A Azure Functions használata a Microsoft Sentinel adatforráshoz való csatlakoztatásához

A Azure Functions különböző kódolási nyelvekkel, például a PowerShell vagy a Python használatával kiszolgáló nélküli összekötőt hozhat létre a kompatibilis adatforrások REST API-végpontjaihoz. Az Azure Function Apps ezután lehetővé teszi a Microsoft Sentinel csatlakoztatását az adatforrás REST API-hoz naplók lekéréséhez.

Ez a cikk azt ismerteti, hogyan konfigurálhatja a Microsoft Sentinelt az Azure Function Apps használatára. Előfordulhat, hogy konfigurálnia kell a forrásrendszert is, és a portálon az egyes adatösszekötők oldalán, illetve a Microsoft Sentinel adatösszekötők referencialapján található szolgáltatás szakaszában találhat szállítói és termékspecifikus információs hivatkozásokat.

Megjegyzés

• A Microsoft Sentinelbe való betöltés után az adatok annak a munkaterületnek a földrajzi helyén lesznek tárolva, ahol a Microsoft Sentinelt futtatja.

  Hosszú távú megőrzés céljából érdemes lehet adatokat tárolni az Azure Data Explorer. További információ: Az Azure Data Explorer integrálása.

• Ha Azure Functions használ adatokat a Microsoft Sentinelbe, az további adatbetöltési költségeket eredményezhet. További információt a Azure Functions díjszabási oldalán talál.

Előfeltételek

Győződjön meg arról, hogy rendelkezik a következő engedélyekkel és hitelesítő adatokkal, mielőtt a Azure Functions használatával csatlakoztatja a Microsoft Sentinelt az adatforráshoz, és lekéri a naplókat a Microsoft Sentinelbe:

• Olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel munkaterületen.

• Olvasási engedéllyel kell rendelkeznie a munkaterület megosztott kulcsaihoz. További információ a munkaterületi kulcsokról.

• Függvényalkalmazás létrehozásához olvasási és írási engedéllyel kell rendelkeznie a Azure Functions. További információ a Azure Functions.

• A termék API-jának eléréséhez hitelesítő adatokra is szüksége lesz – felhasználónévre és jelszóra, jogkivonatra, kulcsra vagy más kombinációra. Szükség lehet más API-információkra is, például egy végpont URI-ra.

  További információt a Microsoft Sentinel adatösszekötők referenciaoldalán talál a szolgáltatás dokumentációjában és a szolgáltatáshoz tartozó szakaszban.

• Telepítse a Azure Functions-alapú összekötőt tartalmazó megoldást a Microsoft Sentinel content hubjáról. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

Az adatforrás konfigurálása és csatlakoztatása

Megjegyzés

• Biztonságosan tárolhatja a munkaterületi és API-engedélyezési kulcsokat vagy jogkivonatokat az Azure Key Vault. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse ezeket az utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.

• Egyes adatösszekötők egy Kusto-függvényen alapuló elemzőtől függnek, hogy a várt módon működjenek. A Kusto-függvény és -alias létrehozásához szükséges utasításokra mutató hivatkozásokat a Microsoft Sentinel adatösszekötők referenciaoldalán találja a szolgáltatáshoz tartozó szakaszban.

1. lépés: A forrásrendszer API-hitelesítő adatainak lekérése

Kövesse a forrásrendszer utasításait az API hitelesítő adatainak / engedélyezési kulcsainak / jogkivonatainak lekéréséhez. Másolja és illessze be őket egy szövegfájlba későbbi használatra.

A pontos hitelesítő adatokról, valamint a termék megkeresésére vagy létrehozására vonatkozó utasításokra mutató hivatkozásokat a portál adatösszekötő oldalán, valamint a szolgáltatáshoz tartozó szakaszban találhatja meg a Microsoft Sentinel adatösszekötők referenciaoldalán .

Előfordulhat, hogy a naplózást vagy más beállításokat is konfigurálnia kell a forrásrendszeren. A vonatkozó utasításokat az előző bekezdésben szereplőkkel együtt találja meg.

2. lépés: Az összekötő és a társított Azure-függvényalkalmazás üzembe helyezése

Üzembe helyezési lehetőség kiválasztása

Azure Resource Manager- (ARM-) sablon

Ez a módszer az Azure-függvényalapú összekötő automatikus üzembe helyezését biztosítja ARM-sablon használatával.

1. A Microsoft Sentinel portálon válassza az Adatösszekötők lehetőséget. Válassza ki a Azure Functions-alapú összekötőt a listából, majd válassza az Összekötő megnyitása lapot.

2. A Konfiguráció területen másolja ki a Microsoft Sentinel-munkaterület azonosítóját és elsődleges kulcsát , és illessze be őket.

3. Válassza az Üzembe helyezés az Azure-ban lehetőséget. (Előfordulhat, hogy le kell görgetnie a gomb megkereséséhez.)

4. Ekkor megjelenik az Egyéni üzembe helyezés képernyő.

   • Válassza ki azt az előfizetést, erőforráscsoportot és régiót , amelyben üzembe szeretné helyezni a függvényalkalmazást.

   • Adja meg a fenti 1. lépésben mentett API-hitelesítő adatokat/ engedélyezési kulcsokat/jogkivonatokat.

   • Adja meg a Másolt és félretett Microsoft Sentinel-munkaterület azonosítóját és munkaterületkulcsát (elsődleges kulcsot).

     Megjegyzés

     Ha a fenti értékekhez Azure Key Vault titkos kódokat használ, használja a @Microsoft.KeyVault(SecretUri={Security Identifier}) sztringértékek helyett a sémát. További részletekért tekintse meg Key Vault referenciák dokumentációját.

   • Töltse ki az űrlap bármely más mezőjét az Egyéni üzembe helyezés képernyőn. Tekintse meg az adatösszekötő oldalát a portálon vagy a szolgáltatás szakaszában a Microsoft Sentinel adatösszekötők referenciaoldalán .

   • Válassza az Áttekintés + létrehozás lehetőséget. Amikor az ellenőrzés befejeződött, válassza a Létrehozás lehetőséget.

Manuális üzembe helyezés a PowerShell-lel

Az alábbi lépésenkénti utasítások segítségével manuálisan helyezhet üzembe Azure Functions PowerShell-függvényeket használó összekötőket.

1. A Microsoft Sentinel portálon válassza az Adatösszekötők lehetőséget. Válassza ki a Azure Functions-alapú összekötőt a listából, majd válassza az Összekötő megnyitása lapot.

2. A Konfiguráció területen másolja ki a Microsoft Sentinel-munkaterület azonosítóját és elsődleges kulcsát , és illessze be őket.

3. Függvényalkalmazás létrehozása

   1. A Azure Portal keresse meg és válassza a Függvényalkalmazás lehetőséget.

   2. A Függvényalkalmazás lapon válassza a Létrehozás lehetőséget. Ekkor megnyílik a Függvényalkalmazás létrehozása varázsló.

   3. Az Alapok lapon:

      • Válasszon ki egy előfizetést és egy erőforráscsoportot.
      • Adjon nevet a függvényalkalmazásnak.
      • Állítsa a futtatókörnyezeti vermetPowerShell Core-ra.
      • Válassza ki a megfelelő verziószámot.
      • Válassza ki azt a régiót , amelyben telepíteni szeretné az üzembe helyezést, majd válassza a Tovább : Üzemeltetés lehetőséget.

   4. Az Üzemeltetés lapon:

      • Válassza ki a használni kívánt Tárfiókot , vagy hozzon létre egy újat.
      • Válassza a Használat (kiszolgáló nélküli) lehetőséget a Csomag típusaként.

   5. Végezze el a szükséges egyéb konfigurációs módosításokat, majd válassza a Véleményezés + létrehozás lehetőséget.

   6. Várja meg az "Ellenőrzés sikeres" üzenetet, majd válassza a Létrehozás lehetőséget.

   7. Amikor az üzembe helyezés befejeződik, válassza az Erőforrás megnyitása lehetőséget.

4. Függvényalkalmazás kódjának importálása

   1. Az újonnan létrehozott függvényalkalmazásban válassza a navigációs menü Függvények elemét.

   2. A Függvények lapon válassza a + Hozzáadás lehetőséget.

   3. A Függvény hozzáadása panelen válassza ki az Időzítő eseményindítót.

   4. Adjon meg egy egyedi nevet a függvénynek, és adjon meg egy cron kifejezést az ütemezés megadásához. Az alapértelmezett időköz 5 percenként.

   5. A függvény létrehozásakor válassza a kód + teszt lehetőséget a bal oldali panelen.

   6. Töltse le a forrásrendszer szállítója által megadott függvényalkalmazás-kódot, és másolja és illessze be a függvényalkalmazásrun.ps1 szerkesztőbe, és cserélje le az alapértelmezett kódot. A letöltési hivatkozást az összekötő oldalán vagy a szolgáltatáshoz tartozó szakaszban találja a Microsoft Sentinel adatösszekötők referenciaoldalán .

   7. Kattintson a Mentés gombra.

5. A függvényalkalmazás konfigurálása

   1. A függvényalkalmazás lapján válassza a Konfiguráció lehetőséget a navigációs menü Beállítások területén.

   2. Az Alkalmazásbeállítások lapon válassza az + Új alkalmazásbeállítás lehetőséget.

   3. Adja hozzá egyenként a termékhez az előírt alkalmazásbeállításokat a megfelelő kis- és nagybetűket megkülönböztető sztringértékekkel. A Microsoft Sentinel adatösszekötők referenciaoldalán tekintse meg a szolgáltatáshoz tartozó szakasz adatösszekötők oldalát vagy a termék szakaszát.

