Compartir a través de


Uso de Azure Functions para conectar Microsoft Sentinel a un origen de datos

Utilice Azure Functions, junto con varios lenguajes de programación, como PowerShell o Python, para crear un conector sin servidor para los puntos de conexión de la API REST de los orígenes de datos compatibles. Las aplicaciones de funciones de Azure Functions le permiten conectar Microsoft Sentinel a la API REST de su origen de datos para recopilar los registros.

En este artículo, se explica cómo configurar Microsoft Sentinel para usar aplicaciones de funciones de Azure Functions. Es posible que deba configurar también el sistema de origen. Encontrará vínculos a información específica del proveedor y del producto en la página de cada conector de datos del portal, o bien en la sección de su servicio de la página Búsqueda del conector de datos de Microsoft Sentinel.

Nota

  • Una vez ingeridos en Microsoft Sentinel, los datos se almacenan en la ubicación geográfica del área de trabajo donde ejecuta Microsoft Sentinel.

    Para la retención a largo plazo, también puede almacenar datos en tipos de registro, como Registros auxiliares o Registros básicos. Para obtener más información, consulte Planes de retención de registros en Microsoft Sentinel.

  • El uso de Azure Functions para ingerir datos en Microsoft Sentinel puede dar lugar a costos adicionales por la ingesta de datos. Para obtener más información, consulte la página de precios de Azure Functions.

Requisitos previos

Asegúrese de que tiene los siguientes permisos y credenciales antes de usar Azure Functions para conectar Microsoft Sentinel al origen de datos y recopilar los registros en Microsoft Sentinel:

Configuración y conexión del origen de datos

Nota

  • Puede almacenar de forma segura los tokens o las claves de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.

  • Algunos conectores de datos dependen de un analizador basado en una función de Kusto para funcionar según lo previsto. Consulte la sección de su servicio en la página Búsqueda del conector de datos de Microsoft Sentinel, donde encontrará vínculos a las instrucciones para crear la función y el alias de Kusto.

Paso 1: Obtención de las credenciales de la API del sistema de origen

Siga las instrucciones del sistema de origen para obtener sus credenciales de API, claves de autorización o tokens. Cópielos y péguelos en un archivo de texto para usarlos más adelante.

Encontrará información detallada sobre las credenciales exactas que necesitará y vínculos a las instrucciones de su producto para buscarlas o crearlas en la página del conector de datos del portal y en la sección de su servicio en la página Búsqueda del conector de datos de Microsoft Sentinel.

Es posible que también tenga que configurar el registro u otras opciones en el sistema de origen. Encontrará las instrucciones pertinentes junto con las del párrafo anterior.

Paso 2: Implementación del conector y la aplicación de funciones de Azure asociada

Elección de una opción de implementación

Este método proporciona una implementación automatizada del conector basado en Azure Functions mediante una plantilla de ARM.

  1. En el portal de Microsoft Sentinel, seleccione Conectores de datos. Seleccione el conector basado en Azure Functions en la lista y elija Open connector page (Abrir página del conector).

  2. En Configuration (Configuración), copie el identificador del área de trabajo y la clave principal de Microsoft Sentinel y péguelos aparte.

  3. Seleccione Implementar en Azure (es posible que deba desplazarse hacia abajo para encontrar el botón).

  4. Aparecerá la pantalla Implementación personalizada.

    • Seleccione una suscripción, un grupo de recursos y una región donde implementar la aplicación de funciones.

    • Escriba las credenciales de la API, las claves de autorización o los tokens que guardó en el paso 1 anterior.

    • Especifique el id. del área de trabajo y la clave del área de trabajo (clave principal) de Microsoft Sentinel que copió y pegó anteriormente.

      Nota

      Si utiliza secretos de Azure Key Vault para cualquiera de los valores anteriores, use el esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) en lugar de los valores de cadena. Consulte la documentación de Key Vault para obtener información más detallada.

    • Rellene los demás campos del formulario en la pantalla Implementación personalizada. Consulte la página del conector de datos en el portal o la sección del servicio en la página Búsqueda del conector de datos de Microsoft Sentinel.

    • Seleccione Revisar + crear. Una vez completada la validación, seleccione Crear.

Búsqueda de sus datos

Una vez establecida una conexión correcta, los datos aparecen en Registros, en CustomLogs, en las tablas enumeradas en la sección para el servicio de la página Búsqueda del conector de datos de Microsoft Sentinel.

Para consultar los datos, escriba uno de esos nombres de tabla (o el alias de función de Kusto pertinente) en la ventana de consulta.

Consulte la pestaña Pasos siguientes de la página de conectores para ver algunas consultas de ejemplo útiles.

Validar conectividad

Los registros pueden tardar hasta 20 minutos en empezar a aparecer en Log Analytics.

Pasos siguientes

En este documento, ha aprendido a conectar Microsoft Sentinel a su origen de datos mediante conectores basados en Azure Functions. Para más información sobre Microsoft Sentinel, consulte los siguientes artículos: