Utiliser Azure Functions pour connecter Microsoft Sentinel à votre source de données

Article
06/05/2023

Vous pouvez utiliser Azure Functions, conjointement avec différents langages de codage tels que PowerShell ou Python, pour créer un connecteur serverless pour les points de terminaison de l’API REST de vos sources de données compatibles. Des applications Azure Function vous permettent de connecter Microsoft Sentinel à l’API REST de votre source de données pour extraire des journaux.

Cet article explique comment configurer Microsoft Sentinel pour l’utilisation des applications Azure Function. Vous devrez peut-être également configurer votre système source et les liens d’informations spécifiques au fournisseur et au produit dans chaque page du connecteur de données dans le portail, ou la section pour votre service dans la page de référence des connecteurs de données Microsoft Sentinel.

Notes

Une fois qu’ils sont ingérés dans Microsoft Sentinel, les données sont stockées à l’emplacement géographique de l’espace de travail dans lequel vous exécutez Microsoft Sentinel.

Pour une rétention à long terme, vous souhaiterez peut-être également stocker des données dans Azure Data Explorer. Pour plus d’informations, consultez Intégrer Azure Data Explorer.
L’utilisation de Azure Functions pour ingérer de données dans Microsoft Sentinel peut entraîner des coûts d’ingestion de données supplémentaires. Pour plus d’informations, consultez la page Tarification d’Azure Functions.

Prérequis

Vérifiez que vous disposez des autorisations et des informations d’identification suivantes avant d’utiliser Azure Functions pour connecter Microsoft Sentinel à votre source de données et extraire ses journaux dans Microsoft Sentinel :

Vous devez disposer d’autorisations en lecture et en écriture dans l’espace de travail Microsoft Sentinel.
Vous devez disposer d’autorisations de lecture sur les clés partagées pour accéder à l’espace de travail. En savoir plus sur les clés d’espace de travail.
Vous devez avoir des autorisations d’accès en lecture et en écriture à Azure Functions pour créer une application de fonction. En savoir plus sur Azure Functions.
Vous aurez également besoin d’informations d’identification pour accéder à l’API du produit, qu’il s’agisse d’un nom d’utilisateur et d’un mot de passe, d’un jeton, d’une clé ou d’une autre combinaison. Vous pouvez également avoir besoin d’autres informations sur l’API, telles qu’un URI de point de terminaison.

Pour plus d’informations, consultez la documentation du service auquel vous vous connectez et la section de votre service dans la page de référence des connecteurs de données Microsoft Sentinel.
Installez la solution contenant votre connecteur basé sur Azure Functions à partir du hub de contenu dans Microsoft Sentinel. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.

Configurer et connecter votre source de données

Notes

Vous pouvez stocker en toute sécurité des clés ou des jetons d’autorisation de l’espace de travail et de l’API dans Azure Key Vault. Azure Key Vault fournit un mécanisme sécurisé pour stocker et récupérer des valeurs de clés. Suivez ces instructions pour utiliser Azure Key Vault avec une application Azure Function.
Certains connecteurs de données dépendent d’un analyseur basé sur une fonction Kusto pour pouvoir fonctionner normalement. Consultez la section pour votre service dans la page des informations de référence sur les connecteurs de données Microsoft Sentinel pour obtenir des liens vers des instructions permettant de créer la fonction et l’alias Kusto.

Étape 1 : Obtenir les informations d’identification de l’API du système source

Suivez les instructions de votre système source pour obtenir ses informations d’identification d’API/jetons/clés d’autorisation. Copiez-les et collez-les dans un fichier texte pour une utilisation ultérieure.

Vous trouverez plus d’informations sur les informations d’identification dont vous avez besoin, ainsi que des liens vers les instructions de votre produit pour les trouver ou les créer, sur la page connecteur de données du portail et dans la section de votre service dans la page de référence des connecteurs de données Microsoft Sentinel.

Vous devrez peut-être également configurer la journalisation ou d’autres paramètres sur votre système source. Vous trouverez les instructions pertinentes ainsi que celles du paragraphe précédent.

Étape 2 : Déployer le connecteur et l’application Azure Function associée

Choisir une option de déploiement

Cette méthode fournit un déploiement automatisé de votre connecteur Azure Function à l’aide d’un modèle ARM.

Dans le portail Microsoft Sentinel, sélectionnez Connecteurs de données. Sélectionnez votre connecteur Azure Functions dans la liste, puis Ouvrez la page connecteur.
Sous Configuration, copiez l’ID d’espace de travail et la clé primaire Microsoft Sentinel, puis mettez-les de côté.
Sélectionnez Déployer sur Azure. (Vous devrez peut-être faire défiler l’écran pour trouver le bouton.)
L’écran Déploiement personnalisé s’affiche.
- Sélectionnez un abonnement, un groupe de ressources et une région dans lesquels déployer votre Function App.
- Entrez les informations d’identification de l’API/clés d’autorisation/jetons que vous avez enregistrés à l' étape 1 ci-dessus.
- Entrez votre ID d’espace de travail et votre Clé d’espace de travail (clé primaire) Microsoft Sentinel que vous avez copiés et mis de côté.
  
  Notes
  
  Si vous utilisez des secrets Azure Key Vault pour l’une des valeurs ci-dessus, utilisez le schéma @Microsoft.KeyVault(SecretUri={Security Identifier}) à la place des valeurs de chaîne. Pour plus d’informations, reportez-vous à la documentation relative aux références de Key Vault.
- Complétez tous les autres champs du formulaire sur l’écran de Déploiement personnalisé. Consultez la page de votre connecteur de données dans le portail ou la section relative à votre service dans la page de référence des connecteurs de données Microsoft Sentinel.
- Sélectionnez Revoir + créer. Quand la validation est terminée, sélectionnez Créer.

Utilisez les instructions pas à pas suivantes pour déployer manuellement des connecteurs basés sur Azure Functions qui utilisent des fonctions PowerShell.

Dans le portail Microsoft Sentinel, sélectionnez Connecteurs de données. Sélectionnez votre connecteur Azure Functions dans la liste, puis Ouvrez la page connecteur.
Sous Configuration, copiez l’ID d’espace de travail et la clé primaire Microsoft Sentinel, puis mettez-les de côté.
Créer une Function App
1. À partir du portail Azure, recherchez et sélectionnez Function App.
2. Dans la page Function App, sélectionnez Créer. L’assistant Créer une Function App s’ouvre.
3. Sous l’onglet Informations de base :
  - Sélectionner un abonnement et un groupe de ressources.
  - Choisissez le nom de votre application de fonction.
  - Définissez la Pile Runtime sur PowerShell Core.
  - Sélectionnez le numéro de version approprié.
  - Sélectionnez la région dans laquelle vous souhaitez déployer, puis sélectionnez Suivant : hébergement.
4. Dans l’onglet Hébergement :
  - Choisissez le Compte de stockage que vous souhaitez utiliser ou créez-en un nouveau.
  - Sélectionnez Consommation (serverless) pour votre Type de plan.
5. Apportez les autres modifications de configuration dont vous avez besoin, puis sélectionnez Examiner + créer.
6. Quand le message « Validation réussie » s’affiche, sélectionnez Créer.
7. Une fois le déploiement terminé, sélectionnez Accéder à la ressource.
Importer le code Function App
1. Dans le Function App récemment créé, sélectionnez Fonctions dans le menu de navigation.
2. Dans la page Fonctions, sélectionnez + Ajouter.
3. Dans le panneau Ajouter une fonction, sélectionnez le déclencheur du Minuteur.
4. Entrez un nom unique pour votre fonction et entrez une expression cron pour spécifier la planification. L’intervalle par défaut est de 5 minutes.
5. Lorsque la fonction a été créée, sélectionnez Code + Test dans le volet gauche.
6. Téléchargez le code de l’application de fonction fourni par le fournisseur de votre système source, copiez-le et collez-le dans l’éditeur de Application de fonctionrun.ps1 , en remplaçant le code par défaut. Vous pouvez trouver le lien de téléchargement sur la page du connecteur ou dans la section relative à votre service dans la page de référence des connecteurs de données Microsoft Sentinel.
7. Sélectionnez Enregistrer.
Configurer Function App
1. Dans la page de votre Function App, sélectionnez Configuration sous Paramètres dans le menu de navigation.
2. Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.
3. Ajoutez les paramètres d’application prescrits pour votre produit individuellement, avec leurs valeurs de chaîne respectant la casse respectives. Consultez la page de votre connecteur de données ou la section de votre produit de la section relative à votre service dans la page de référence des connecteurs de données Microsoft Sentinel.
  
  Conseil
  
  Le cas échéant, utilisez le paramètre d’application logAnalyticsUri pour remplacer le point de terminaison de l’API d’analytique des journaux d'activité si vous utilisez un Cloud dédié. Par exemple, si vous utilisez le cloud public, laissez la valeur vide. pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

Utilisez les instructions pas à pas suivantes pour déployer manuellement des connecteurs basés sur Azure Functions qui utilisent des fonctions Python. Ce type de déploiement requiert Visual Studio Code.

Dans le portail Microsoft Sentinel, sélectionnez Connecteurs de données. Sélectionnez votre connecteur Azure Functions dans la liste, puis Ouvrez la page connecteur.
Sous Configuration, copiez l’ID d’espace de travail et la clé primaire Microsoft Sentinel, puis mettez-les de côté.
Déployer une Function App

Notes

Vous devrez préparer Visual Studio Code (VS Code) pour le développement d’Azure Function.
1. Téléchargez le fichier Azure Function App à l’aide du lien fourni sur la page connecteur de données et dans la section de votre service dans la page de référence des connecteurs de données Microsoft Sentinel. Extrayez l’archive sur votre ordinateur de développement local.
2. Démarrez VS Code. Dans la barre de menus, sélectionnez Fichier > Ouvrir le dossier....
3. Sélectionnez le dossier de niveau supérieur dans les fichiers extraits de l’archive.
4. Choisissez l’icône Azure dans la barre d’activité VS Code (à gauche). Puis dans la zone Azure : Fonctions, choisissez le bouton Déployer sur une application de fonction.
  
  Notes
  
  Si vous n’êtes pas déjà connecté, choisissez l’icône Azure dans la barre d’activité. Puis, dans la zone Azure : Functions, choisissez Se connecter à Azure.
  Si vous êtes déjà connecté, passez à l’étape suivante.
5. Quand vous y êtes invité, indiquez les informations suivantes :
  - Sélectionnez le dossier : choisissez un dossier dans votre espace de travail ou accédez à un dossier qui contient votre application de fonction.
  - Sélectionnez l’abonnement : choisissez l’abonnement à utiliser.
  - Sélectionnez Créer une Function App dans Azure. (Ne choisissez pas l’option Avancé.)
  - Entrez un nom global unique pour l’application de fonction : donnez à votre application de fonction un nom qui serait valide dans un chemin d’URL. Le nom que vous choisissez sera validé pour s’assurer qu’il est unique tout au long d’Azure Functions.
  - Sélectionnez un runtime : choisissez Python 3.8.
6. Le déploiement commence. Une notification s’affiche après que votre application de fonction a été créée et que le package de déploiement a été appliqué.
7. Revenez à la page de votre Function App pour la configuration.
Configurer Function App
1. Dans la page de votre Function App, sélectionnez Configuration sous Paramètres dans le menu de navigation.
2. Sous l’onglet Paramètres d’application, sélectionnez + Nouveau paramètre d’application.
3. Ajoutez les paramètres d’application prescrits pour votre produit individuellement, avec leurs valeurs de chaîne respectant la casse respectives. Consultez la page de votre connecteur de données ou la section de votre service de la page de référence des connecteurs de données Microsoft Sentinel pour les paramètres d'application à ajouter.
  - Le cas échéant, utilisez le paramètre d’application logAnalyticsUri pour remplacer le point de terminaison de l’API d’analytique des journaux d'activité si vous utilisez un Cloud dédié. Par exemple, si vous utilisez le cloud public, laissez la valeur vide. pour l’environnement cloud Azure GovUS, spécifiez la valeur au format suivant : https://<CustomerId>.ods.opinsights.azure.us.

Recherche de données

Après l’établissement d’une connexion réussie, les données apparaissent dans les Journaux sous CustomLogs, dans les tables figurant dans la section de votre service dans la page de référence des connecteurs de données Microsoft Sentinel.

Pour interroger des données, entrez l’un de ces noms de table (ou l’alias de fonction Kusto approprié) dans la fenêtre de requête.

Consultez l’onglet Étapes suivantes de la page du connecteur pour obtenir des exemples de requêtes utiles.

Valider la connectivité

Jusqu’à 20 minutes peuvent être nécessaires avant que vos journaux ne commencent à apparaître dans Log Analytics.

Étapes suivantes

Dans ce document, vous avez appris à connecter Microsoft Sentinel à votre source de données à l’aide de connecteurs Azure Functions. Pour en savoir plus sur Microsoft Sentinel, consultez les articles suivants :

Découvrez comment avoir une visibilité sur vos données et les menaces potentielles.
Prise en main de la détection des menaces avec Microsoft Sentinel.
Utilisez des classeurs pour superviser vos données.