      Tipp

      Ha van ilyen, a logAnalyticsUri alkalmazásbeállítással felülbírálhatja a Log Analytics API-végpontot, ha dedikált felhőt használ. Így például ha nyilvános felhőt használ, hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us.

Manuális üzembe helyezés a Pythonnal

Az alábbi lépésenkénti utasítások segítségével manuálisan helyezhet üzembe Azure Functions Python-függvényeket használó összekötőket. Az ilyen típusú üzembe helyezéshez Visual Studio Code szükséges.

1. A Microsoft Sentinel portálon válassza az Adatösszekötők lehetőséget. Válassza ki a Azure Functions-alapú összekötőt a listából, majd válassza az Összekötő megnyitása lapot.

2. A Konfiguráció területen másolja ki a Microsoft Sentinel-munkaterület azonosítóját és elsődleges kulcsát , és illessze be őket.

3. Függvényalkalmazás üzembe helyezése

   Megjegyzés

   Elő kell készítenie a Visual Studio Code-ot (VS Code) az Azure-függvények fejlesztéséhez.

   1. Töltse le az Azure-függvényalkalmazás-fájlt az adatösszekötő oldalán és a szolgáltatáshoz tartozó szakaszban található hivatkozással a Microsoft Sentinel adatösszekötők referenciaoldalán . Bontsa ki az archívumot a helyi fejlesztőszámítógépre.

   2. Indítsa el a VS Code-ot. A menüsávon válassza a Fájl > megnyitása mappa... lehetőséget.

   3. Válassza ki a legfelső szintű mappát az archívumból kinyert fájlokból.

   4. Válassza az Azure ikont a VS Code tevékenységsávján (a bal oldalon). Ezután az Azure: Functions területen válassza az Üzembe helyezés függvényalkalmazáshoz gombot.

      Megjegyzés

      Ha még nincs bejelentkezve, válassza az Azure ikont a Tevékenység sávon. Ezután az Azure: Functions területen válassza a Bejelentkezés az Azure-ba lehetőséget.
      Ha már bejelentkezett, lépjen a következő lépésre.

   5. Amikor a rendszer kéri, adja meg az alábbi információkat:

      • Mappa kiválasztása: Válasszon ki egy mappát a munkaterületről, vagy tallózással keresse meg a függvényalkalmazást tartalmazó mappát.
      • Előfizetés kiválasztása: Válassza ki a használni kívánt előfizetést.
      • Válassza az Új függvényalkalmazás létrehozása az Azure-ban lehetőséget. (Ne válassza a Speciális lehetőséget.)
      • Adjon meg egy globálisan egyedi nevet a függvényalkalmazásnak: Adjon meg egy olyan nevet a függvényalkalmazásnak, amely érvényes lenne egy URL-elérési úton. A rendszer ellenőrzi a választott nevet, hogy biztosan egyedi legyen az egész Azure Functions.
      • Válasszon egy futtatókörnyezetet: Válassza a Python 3.8 lehetőséget.

   6. Az üzembe helyezés megkezdődik. A függvényalkalmazás létrehozása és a telepítőcsomag alkalmazása után megjelenik egy értesítés.

   7. Térjen vissza a függvényalkalmazás lapjára a konfigurációhoz.

4. A függvényalkalmazás konfigurálása

   1. A függvényalkalmazás lapján válassza a Konfiguráció lehetőséget a navigációs menü Beállítások területén.

   2. Az Alkalmazásbeállítások lapon válassza az + Új alkalmazásbeállítás lehetőséget.

   3. Adja hozzá egyenként a termékhez az előírt alkalmazásbeállításokat a megfelelő kis- és nagybetűket megkülönböztető sztringértékekkel. A hozzáadandó alkalmazásbeállításokat a Microsoft Sentinel adatösszekötők referenciaoldalán találja az adatösszekötő oldalán vagy a szolgáltatás szakaszában.

      • Ha van ilyen, a logAnalyticsUri alkalmazásbeállítással felülbírálhatja a Log Analytics API-végpontot, ha dedikált felhőt használ. Így például ha nyilvános felhőt használ, hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us.

Az adatok megkeresése

A sikeres kapcsolat létrejötte után az adatok a Naplók területen, a CustomLogs területen jelennek meg a szolgáltatáshoz tartozó szakaszban, a Microsoft Sentinel adatösszekötők referenciaoldalán .

Az adatok lekérdezéséhez írja be az egyik táblanevet – vagy a megfelelő Kusto-függvény aliasát – a lekérdezési ablakban.

Néhány hasznos mintalekérdezésért tekintse meg a Következő lépések lapot az összekötő oldalán.

A kapcsolat ellenőrzése

Akár 20 percig is eltarthat, amíg a naplók megjelennek a Log Analyticsben.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja a Microsoft Sentinelt az adatforráshoz Azure Functions-alapú összekötőkkel. A Microsoft Sentinelről az alábbi cikkekben talál további információt:

• Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
• Ismerkedés a fenyegetések Microsoft Sentinellel való észlelésével.
• Munkafüzetek használatával monitorozza az adatokat.