Erőforrások egyéni Microsoft Sentinel-összekötők létrehozásához
A Microsoft Sentinel számos beépített összekötőt biztosít az Azure-szolgáltatásokhoz és külső megoldásokhoz, valamint támogatja az adatok betöltését bizonyos forrásokból dedikált összekötő nélkül.
Ha nem tudja csatlakoztatni az adatforrást a Microsoft Sentinelhez az elérhető meglévő megoldások bármelyikével, érdemes lehet létrehoznia saját adatforrás-összekötőt.
A támogatott összekötők teljes listáját a Microsoft Sentinel-adatösszekötő megkeresése című témakörben találja.
Egyéni összekötő metódusok összehasonlítása
Az alábbi táblázat az ebben a cikkben ismertetett egyéni összekötők létrehozásának minden módszerével kapcsolatos alapvető részleteket hasonlítja össze. Az egyes metódusokkal kapcsolatos további részletekért válassza a táblázatban található hivatkozásokat.
| Metódus leírása | Funkció | Kiszolgáló nélküli | Összetettség |
|---|---|---|---|
| Kód nélküli összekötőplatform (CCP) A kevésbé technikai közönség számára a legjobb, ha speciális fejlesztés helyett konfigurációs fájl használatával hoz létre SaaS-összekötőket. |
A kóddal elérhető összes képességet támogatja. | Igen | Alacsony; egyszerű, kód nélküli fejlesztés |
| Azure Monitor-ügynök Legjobban helyszíni és IaaS-forrásokból származó fájlok gyűjtésére alkalmas |
Fájlgyűjtés, adatátalakítás | Nem | Alacsony |
| Logstash Legjobb helyszíni és IaaS-forrásokhoz, bármely olyan forráshoz, amelyhez beépülő modul érhető el, és a Logstash-t már ismerő szervezetek |
Az Azure Monitor-ügynök összes funkcióját támogatja | Nem; virtuális gép vagy virtuálisgép-fürt futtatását igényli | Alacsony; számos forgatókönyvet támogat beépülő modulokkal |
| Logic Apps Magas költség; nagy mennyiségű adat kerülése A legjobb a kis mennyiségű felhőforrásokhoz |
A kód nélküli programozás korlátozott rugalmasságot tesz lehetővé az algoritmusok implementálása nélkül. Ha egy elérhető művelet sem támogatja már a követelményeket, az egyéni művelet létrehozása összetettebbé teheti a műveletet. |
Igen | Alacsony; egyszerű, kód nélküli fejlesztés |
| Log Ingestion API az Azure Monitorban Az integrációt megvalósító isv-k és az egyedi gyűjtési követelmények szempontjából a legjobb |
A kóddal elérhető összes képességet támogatja. | A megvalósítástól függ | Magas |
| Azure Functions A legjobb a nagy mennyiségű felhőforrásokhoz és az egyedi gyűjtési követelményekhez |
A kóddal elérhető összes képességet támogatja. | Igen | Magas; programozási ismereteket igényel |
Tipp.
A Logic Apps és az Azure Functions ugyanazon összekötőhöz való használatának összehasonlításához tekintse meg a következőt:
- A Fastly Web Application Firewall bejelentkezik a Microsoft Sentinelbe
- Office 365 (Microsoft Sentinel GitHub-közösség): Logic Alkalmazás-összekötő | Azure függvény-összekötő
Csatlakozás a Kód nélküli összekötő platformmal
A Kód nélküli összekötő platform (CCP) egy konfigurációs fájlt biztosít, amelyet az ügyfelek és a partnerek egyaránt használhatnak, majd üzembe helyezhetők a saját munkaterületén, vagy megoldásként a Microsoft Sentinel tartalomközpontjában.
A központi szerződő fél használatával létrehozott összekötők teljes mértékben SaaS-nek számítanak, a szolgáltatástelepítésekre vonatkozó követelmények nélkül, valamint az állapotfigyelést és a Microsoft Sentinel teljes támogatását is magukban foglalják.
További információ: Kód nélküli összekötő létrehozása a Microsoft Sentinelhez.
Csatlakozás az Azure Monitor-ügynökkel
Ha az adatforrás szöveges fájlokban szolgáltat eseményeket, javasoljuk, hogy az Azure Monitor Agent használatával hozza létre az egyéni összekötőt.
További információ: Naplók gyűjtése szövegfájlból az Azure Monitor-ügynökkel.
Erre a módszerre példa: Naplók gyűjtése egy JSON-fájlból az Azure Monitor-ügynökkel.
Csatlakozás a Logstash szolgáltatással
Ha ismeri a Logstash szolgáltatást, érdemes lehet a Logstash és a Microsoft Sentinel Logstash kimeneti beépülő moduljával létrehozni az egyéni összekötőt.
A Microsoft Sentinel Logstash Output beépülő modullal bármilyen Logstash bemeneti és szűrési beépülő modult használhat, és konfigurálhatja a Microsoft Sentinelt a Logstash-folyamat kimeneteként. A Logstash számos beépülő modullal rendelkezik, amelyek különböző forrásokból, például az Event Hubsból, az Apache Kafkából, a fájlokból, az adatbázisokból és a felhőszolgáltatásokból származó bemeneteket teszik lehetővé. A szűrő beépülő modulok segítségével elemezheti az eseményeket, szűrheti a szükségtelen eseményeket, elrejtheti az értékeket stb.
Példák a Logstash egyéni összekötőként való használatára:
- A Capital One Breach TTP-k vadászata az AWS-naplókban a Microsoft Sentinel használatával (blog)
- A Radware Microsoft Sentinel implementálási útmutatója
Példák a Hasznos Logstash beépülő modulokra:
- Cloudwatch bemeneti beépülő modul
- Azure Event Hubs beépülő modul
- Google Cloud Storage bemeneti beépülő modul
- Google_pubsub bemeneti beépülő modul
Tipp.
A Logstash lehetővé teszi a skálázott adatgyűjtést is egy fürt használatával. További információ: Elosztott terhelésű Logstash virtuális gép használata nagy méretekben.
Csatlakozás a Logic Apps szolgáltatással
Az Azure Logic Apps használatával kiszolgáló nélküli, egyéni összekötőt hozhat létre a Microsoft Sentinelhez.
Feljegyzés
Bár a Logic Apps használatával kiszolgáló nélküli összekötőket hozhat létre, az összekötőkhöz készült Logic Apps használata nagy mennyiségű adat esetében költséges lehet.
Javasoljuk, hogy ezt a módszert csak kis mennyiségű adatforrásokhoz használja, vagy bővítse az adatfeltöltéseket.
A Logic Apps elindításához használja az alábbi triggerek egyikét:
Eseményindító Leírás Ismétlődő tevékenység Ütemezze például a logikai alkalmazást, hogy rendszeresen lekérjen adatokat adott fájlokból, adatbázisokból vagy külső API-kból.
További információ: Ismétlődő feladatok és munkafolyamatok létrehozása, ütemezése és futtatása az Azure Logic Appsben.Igény szerinti aktiválás Futtassa igény szerint a logic appot manuális adatgyűjtéshez és teszteléshez.
További információ: Logikai alkalmazások meghívása, aktiválása vagy beágyazása HTTPS-végpontokkal.HTTP/S végpont Ajánlott streameléshez, és ha a forrásrendszer képes elindítani az adatátvitelt.
További információ: Szolgáltatásvégpontok hívása HTTP-en vagy HTTP-en keresztül.Az események lekéréséhez használja az információkat olvasott logikai Alkalmazás-összekötő. Példa:
Tipp.
A REST API-khoz, SQL-kiszolgálókhoz és fájlrendszerekhez való egyéni összekötők szintén támogatják az adatok helyszíni adatforrásokból való lekérését. További információ: Helyszíni adatátjáró telepítése dokumentáció.
Készítse elő a lekérni kívánt információkat.
Az elemzési JSON-művelettel például hozzáférhet a JSON-tartalom tulajdonságaihoz, így a logikai alkalmazás bemeneteinek megadásakor kiválaszthatja ezeket a tulajdonságokat a dinamikus tartalomlistából.
További információ: Adatműveletek végrehajtása az Azure Logic Appsben.
Írja be az adatokat a Log Analyticsbe.
További információkért tekintse meg az Azure Log Analytics Adatgyűjtő dokumentációját.
Példák arra, hogyan hozhat létre egyéni összekötőt a Microsoft Sentinelhez a Logic Apps használatával:
- Adatfolyam létrehozása a Data Collector API-val
- Palo Alto Prisma Logic Alkalmazás-összekötő webhook használatával (Microsoft Sentinel GitHub-közösség)
- Microsoft Teams-hívások védelme ütemezett aktiválással (blog)
- Az AlienVault OTX fenyegetésjelzőinek betöltése a Microsoft Sentinelbe (blog)
Csatlakozás a Log Ingestion API-val
Eseményeket streamelhet a Microsoft Sentinelbe a Log Analytics Data Collector API használatával, hogy közvetlenül meghívjon egy RESTful-végpontot.
A RESTful-végpontok közvetlen meghívása több programozást igényel, de nagyobb rugalmasságot is biztosít.
További információért tekintse át az alábbi cikkeket:
- Log Ingestion API az Azure Monitorban.
- Mintakód, amely adatokat küld az Azure Monitornak a Logs ingestion API használatával.
Csatlakozás az Azure Functions szolgáltatással
Az Azure Functions egy RESTful API-val és különböző kódolási nyelvekkel ,például a PowerShell-lel együtt használható egy kiszolgáló nélküli egyéni összekötő létrehozásához.
Példák erre a módszerre:
- A VMware Carbon Black Cloud Endpoint Standard csatlakoztatása a Microsoft Sentinelhez az Azure-függvénysel
- Az Okta egyszeri bejelentkezés csatlakoztatása a Microsoft Sentinelhez az Azure-függvény használatával
- A Proofpoint TAP csatlakoztatása a Microsoft Sentinelhez az Azure-függvény használatával
- A Qualys virtuális gép csatlakoztatása a Microsoft Sentinelhez az Azure-függvény használatával
- XML-, CSV- vagy egyéb adatformátumok betöltése
- Nagyítás monitorozása a Microsoft Sentinellel (blog)
- Függvényalkalmazás üzembe helyezése az Office 365 Felügyeleti API-adatok Microsoft Sentinelbe való beolvasásához (Microsoft Sentinel GitHub-közösség)
Az egyéni összekötő adatainak elemzése
Az egyéni összekötővel gyűjtött adatok kihasználása érdekében az Advanced Security Information Model (ASIM) elemzőket fejlesztve dolgozhat az összekötővel. Az ASIM használatával a Microsoft Sentinel beépített tartalmai használhatják az egyéni adatokat, és megkönnyítik az elemzők számára az adatok lekérdezését.
Ha az összekötő metódusa lehetővé teszi, az elemzés egy részét az összekötő részeként implementálhatja a lekérdezési idő elemzési teljesítményének javítása érdekében:
- Ha a Logstash-t használta, az adatok elemzéséhez használja a Grok szűrő beépülő modult.
- Ha Azure-függvényt használt, az adatokat kóddal elemezheti.
Továbbra is implementálnia kell az ASIM-elemzőket, de az elemzés egy részének közvetlenül az összekötővel való implementálása leegyszerűsíti az elemzést, és javítja a teljesítményt.
Következő lépések
Használja a Microsoft Sentinelbe betöltött adatokat a környezet védelméhez az alábbi folyamatok bármelyikével: