Uso de Azure Functions para conectar Microsoft Sentinel a un origen de datos
Utilice Azure Functions, junto con varios lenguajes de programación, como PowerShell o Python, para crear un conector sin servidor para los puntos de conexión de la API REST de los orígenes de datos compatibles. Las aplicaciones de funciones de Azure Functions le permiten conectar Microsoft Sentinel a la API REST de su origen de datos para recopilar los registros.
En este artículo, se explica cómo configurar Microsoft Sentinel para usar aplicaciones de funciones de Azure Functions. Es posible que deba configurar también el sistema de origen. Encontrará vínculos a información específica del proveedor y del producto en la página de cada conector de datos del portal, o bien en la sección de su servicio de la página Búsqueda del conector de datos de Microsoft Sentinel.
Nota
Una vez ingeridos en Microsoft Sentinel, los datos se almacenan en la ubicación geográfica del área de trabajo donde ejecuta Microsoft Sentinel.
Para la retención a largo plazo, también puede almacenar datos en tipos de registro, como Registros auxiliares o Registros básicos. Para obtener más información, consulte Planes de retención de registros en Microsoft Sentinel.
El uso de Azure Functions para ingerir datos en Microsoft Sentinel puede dar lugar a costos adicionales por la ingesta de datos. Para obtener más información, consulte la página de precios de Azure Functions.
Requisitos previos
Asegúrese de que tiene los siguientes permisos y credenciales antes de usar Azure Functions para conectar Microsoft Sentinel al origen de datos y recopilar los registros en Microsoft Sentinel:
Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.
Debe tener permisos de lectura para las claves compartidas del área de trabajo. Obtenga más información sobre las claves del área de trabajo.
Debe tener permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Obtenga más información sobre Azure Functions.
También necesitará credenciales para acceder a la API del producto: un nombre de usuario y una contraseña, un token, una clave o alguna otra combinación. Puede que necesite también otra información de la API, como el URI de un punto de conexión.
Para más información, consulte la documentación del servicio al que se conecta y la sección de su servicio en la página Búsqueda del conector de datos de Microsoft Sentinel.
Instale la solución que contiene el conector basado en Azure Functions desde el centro de contenido de Microsoft Sentinel. Para más información, consulte Descubra y administre el contenido listo para usar de Microsoft Sentinel.
Configuración y conexión del origen de datos
Nota
Puede almacenar de forma segura los tokens o las claves de autorización del área de trabajo y de la API en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure Functions.
Algunos conectores de datos dependen de un analizador basado en una función de Kusto para funcionar según lo previsto. Consulte la sección de su servicio en la página Búsqueda del conector de datos de Microsoft Sentinel, donde encontrará vínculos a las instrucciones para crear la función y el alias de Kusto.
Paso 1: Obtención de las credenciales de la API del sistema de origen
Siga las instrucciones del sistema de origen para obtener sus credenciales de API, claves de autorización o tokens. Cópielos y péguelos en un archivo de texto para usarlos más adelante.
Encontrará información detallada sobre las credenciales exactas que necesitará y vínculos a las instrucciones de su producto para buscarlas o crearlas en la página del conector de datos del portal y en la sección de su servicio en la página Búsqueda del conector de datos de Microsoft Sentinel.
Es posible que también tenga que configurar el registro u otras opciones en el sistema de origen. Encontrará las instrucciones pertinentes junto con las del párrafo anterior.
Paso 2: Implementación del conector y la aplicación de funciones de Azure asociada
Elección de una opción de implementación
- Plantilla de Azure Resource Manager (ARM)
- Implementación manual con PowerShell
- Implementación manual con Python
Este método proporciona una implementación automatizada del conector basado en Azure Functions mediante una plantilla de ARM.
En el portal de Microsoft Sentinel, seleccione Conectores de datos. Seleccione el conector basado en Azure Functions en la lista y elija Open connector page (Abrir página del conector).
En Configuration (Configuración), copie el identificador del área de trabajo y la clave principal de Microsoft Sentinel y péguelos aparte.
Seleccione Implementar en Azure (es posible que deba desplazarse hacia abajo para encontrar el botón).
Aparecerá la pantalla Implementación personalizada.
Seleccione una suscripción, un grupo de recursos y una región donde implementar la aplicación de funciones.
Escriba las credenciales de la API, las claves de autorización o los tokens que guardó en el paso 1 anterior.
Especifique el id. del área de trabajo y la clave del área de trabajo (clave principal) de Microsoft Sentinel que copió y pegó anteriormente.
Nota
Si utiliza secretos de Azure Key Vault para cualquiera de los valores anteriores, use el esquema
@Microsoft.KeyVault(SecretUri={Security Identifier})
en lugar de los valores de cadena. Consulte la documentación de Key Vault para obtener información más detallada.Rellene los demás campos del formulario en la pantalla Implementación personalizada. Consulte la página del conector de datos en el portal o la sección del servicio en la página Búsqueda del conector de datos de Microsoft Sentinel.
Seleccione Revisar + crear. Una vez completada la validación, seleccione Crear.
Búsqueda de sus datos
Una vez establecida una conexión correcta, los datos aparecen en Registros, en CustomLogs, en las tablas enumeradas en la sección para el servicio de la página Búsqueda del conector de datos de Microsoft Sentinel.
Para consultar los datos, escriba uno de esos nombres de tabla (o el alias de función de Kusto pertinente) en la ventana de consulta.
Consulte la pestaña Pasos siguientes de la página de conectores para ver algunas consultas de ejemplo útiles.
Validar conectividad
Los registros pueden tardar hasta 20 minutos en empezar a aparecer en Log Analytics.
Pasos siguientes
En este documento, ha aprendido a conectar Microsoft Sentinel a su origen de datos mediante conectores basados en Azure Functions. Para más información sobre Microsoft Sentinel, consulte los siguientes artículos:
- Aprenda a obtener visibilidad de los datos y de posibles amenazas.
- Empiece a detectar amenazas con Microsoft Sentinel.
- Use libros para supervisar los datos.