtrovat nepotřebné události, obfuscate hodnoty a další.
Příklady použití logstash jako vlastního konektoru najdete tady:
- Proaktivní hledání TTPs pro porušení zabezpečení Capital One v protokolech AWS pomocí Microsoft Sentinel (blog)
- Průvodce implementací Microsoft Sentinel radwaru
Příklady užitečných modulů plug-in Logstash najdete tady:
- Vstupní modul plug-in Cloudwatch
- modul plug-in Azure Event Hubs
- Vstupní modul plug-in Google Cloud Storage
- Google_pubsub vstupní modul plug-in
Tip
Logstash také umožňuje shromažďování škálovaných dat pomocí clusteru. Další informace najdete v tématu Použití virtuálního počítače Logstash s vyrovnáváním zatížení ve velkém měřítku.
Připojení pomocí Logic Apps
Pomocí Azure Logic Apps můžete vytvořit bezserverový vlastní konektor pro Microsoft Sentinel.
Poznámka
I když vytváření bezserverových konektorů pomocí Logic Apps může být pohodlné, použití Logic Apps pro vaše konektory může být nákladné pro velké objemy dat.
Tuto metodu doporučujeme používat jenom pro zdroje dat s nízkým objemem dat nebo pro rozšiřování nahrávání dat.
Ke spuštění Logic Apps použijte jeden z následujících triggerů:
Aktivační událost Popis Opakovaný úkol Můžete například naplánovat aplikaci logiky tak, aby pravidelně načítala data z konkrétních souborů, databází nebo externích rozhraní API.
Další informace najdete v tématu Vytváření, plánování a spouštění opakovaných úloh a pracovních postupů v Azure Logic Apps.Aktivace na vyžádání Spusťte aplikaci logiky na vyžádání pro ruční shromažďování a testování dat.
Další informace najdete v tématu Volání, aktivace nebo vnoření aplikací logiky pomocí koncových bodů HTTPS.Koncový bod HTTP/S Doporučeno pro streamování a jestli zdrojový systém může spustit přenos dat.
Další informace najdete v tématu Volání koncových bodů služby přes PROTOKOL HTTP nebo HTTPS.K získání událostí použijte kterýkoli z konektorů aplikace logiky, které čtou informace. Příklady:
Tip
Vlastní konektory pro rozhraní REST API, SQL Servery a systémy souborů také podporují načítání dat z místních zdrojů dat. Další informace najdete v dokumentaci k instalaci místní brány dat .
Připravte si informace, které chcete načíst.
Pomocí akce parsovat JSON můžete například získat přístup k vlastnostem v obsahu JSON, což vám umožní vybrat tyto vlastnosti ze seznamu dynamického obsahu při zadávání vstupů pro vaši aplikaci logiky.
Další informace najdete v tématu Provádění operací s daty v Azure Logic Apps.
Zapište data do Log Analytics.
Další informace najdete v dokumentaci ke kolektoru dat Azure Log Analytics.
Příklady vytvoření vlastního konektoru pro Microsoft Sentinel pomocí Logic Apps najdete tady:
- Vytvoření datového kanálu pomocí rozhraní API kolektoru dat
- Konektor aplikace logiky Palo Alto Prisma s využitím webhooku (Microsoft Sentinel komunity GitHubu)
- Zabezpečení hovorů v Microsoft Teams pomocí plánované aktivace (blog)
- Ingestování indikátorů hrozeb AlienVault OTX do Microsoft Sentinel (blog)
Připojení pomocí rozhraní API pro příjem protokolů
Události můžete streamovat do Microsoft Sentinel pomocí rozhraní API kolektoru dat služby Log Analytics a přímo volat koncový bod RESTful.
I když volání koncového bodu RESTful přímo vyžaduje více programování, poskytuje také větší flexibilitu.
Další informace najdete v následujících článcích:
- Rozhraní API pro příjem protokolů ve službě Azure Monitor.
- Ukázkový kód pro odesílání dat do Azure Monitor pomocí rozhraní API pro příjem protokolů
Připojení pomocí Azure Functions
K vytvoření bezserverového vlastního konektoru použijte Azure Functions společně s rozhraním RESTful API a různými programovacími jazyky, jako je PowerShell.
Příklady této metody najdete tady:
- Připojení koncového bodu cloudu VMware Carbon Black Standard k Microsoft Sentinel pomocí funkce Azure
- Připojení jednoúčelového Sign-On Okta k Microsoft Sentinel pomocí funkce Azure
- Připojení funkce TAP proofpointu k Microsoft Sentinel pomocí funkce Azure
- Připojení virtuálního počítače Qualys k Microsoft Sentinel pomocí funkce Azure
- Ingestování XML, CSV nebo jiných formátů dat
- Monitorování přiblížení pomocí Microsoft Sentinel (blog)
- Nasazení aplikace funkcí pro získávání dat rozhraní API Office 365 Management do Microsoft Sentinel (Microsoft Sentinel komunity GitHubu)
Parsování dat vlastního konektoru
Pokud chcete využívat data shromážděná pomocí vlastního konektoru, vyvíjejte analyzátory ASIM (Advanced Security Information Model) pro práci s vaším konektorem. Použití ASIM umožňuje integrovanému obsahu Microsoft Sentinel používat vlastní data a usnadňuje analytikům dotazování na data.
Pokud to vaše metoda konektoru umožňuje, můžete část analýzy implementovat jako součást konektoru, abyste zlepšili výkon analýzy času dotazu:
- Pokud jste používali Logstash, použijte k parsování dat modul plug-in Grok .
- Pokud jste použili funkci Azure, parsujte data pomocí kódu.
I tak budete muset implementovat analyzátory ASIM, ale implementace části analýzy přímo pomocí konektoru parsování zjednodušuje a zlepšuje výkon.
Další kroky
Pomocí dat přijatých do Microsoft Sentinel zabezpečte své prostředí pomocí některého z následujících procesů: