Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Microsoft Sentinel poskytuje širokou škálu předefinovaných konektorů pro služby Azure a externí řešení a také podporuje ingestování dat z některých zdrojů bez vyhrazeného konektoru.
Pokud se vám nedaří připojit zdroj dat k Microsoft Sentinelu pomocí některého z dostupných řešení, zvažte vytvoření vlastního konektoru zdroje dat.
Úplný seznam podporovaných konektorů najdete v tématu Vyhledání datového konektoru Microsoft Sentinelu).
Porovnání vlastních metod konektoru
Následující tabulka porovnává základní podrobnosti o jednotlivých metodách vytváření vlastních konektorů popsaných v tomto článku. Výběrem odkazů v tabulce zobrazíte další podrobnosti o jednotlivých metodách.
| Popis metody | Schopnost | Bezserverová architektura | Složitost |
|---|---|---|---|
|
Architektura konektoru bez kódu (CCF) Nejvhodnější pro méně technické cílové skupiny pro vytváření konektorů SaaS pomocí konfiguračního souboru místo pokročilého vývoje. |
Podporuje všechny možnosti dostupné v kódu. | Ano | Nízký; jednoduchý vývoj bez kódu |
|
Azure Monitor Agent Nejvhodnější pro shromažďování souborů z místních zdrojů a zdrojů IaaS |
Shromažďování souborů, transformace dat | Ne | Nízká |
|
Logstash Nejvhodnější pro místní zdroje a zdroje IaaS, jakýkoli zdroj, pro který je dostupný modul plug-in, a organizace, které už znají Logstash |
Podporuje všechny možnosti agenta služby Azure Monitor. | Ne; vyžaduje spuštění virtuálního počítače nebo clusteru virtuálních počítačů. | Nízký. Podporuje mnoho scénářů s pluginy. |
|
Logic Apps Vysoké náklady; vyhněte se vysokým objemům dat Nejvhodnější pro cloudové zdroje s nízkým objemem |
Programování bez kódu umožňuje omezenou flexibilitu bez podpory implementace algoritmů. Pokud už žádná dostupná akce vaše požadavky nepodporuje, může vytvoření vlastní akce přidat komplexitu. |
Ano | Nízký; jednoduchý vývoj bez kódu |
|
Rozhraní API pro příjem protokolů ve službě Azure Monitor Nejvhodnější pro nezávislé výrobce softwaru, kteří implementují integraci a pro jedinečné požadavky na kolekce. |
Podporuje všechny možnosti dostupné v kódu. | Závisí na implementaci. | Vysoká |
|
Azure Functions Nejvhodnější pro vysoce objemové cloudové zdroje a pro jedinečné požadavky na kolekci |
Podporuje všechny možnosti dostupné v kódu. | Ano | Vysoko; vyžaduje znalosti programování. |
Návod
Porovnání použití Logic Apps a Azure Functions pro stejný konektor najdete tady:
- Ingestovat protokoly firewallu webových aplikací od Fastly do služby Microsoft Sentinel
- Office 365 (komunita Microsoft Sentinelu na GitHubu): konektor Logic Apps | konektor Azure Functions
Připojte se k Codeless Connector Framework
Architektura CCF (Codeless Connector Framework) poskytuje konfigurační soubor, který můžou používat zákazníci i partneři a pak je nasadit do vlastního pracovního prostoru nebo jako řešení centra obsahu microsoft Sentinelu.
Konektory vytvořené pomocí CCF jsou plně SaaS bez jakýchkoli požadavků na instalace služeb a zahrnují také monitorování stavu a plnou podporu z Microsoft Sentinelu.
Další informace najdete v tématu Vytvoření bezkódového konektoru pro Microsoft Sentinel.
Připojení pomocí agenta služby Azure Monitor
Pokud váš zdroj dat doručuje události v textových souborech, doporučujeme k vytvoření vlastního konektoru použít agenta služby Azure Monitor.
Další informace najdete v tématu Shromažďování protokolů z textového souboru pomocí agenta služby Azure Monitor.
Příklad této metody najdete v tématu Shromažďování protokolů ze souboru JSON pomocí agenta služby Azure Monitor.
Připojení pomocí Logstash
Pokud znáte Logstash, můžete k vytvoření vlastního konektoru použít Logstash s výstupním modulem plug-in Logstash pro Microsoft Sentinel .
S pluginem Microsoft Sentinel Logstash Output můžete použít jakékoli vstupní a filtrační pluginy Logstash a nakonfigurovat Microsoft Sentinel jako výstup pro pipeline Logstash. Logstash má velkou knihovnu modulů plug-in, které umožňují vstupy z různých zdrojů, jako jsou Event Hubs, Apache Kafka, Files, Databases a Cloudové služby. Filtrační plug-iny slouží k analýze událostí, filtrování nepotřebných událostí, zakrytí hodnot a dalších úkonů.
Příklady použití Logstash jako vlastního konektoru najdete tady:
- Vyhledávání TTP narušení Capital One v protokolech AWS pomocí Microsoft Sentinel (blog)
- Průvodce implementací Radware Microsoft Sentinelu
Příklady užitečných modulů plug-in Logstash najdete tady:
- Vstupní modul plug-in Cloudwatch
- Plugin Azure Event Hubs
- Google Cloud Storage vstupní plugin
- Google_pubsub vstupní modul plug-in
Návod
Logstash také umožňuje škálované shromažďování dat pomocí clusteru. Další informace najdete v tématu Použití virtuálního počítače logstash s vyrovnáváním zatížení ve velkém měřítku.
Připojení pomocí Logic Apps
Pomocí Azure Logic Apps můžete vytvořit bezserverový vlastní konektor pro Microsoft Sentinel.
Poznámka:
Vytváření bezserverových konektorů pomocí Logic Apps může být výhodné, ale použití Logic Apps pro vaše konektory může být nákladné pro velké objemy dat.
Tuto metodu doporučujeme použít pouze pro zdroje dat s nízkým objemem nebo pro obohacení vašich nahrávaných dat.
Ke spuštění Logic Apps použijte jeden z následujících triggerů:
Spouštěč Popis Opakovaný úkol Naplánujte například, aby vaše aplikace logiky pravidelně načítala data z konkrétních souborů, databází nebo externích rozhraní API.
Další informace najdete v tématu Vytváření, plánování a spouštění opakovaných úloh a pracovních postupů v Azure Logic Apps.Aktivace na vyžádání Spusťte aplikaci logiky na vyžádání pro ruční shromažďování a testování dat.
Další informace najdete v tématu Volání, spuštění nebo vnoření logických aplikací pomocí koncových bodů HTTPS.Koncový bod HTTP/S Doporučuje se pro streamování a pokud může zdrojový systém spustit přenos dat.
Další informace najdete v tématu Volání koncových bodů služby přes PROTOKOL HTTP nebo HTTPS.Použijte některý z konektorů Logických aplikací, které čtou informace, k získání vašich událostí. Příklad:
Návod
Vlastní konektory pro rozhraní REST API, SQL Servery a systémy souborů také podporují načítání dat z místních zdrojů dat. Pro více informací se podívejte na dokumentaci k instalaci místní datové brány.
Připravte informace, které chcete načíst.
K přístupu k vlastnostem v obsahu JSON můžete například použít akci parsování JSON, která vám umožní vybrat tyto vlastnosti ze seznamu dynamického obsahu, když zadáte vstupy pro aplikaci logiky.
Další informace najdete v tématu Provádění operací s daty v Azure Logic Apps.
Zapisujte data do Log Analytics.
Další informace najdete v dokumentaci ke kolektoru dat Azure Log Analytics.
Příklady, jak vytvořit vlastní konektor pro Microsoft Sentinel pomocí Logic Apps, najdete tady:
- Vytvoření datového kanálu pomocí rozhraní API kolektoru dat
- Palo Alto Networks Prisma Logic App konektor pomocí Webhooku (GitHub komunita Microsoft Sentinel)
- Zabezpečení hovorů v Microsoft Teams pomocí plánované aktivace (blog)
- Zavádění indikátorů hrozeb AlienVault OTX do Microsoft Sentinel (blog)
Připojte se k rozhraní API pro příjem protokolů
Události můžete streamovat do Služby Microsoft Sentinel pomocí rozhraní API kolektoru dat Log Analytics k přímému volání koncového bodu RESTful.
Přímé volání koncového bodu RESTful sice vyžaduje více programování, ale také poskytuje větší flexibilitu.
Další informace najdete v následujících článcích:
- Rozhraní API pro příjem protokolů ve službě Azure Monitor
- Ukázkový kód pro odesílání dat do služby Azure Monitor pomocí API pro příjem protokolů.
Připojte se k Azure Functions
K vytvoření serverless přizpůsobeného konektoru můžete použít Azure Functions spolu s rozhraním RESTful API a různými programovacími jazyky, například PowerShell.
Příklady této metody najdete tady:
- Připojení koncového bodu VMware Carbon Black Cloud Standard k Microsoft Sentinelu pomocí funkce Azure
- Připojení jednotného přihlašování Okta k Microsoft Sentinelu pomocí funkce Azure Functions
- Připojení funkce Proofpoint TAP k Microsoft Sentinelu pomocí funkce Azure
- Připojení virtuálního počítače Qualys k Microsoft Sentinelu pomocí funkce Azure
- Ingestování XML, CSV nebo jiných formátů dat
- Monitorování Zoomu pomocí Microsoft Sentinelu (blog)
- Nasazení funkční aplikace pro získávání dat z Office 365 Management API do Microsoft Sentinelu (komunita Microsoft Sentinelu na GitHubu)
Zpracujte data vlastního konektoru
Pokud chcete využít výhod dat shromážděných pomocí vlastního konektoru, vyvíjejte analyzátory ASM (Advanced Security Information Model) pro práci s vaším konektorem. Použití NÁSTROJE ASIM umožňuje integrovanému obsahu služby Microsoft Sentinel používat vaše vlastní data a usnadňuje analytikům dotazování dat.
Pokud to vaše metoda konektoru umožňuje, můžete implementovat část analýzy jako součást konektoru, aby se zlepšil výkon analýzy času dotazu:
- Pokud jste použili Logstash, použijte modul plug-in Grok filter k analýze dat.
- Pokud jste použili funkci Azure, parsujte data pomocí kódu.
Stále budete muset implementovat analyzátory ASIM, ale implementace části analýzy přímo pomocí konektoru zjednodušuje analýzu a zlepšuje výkon.
Další kroky
Pomocí dat přijatých do Microsoft Sentinelu zabezpečte své prostředí pomocí některého z následujících procesů: