Ressourcen zum Erstellen benutzerdefinierter Microsoft Sentinel-Connectors
Microsoft Sentinel bietet eine Vielzahl sofort einsatzbereiter Connectors für Azure-Dienste und externe Lösungen und unterstützt außerdem das Erfassen von Daten aus einigen Quellen ohne einen dedizierten Connector.
Wenn Sie Ihre Datenquelle mit keiner der verfügbaren vorhandenen Lösungen mit Microsoft Sentinel verbinden können, sollten Sie die Erstellung Ihres eigenen Datenquellenconnectors in Erwägung ziehen.
Eine vollständige Liste der unterstützten Connectors finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors).
Vergleichen von benutzerdefinierten Connectormethoden
In der folgenden Tabelle werden wesentliche Details jeder Methode zum Erstellen von benutzerdefinierten Connectors verglichen, die in diesem Artikel beschrieben werden. Wählen Sie die Links in der Tabelle aus, um weitere Informationen zu den einzelnen Methoden zu erhalten.
| Methodenbeschreibung | Funktion | Serverlos | Komplexität |
|---|---|---|---|
| Codeless Connector Platform (CCP) Für technisch weniger versierte Zielgruppen ist es am besten, SaaS-Connectors mithilfe einer Konfigurationsdatei zu erstellen, anstatt sie weiterzuentwickeln. |
Unterstützt alle mit dem Code verfügbaren Funktionen. | Ja | Niedrig; einfache Entwicklung ohne Code. |
| Azure Monitor-Agent Optimal zum Sammeln von Dateien aus lokalen und IaaS-Quellen. |
Dateisammlung, Datentransformation | No | Niedrig |
| Logstash Optimal für lokale und IaaS-Quellen, für jede Quelle, für die ein Plug-In verfügbar ist, und für Organisationen, die bereits mit Logstash vertraut sind. |
Unterstützt alle Funktionen des Azure Monitor-Agents | Nein; zur Ausführung ist eine VM oder ein VM-Cluster erforderlich. | Niedrig; unterstützt viele Szenarien mit Plug-Ins. |
| Logic Apps Hohe Kosten; bei hohen Datenvolumen zu vermeiden. Optimal für Cloudquellen mit niedrigen Volumen. |
Codelose Programmierung ermöglicht eingeschränkt Flexibilität, ohne die Implementierung von Algorithmen zu unterstützen. Wenn Ihre Anforderungen von keiner der verfügbaren Aktionen bereits unterstützt werden, kann das Erstellen einer benutzerdefinierten Aktion die Komplexität erhöhen. |
Ja | Niedrig; einfache Entwicklung ohne Code. |
| PowerShell Optimal für Prototypen und regelmäßiges Hochladen von Dateien. |
Direkte Unterstützung für Dateisammlung. PowerShell kann verwendet werden, um weitere Quellen zu erfassen, erfordert jedoch das Programmieren und Konfigurieren des Skripts als Dienst. |
Nein | Niedrig |
| Log Analytics-API Optimal für ISVs, die Integration implementieren, und für sehr spezifische Sammlungsanforderungen. |
Unterstützt alle mit dem Code verfügbaren Funktionen. | Von der Implementierung abhängig. | Hoch |
| Azure Functions Optimal für Cloudquellen mit hohen Volumen sowie für sehr spezifische Sammlungsanforderungen. |
Unterstützt alle mit dem Code verfügbaren Funktionen. | Ja | Hoch; erfordert Programmierkenntnisse. |
Tipp
Vergleiche der Verwendung von Logic Apps und Azure Functions mit demselben Connector finden Sie unter:
- Schnelles Erfassen von Web Application Firewall-Protokollen in Microsoft Sentinel
- Office 365 (Microsoft Sentinel-GitHub-Community): Logik-App-Connector | Azure Functions-Connector
Verbinden mit der Codeless Connector Platform
Die Codeless Connector Platform (CCP) stellt eine Konfigurationsdatei bereit, die sowohl von Kunden als auch von Partnern verwendet und dann in Ihrem eigenen Arbeitsbereich oder als Lösung im Katalog der Microsoft Sentinel-Lösung bereitgestellt werden kann.
Connectors, die mithilfe der CCP erstellt werden, sind vollständig SaaS-basiert. Es müssen keine Dienste installiert werden. Außerdem sind Funktionen zur Systemüberwachung enthalten, und es besteht eine vollständige Unterstützung durch Microsoft Sentinel.
Weitere Informationen finden Sie unter Erstellen eines codelosen Connectors für Microsoft Sentinel.
Herstellen einer Verbindung mit dem Azure Monitor-Agent
Wenn Ihre Datenquelle Ereignisse in Textdateien liefert, wird empfohlen, dass Sie den Azure Monitor-Agent verwenden, um Ihren benutzerdefinierten Connector zu erstellen.
Weitere Informationen finden Sie unter Sammeln von Protokollen aus einer Textdatei mit dem Azure Monitor-Agent.
Ein Beispiel für diese Methode finden Sie unter Sammeln von Protokollen aus einer JSON-Datei mit dem Azure Monitor-Agent.
Verbinden mit Logstash
Wenn Sie mit Logstashvertraut sind, können Sie Logstash mit dem Logstash-Ausgabe-Plug-In für Microsoft Sentinel verwenden, um Ihren benutzerdefinierten Connector zu erstellen.
Mit dem Microsoft Sentinel Logstash-Ausgabe-Plug-In können Sie beliebige Logstash-Plug-Ins für Eingabe und Filterung verwenden und Microsoft Sentinel als Ausgabe für eine Logstash-Pipeline konfigurieren. Logstash verfügt über eine große Bibliothek von Plug-Ins, die die Eingabe aus verschiedenen Quellen ermöglichen, z. B. Event Hubs, Apache Kafka, Dateien, Datenbanken und Clouddiensten. Verwenden Sie Filter-Plug-Ins, um Ereignisse zu analysieren, unnötige Ereignisse zu filtern, Werte zu verbergen und vieles mehr.
Beispiele für die Verwendung von Logstash als benutzerdefinierten Connector finden Sie unter:
- Suchen nach Capital One Breach TTPs in AWS-Protokollen mithilfe von Microsoft Sentinel (Blog)
- Leitfaden für die Microsoft Sentinel-Implementierung von Radware
Beispiele für nützliche Logstash-Plug-Ins finden Sie unter:
- Cloudwatch-Eingabe-Plug-In
- Azure Event Hubs-Plug-In
- Google Cloud Storage-Eingabe-Plug-In
- Google_pubsub-Eingabe-Plug-In
Tipp
Logstash ermöglicht außerdem die skalierte Datensammlung mithilfe eines Clusters. Weitere Informationen finden Sie unter Verwenden eines virtuellen Logstash-Computers mit Lastenausgleich im großen Stil.
Verbinden mit Logic Apps
Verwenden Sie Azure Logik-Apps, um einen serverlosen, benutzerdefinierten Connector für Microsoft Sentinel zu erstellen.
Hinweis
Zwar kann das Erstellen von serverlosen Connectors mit Logic Apps praktisch sein, doch kann die Verwendung von Logic Apps für ihre Connectors bei großen Datenmengen kostenintensiv sein.
Es wird empfohlen, diese Methode nur für Datenquellen mit geringen Datenvolumen zu verwenden oder Ihre Datenuploads anzureichern.
Verwenden Sie einen der folgenden Trigger, um Ihre Logic Apps zu starten:
Trigger BESCHREIBUNG Eine wiederkehrende Aufgabe Planen Sie Ihre Logik-App beispielsweise so, dass Daten regelmäßig aus bestimmten Dateien, Datenbanken oder externen APIs abgerufen werden.
Weitere Informationen finden Sie unter Erstellen, Planen und Ausführen wiederkehrender Aufgaben und Workflows mit Azure Logic Apps.On-Demand-Trigger Führen Sie Ihre Logik-App bei Bedarf für manuelle Datenerfassung und Tests aus.
Weitere Informationen finden Sie unter Aufrufen, Auslösen oder Schachteln von Logik-Apps mithilfe von HTTPS-Endpunkten.HTTP/S-Endpunkt Empfohlen für das Streaming und wenn das Quellsystem die Datenübertragung starten kann.
Weitere Informationen finden Sie unter Aufrufen von Dienstendpunkten über HTTP oder HTTPS.Verwenden Sie einen der Logik-App-Connectors, die Informationen lesen, um Ihre Ereignisse abzurufen. Beispiel:
- Herstellen einer Verbindung mit einer REST-API
- Herstellen einer Verbindung mit SQL Server
- Herstellen einer Verbindung mit einem Dateisystem
Tipp
Benutzerdefinierte Connectors für REST-APIs, SQL-Server und Dateisysteme unterstützen auch das Abrufen von Daten aus lokalen Datenquellen. Weitere Informationen finden Sie in der Dokumentation zum Installieren eines lokalen Datengateways.
Bereiten Sie die Informationen vor, die Sie abrufen möchten.
Verwenden Sie beispielsweise die Aktion „JSON analysieren“, um auf Eigenschaften in JSON-Inhalten zuzugreifen, was Ihnen ermöglicht, diese Eigenschaften aus der Liste dynamischer Inhalte auszuwählen, wenn Sie Eingaben für Ihre Logik-App angeben.
Weitere Informationen finden Sie unter Ausführen von Datenvorgängen in Azure Logic Apps.
Schreiben Sie die Daten in Log Analytics.
Weitere Informationen finden Sie in der Dokumentation zum Azure Log Analytics-Datensammler.
Beispiele dazu, wie Sie einen benutzerdefinierten Connector für Microsoft Sentinel mithilfe von Logic Apps erstellen können, finden Sie unter:
- Erstellen einer Datenpipeline mit der Datensammler-API
- Palo Alto Prisma Logik-App-Connector mithilfe eines Webhooks (Microsoft Sentinel-GitHub-Community)
- Sichern Ihrer Microsoft Teams-Anrufe mit geplanter Aktivierung (Blog)
- Erfassen von AlienVault OTX-Bedrohungsindikatoren in Microsoft Sentinel (Blog)
Verbinden mit PowerShell
Das PowerShell-Skript „Upload-AzMonitorLog“ ermöglicht Ihnen die Verwendung von PowerShell, um Ereignisse oder Kontextinformationen von der Befehlszeile an Microsoft Sentinel zu streamen. Dieses Streaming erstellt tatsächlich einen benutzerdefinierten Connector zwischen Ihrer Datenquelle und Microsoft Sentinel.
Beispielsweise lädt das folgende Skript eine CSV-Datei in Microsoft Sentinel hoch:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
Das PowerShell-Skript „Upload-AzMonitorLog“ verwendet die folgenden Parameter:
| Parameter | BESCHREIBUNG |
|---|---|
| WorkspaceId | Die ID Ihres Microsoft Sentinel-Arbeitsbereichs, in dem Sie Ihre Daten speichern möchten Suchen Sie Ihre Arbeitsbereichs-ID und den Schlüssel. |
| WorkspaceKey | Der primäre oder sekundäre Schlüssel für den Microsoft Sentinel-Arbeitsbereich, in dem Sie Ihre Daten speichern möchten Suchen Sie Ihre Arbeitsbereichs-ID und den Schlüssel. |
| LogTypeName | Der Name der benutzerdefinierten Protokolltabelle, in der Sie die Daten speichern möchten. Das Suffix _CL wird automatisch am Ende des Tabellennamens hinzugefügt. |
| AddComputerName | Wenn dieser Parameter vorhanden ist, fügt das Skript den aktuellen Computernamen jedem Protokolldatensatz in einem Feld namens Computer hinzu. |
| TaggedAzureResourceId | Wenn dieser Parameter vorhanden ist, ordnet das Skript alle hochgeladenen Protokolldatensätze der angegebenen Azure-Ressource zu. Diese Zuordnung ermöglicht Ressourcenkontextabfragen an die hochgeladenen Protokolldatensätze und hält dabei die ressourcenzentrierte, rollenbasierte Zugriffssteuerung ein. |
| AdditionalDataTaggingName | Wenn dieser Parameter vorhanden ist, fügt das Skript jedem Protokolldatensatz ein weiteres Feld mit dem konfigurierten Namen und dem Wert hinzu, der für den Parameter AdditionalDataTaggingValue konfiguriert ist. In diesem Fall darf AdditionalDataTaggingValue nicht leer sein. |
| AdditionalDataTaggingValue | Wenn dieser Parameter vorhanden ist, fügt das Skript jedem Protokolldatensatz ein weiteres Feld mit dem konfigurierten Wert und dem Feldnamen hinzu, der für den Parameter AdditionalDataTaggingName konfiguriert ist. Wenn der Parameter AdditionalDataTaggingName leer, aber ein Wert konfiguriert ist, lautet der Standardfeldname DataTagging. |
Suchen Ihrer Arbeitsbereichs-ID und des Schlüssels
Suchen Sie die Details zu den Parametern WorkspaceID und WorkspaceKey in Microsoft Sentinel wie folgt:
Wählen Sie in Microsoft Sentinel auf der linken Seite Einstellungen und dann die Registerkarte Arbeitsbereichseinstellungen aus.
Wählen Sie unter Erste Schritte mit Log Analytics>1 Datenquelle verbinden die Option Verwaltung von Windows- und Linux-Agents aus.
Suchen Sie Ihre Arbeitsbereichs-ID, den Primärschlüssel und den sekundären Schlüssel auf den Registerkarten Windows-Server.
Verbinden mit der Log Analytics-API
Sie können Ereignisse an Microsoft Sentinel streamen, indem Sie die Log Analytics-Datensammler-API verwenden, um einen RESTful-Endpunkt direkt aufzurufen.
Zwar erfordert das direkte Aufrufen eines RESTful-Endpunkts mehr Programmieraufwand, doch bietet es auch mehr Flexibilität.
Weitere Informationen finden Sie unter Log Analytics-Datensammler-API, insbesondere in den folgenden Beispielen:
Verbinden mit Azure Functions
Verwenden Sie Azure Functions in Verbindung mit einer RESTful-API und verschiedenen Programmiersprachen, z. B. PowerShell, um einen serverlosen, benutzerdefinierten Connector zu erstellen.
Beispiele für diese Methode finden Sie unter:
- Verbinden Ihres VMware Carbon Black Cloud Endpoint Standard mithilfe von Azure Functions mit Microsoft Sentinel
- Verbinden von Okta Single Sign-On mit Microsoft Sentinel über Azure Functions
- Verknüpfen von Proofpoint TAP mit Microsoft Sentinel per Azure Functions
- Verknüpfen von Qualys VM mit Microsoft Sentinel per Azure Functions
- Erfassen von XML-, CSV- oder anderen Datenformaten
- Überwachen von Zoom mit Microsoft Sentinel (Blog)
- Bereitstellen einer Funktions-App zum Abrufen von Office 365-Verwaltungs-API-Daten in Microsoft Sentinel (Microsoft Sentinel-GitHub-Community)
Analysieren der Daten Ihres benutzerdefinierten Connectors
Um die mit Ihrem benutzerdefinierten Connector gesammelten Daten zu nutzen, entwickeln Sie ASIM-Parser (Advanced Security Information Model) zur Arbeit mit Ihrem Connector. Die Verwendung von ASIM ermöglicht den integrierten Inhalten von Microsoft Sentinel, Ihre benutzerdefinierten Daten zu verwenden, und erleichtert Analysten das Abfragen der Daten.
Wenn Ihre Connectormethode dies zulässt, können Sie einen Teil der Analyse als Teil des Connectors implementieren, um die Analyseleistung hinsichtlich der Abfragezeit zu verbessern:
- Wenn Sie Logstash verwendet haben, verwenden Sie das Grok-Filter-Plug-In, um Ihre Daten zu analysieren.
- Wenn Sie eine Azure-Funktion verwendet haben, analysieren Sie Ihre Daten mit Code.
Sie müssen weiterhin ASIM-Parser implementieren, aber die direkte Implementierung eines Teils der Analyse mit dem Connector vereinfacht die Analyse und verbessert die Leistung.
Nächste Schritte
Verwenden Sie die in Microsoft Sentinel erfassten Daten, um Ihre Umgebung mit einem der folgenden Prozesse zu sichern:
- Einblick in Warnungen
- Visualisieren und Überwachen Ihrer Daten
- Untersuchen von Vorfällen
- Erkennen von Bedrohungen
- Automatisieren des Bedrohungsschutzes
- Suchen nach Bedrohungen
Außerdem erfahren Sie mehr über ein Beispiel zum Erstellen eines benutzerdefinierten Connectors für die Überwachung von Zoom: Überwachen von Zoom mit Microsoft Sentinel.