Zdroje informací pro vytváření vlastních konektorů Microsoft Sentinelu
Microsoft Sentinel poskytuje širokou škálu předefinovaných konektorů pro služby Azure a externí řešení a také podporuje ingestování dat z některých zdrojů bez vyhrazeného konektoru.
Pokud se vám nedaří připojit zdroj dat k Microsoft Sentinelu pomocí některého z dostupných řešení, zvažte vytvoření vlastního konektoru zdroje dat.
Úplný seznam podporovaných konektorů najdete v tématu Vyhledání datového konektoru Microsoft Sentinelu).
Porovnání vlastních metod konektoru
Následující tabulka porovnává základní podrobnosti o jednotlivých metodách vytváření vlastních konektorů popsaných v tomto článku. Výběrem odkazů v tabulce zobrazíte další podrobnosti o jednotlivých metodách.
| Popis metody | Schopnost | Bezserverová architektura | Složitost |
|---|---|---|---|
| Codeless Connector Platform (CCP) Nejvhodnější pro méně technické cílové skupiny pro vytváření konektorů SaaS pomocí konfiguračního souboru místo pokročilého vývoje. |
Podporuje všechny možnosti dostupné v kódu. | Ano | Nízký; jednoduchý vývoj bez kódu |
| Azure Monitor Agent Nejvhodnější pro shromažďování souborů z místních zdrojů a zdrojů IaaS |
Shromažďování souborů, transformace dat | No | Nízká |
| Logstash Nejvhodnější pro místní zdroje a zdroje IaaS, jakýkoli zdroj, pro který je dostupný modul plug-in, a organizace, které už znají Logstash |
Podporuje všechny možnosti agenta služby Azure Monitor. | Ne; vyžaduje spuštění virtuálního počítače nebo clusteru virtuálních počítačů. | Nízký; podporuje mnoho scénářů s moduly plug-in. |
| Logic Apps Vysoké náklady; vyhněte se vysokým objemům dat Nejvhodnější pro cloudové zdroje s nízkým objemem |
Programování bez kódu umožňuje omezenou flexibilitu bez podpory implementace algoritmů. Pokud už žádná dostupná akce vaše požadavky nepodporuje, může vytvoření vlastní akce kompliovat. |
Ano | Nízký; jednoduchý vývoj bez kódu |
| Rozhraní API pro příjem protokolů ve službě Azure Monitor Nejvhodnější pro nezávislé výrobce softwaru, který implementuje integraci a požadavky na jedinečné kolekce. |
Podporuje všechny možnosti dostupné v kódu. | Závisí na implementaci. | Vysoká |
| Azure Functions Nejvhodnější pro vysoce objemové cloudové zdroje a pro jedinečné požadavky na kolekci |
Podporuje všechny možnosti dostupné v kódu. | Ano | Vysoko; vyžaduje znalosti programování. |
Tip
Porovnání použití Logic Apps a Azure Functions pro stejný konektor najdete tady:
- Ingestování rychlých protokolů firewallu webových aplikací do služby Microsoft Sentinel
- Office 365 (komunita Microsoft Sentinelu na GitHubu): Logic Konektor aplikace | Azure Function Connector
Připojení s platformou konektoru bez kódu
Platforma konektoru codeless (CCP) poskytuje konfigurační soubor, který můžou používat zákazníci i partneři, a pak je nasadíte do vlastního pracovního prostoru nebo jako řešení pro centrum obsahu Microsoft Sentinelu.
Konektory vytvořené pomocí ústřední protistrany jsou plně SaaS bez jakýchkoli požadavků na instalace služeb a zahrnují také monitorování stavu a plnou podporu z Microsoft Sentinelu.
Další informace najdete v tématu Vytvoření bezkódového konektoru pro Microsoft Sentinel.
Připojení pomocí agenta služby Azure Monitor
Pokud váš zdroj dat doručuje události v textových souborech, doporučujeme k vytvoření vlastního konektoru použít agenta služby Azure Monitor.
Další informace najdete v tématu Shromažďování protokolů z textového souboru pomocí agenta služby Azure Monitor.
Příklad této metody najdete v tématu Shromažďování protokolů ze souboru JSON pomocí agenta služby Azure Monitor.
Připojení pomocí Logstash
Pokud znáte Logstash, můžete k vytvoření vlastního konektoru použít Logstash s výstupním modulem plug-in Logstash pro Microsoft Sentinel .
S modulem plug-in Výstup Logstash služby Microsoft Sentinel můžete použít jakékoli vstupní moduly a moduly plug-in Logstash a nakonfigurovat Microsoft Sentinel jako výstup pro kanál Logstash. Logstash má velkou knihovnu modulů plug-in, které umožňují vstupy z různých zdrojů, jako jsou Event Hubs, Apache Kafka, Files, Databases a Cloudové služby. Moduly plug-in filtrování slouží k analýze událostí, filtrování nepotřebných událostí, obfuscate hodnot a dalších.
Příklady použití Logstash jako vlastního konektoru najdete tady:
- Proaktivní vyhledávání hlavních bodů ochrany před únikem prostředků v protokolech AWS pomocí Služby Microsoft Sentinel (blog)
- Průvodce implementací Radware Microsoft Sentinelu
Příklady užitečných modulů plug-in Logstash najdete tady:
- Vstupní modul plug-in Cloudwatch
- Modul plug-in Azure Event Hubs
- Vstupní modul plug-in Google Cloud Storage
- Google_pubsub vstupní modul plug-in
Tip
Logstash také umožňuje škálované shromažďování dat pomocí clusteru. Další informace najdete v tématu Použití virtuálního počítače logstash s vyrovnáváním zatížení ve velkém měřítku.
Připojení pomocí Logic Apps
Pomocí Azure Logic Apps můžete vytvořit bezserverový vlastní konektor pro Microsoft Sentinel.
Poznámka:
Vytváření bezserverových konektorů pomocí Logic Apps může být výhodné, ale použití Logic Apps pro vaše konektory může být nákladné pro velké objemy dat.
Tuto metodu doporučujeme použít jenom pro zdroje dat s nízkým objemem nebo pro rozšiřování nahrávání dat.
Ke spuštění Logic Apps použijte jeden z následujících triggerů:
Trigger Popis Opakovaný úkol Naplánujte například, aby vaše aplikace logiky pravidelně načítala data z konkrétních souborů, databází nebo externích rozhraní API.
Další informace najdete v tématu Vytváření, plánování a spouštění opakovaných úloh a pracovních postupů v Azure Logic Apps.Aktivace na vyžádání Spusťte aplikaci logiky na vyžádání pro ruční shromažďování a testování dat.
Další informace najdete v tématu Volání, trigger nebo vnoření aplikací logiky pomocí koncových bodů HTTPS.Koncový bod HTTP/S Doporučuje se pro streamování a pokud může zdrojový systém spustit přenos dat.
Další informace najdete v tématu Volání koncových bodů služby přes PROTOKOL HTTP nebo HTTPs.K získání událostí použijte některou z Konektor aplikace logiky, která čte informace. Příklad:
Tip
Vlastní konektory pro rozhraní REST API, SQL Servery a systémy souborů také podporují načítání dat z místních zdrojů dat. Další informace najdete v dokumentaci k instalaci místní brány dat.
Připravte informace, které chcete načíst.
K přístupu k vlastnostem v obsahu JSON můžete například použít akci parsování JSON, která vám umožní vybrat tyto vlastnosti ze seznamu dynamického obsahu, když zadáte vstupy pro aplikaci logiky.
Další informace najdete v tématu Provádění operací s daty v Azure Logic Apps.
Zapisujte data do Log Analytics.
Další informace najdete v dokumentaci ke kolektoru dat Azure Log Analytics.
Příklady, jak vytvořit vlastní konektor pro Microsoft Sentinel pomocí Logic Apps, najdete tady:
- Vytvoření datového kanálu pomocí rozhraní API kolektoru dat
- Logika Palo Alto Prisma Konektor aplikace pomocí webhooku (komunita Microsoft Sentinelu na GitHubu)
- Zabezpečení hovorů v Microsoft Teams pomocí plánované aktivace (blog)
- Ingesting AlienVault OTX threat indicators into Microsoft Sentinel (blog)
Připojení pomocí rozhraní API pro příjem protokolů
Události můžete streamovat do Služby Microsoft Sentinel pomocí rozhraní API kolektoru dat Log Analytics k přímému volání koncového bodu RESTful.
Při přímém volání koncového bodu RESTful vyžaduje více programování, poskytuje také větší flexibilitu.
Další informace najdete v následujících článcích:
- Rozhraní API pro příjem protokolů ve službě Azure Monitor
- Ukázkový kód pro odesílání dat do služby Azure Monitor pomocí rozhraní API pro příjem protokolů
Připojení s využitím Azure Functions
K vytvoření bezserverového vlastního konektoru můžete použít Azure Functions společně s rozhraním RESTful API a různými programovacími jazyky, jako je PowerShell.
Příklady této metody najdete tady:
- Připojení koncového bodu VMware Carbon Black Cloud Standard k Microsoft Sentinelu pomocí funkce Azure
- Připojení jednotného přihlašování Okta k Microsoft Sentinelu pomocí funkce Azure Functions
- Připojení funkce Proofpoint TAP k Microsoft Sentinelu pomocí funkce Azure
- Připojení virtuálního počítače Qualys k Microsoft Sentinelu pomocí funkce Azure
- Ingestování XML, CSV nebo jiných formátů dat
- Monitorování lupy pomocí Microsoft Sentinelu (blog)
- Nasazení aplikace funkcí pro získání dat rozhraní API pro správu Office 365 do Microsoft Sentinelu (komunita Microsoft Sentinelu na GitHubu)
Analýza dat vlastního konektoru
Pokud chcete využít výhod dat shromážděných pomocí vlastního konektoru, vyvíjejte analyzátory ASM (Advanced Security Information Model) pro práci s vaším konektorem. Použití NÁSTROJE ASIM umožňuje integrovanému obsahu služby Microsoft Sentinel používat vaše vlastní data a usnadňuje analytikům dotazování dat.
Pokud to vaše metoda konektoru umožňuje, můžete implementovat část analýzy jako součást konektoru, aby se zlepšil výkon analýzy času dotazu:
- Pokud jste použili Logstash, použijte modul plug-in Grok filter k analýze dat.
- Pokud jste použili funkci Azure, parsujte data pomocí kódu.
Stále budete muset implementovat analyzátory ASIM, ale implementace části analýzy přímo pomocí konektoru zjednodušuje analýzu a zlepšuje výkon.
Další kroky
Pomocí dat přijatých do Microsoft Sentinelu zabezpečte své prostředí pomocí některého z následujících procesů: