Erőforrások egyéni Microsoft Sentinel-összekötők létrehozásához
A Microsoft Sentinel számos beépített összekötőt biztosít az Azure-szolgáltatásokhoz és a külső megoldásokhoz, valamint támogatja az adatok betöltését bizonyos forrásokból dedikált összekötő nélkül.
Ha nem tudja csatlakoztatni az adatforrást a Microsoft Sentinelhez az elérhető meglévő megoldások bármelyikével, érdemes lehet létrehoznia saját adatforrás-összekötőt.
A támogatott összekötők teljes listáját a Microsoft Sentinel: The connectors grand (CEF, Syslog, Direct, Agent, Custom stb.) blogbejegyzésben találja.
Egyéni összekötő metódusok összehasonlítása
Az alábbi táblázat az ebben a cikkben ismertetett egyéni összekötők létrehozásának minden módszerével kapcsolatos alapvető részleteket hasonlítja össze. Az egyes metódusokkal kapcsolatos további részletekért válassza a táblázatban található hivatkozásokat.
Metódus leírása | Funkció | Kiszolgáló nélküli | Összetettség |
---|---|---|---|
Kód nélküli összekötőplatform (CCP) A kevésbé technikai közönség számára a legjobb, ha speciális fejlesztés helyett konfigurációs fájl használatával hoz létre SaaS-összekötőket. |
A kóddal elérhető összes képességet támogatja. | Igen | Alacsony; egyszerű, kód nélküli fejlesztés |
Log Analytics-ügynök Legjobban helyszíni és IaaS-forrásokból származó fájlok gyűjtésére alkalmas |
Csak fájlgyűjtemény | Nem | Alacsony |
Logstash Legjobb helyszíni és IaaS-forrásokhoz, bármely olyan forráshoz, amelyhez beépülő modul érhető el, és a Logstash-t már ismerő szervezetek |
Az elérhető beépülő modulok, valamint az egyéni beépülő modulok, a képességek jelentős rugalmasságot biztosítanak. | Nem; virtuális gép vagy virtuálisgép-fürt futtatását igényli | Alacsony; számos forgatókönyvet támogat beépülő modulokkal |
Logic Apps Magas költség; nagy mennyiségű adat kerülése A legjobb a kis mennyiségű felhőforrásokhoz |
A kód nélküli programozás korlátozott rugalmasságot tesz lehetővé az algoritmusok implementálása nélkül. Ha egy elérhető művelet sem támogatja már a követelményeket, az egyéni művelet létrehozása összetettebbé teheti a műveletet. |
Igen | Alacsony; egyszerű, kód nélküli fejlesztés |
PowerShell Legjobb prototípus-készítéshez és időszakos fájlfeltöltésekhez |
Közvetlen támogatás a fájlgyűjtéshez. A PowerShell további források gyűjtésére használható, de a szkript szolgáltatásként való kódolását és konfigurálását igényli. |
Nem | Alacsony |
Log Analytics API Az integrációt megvalósító isv-k és az egyedi gyűjtési követelmények szempontjából a legjobb |
A kóddal elérhető összes képességet támogatja. | A megvalósítástól függ | Magas |
Azure Functions A legjobb a nagy mennyiségű felhőforrásokhoz és az egyedi gyűjtési követelményekhez |
A kóddal elérhető összes képességet támogatja. | Igen | Magas; programozási ismereteket igényel |
Tipp.
A Logic Apps és az Azure Functions ugyanazon összekötőhöz való használatának összehasonlításához tekintse meg a következőt:
- A Fastly Web Application Firewall bejelentkezik a Microsoft Sentinelbe
- Office 365 (Microsoft Sentinel GitHub-közösség): Logic Alkalmazás-összekötő | Azure függvény-összekötő
Csatlakozás a Kód nélküli összekötő platformmal
A Kód nélküli összekötő platform (CCP) egy konfigurációs fájlt biztosít, amelyet az ügyfelek és a partnerek egyaránt használhatnak, majd üzembe helyezhetők a saját munkaterületén, vagy megoldásként a Microsoft Sentinel megoldásgyűjteményében.
A központi szerződő fél használatával létrehozott összekötők teljes mértékben SaaS-nek számítanak, a szolgáltatástelepítésekre vonatkozó követelmények nélkül, valamint az állapotfigyelést és a Microsoft Sentinel teljes támogatását is magukban foglalják.
További információ: Kód nélküli összekötő létrehozása a Microsoft Sentinelhez.
Csatlakozás a Log Analytics-ügynökkel
Ha az adatforrás fájlban szolgáltat eseményeket, javasoljuk, hogy az Azure Monitor Log Analytics-ügynökkel hozza létre az egyéni összekötőt.
További információ: Egyéni naplók gyűjtése az Azure Monitorban.
Erre a módszerre példa: Egyéni JSON-adatforrások gyűjtése a Linuxhoz készült Log Analytics-ügynökkel az Azure Monitorban.
Csatlakozás a Logstash szolgáltatással
Ha ismeri a Logstash szolgáltatást, érdemes lehet a Logstash és a Microsoft Sentinel Logstash kimeneti beépülő moduljával létrehozni az egyéni összekötőt.
A Microsoft Sentinel Logstash Output beépülő modullal bármilyen Logstash bemeneti és szűrési beépülő modult használhat, és konfigurálhatja a Microsoft Sentinelt a Logstash-folyamat kimeneteként. A Logstash számos beépülő modullal rendelkezik, amelyek különböző forrásokból, például az Event Hubsból, az Apache Kafkából, a fájlokból, az adatbázisokból és a felhőszolgáltatásokból származó bemeneteket teszik lehetővé. A szűrő beépülő modulok segítségével elemezheti az eseményeket, szűrheti a szükségtelen eseményeket, elrejtheti az értékeket stb.
Példák a Logstash egyéni összekötőként való használatára:
- A Capital One Breach TTP-k vadászata az AWS-naplókban a Microsoft Sentinel használatával (blog)
- A Radware Microsoft Sentinel implementálási útmutatója
Példák a Hasznos Logstash beépülő modulokra:
- Cloudwatch bemeneti beépülő modul
- Azure Event Hubs beépülő modul
- Google Cloud Storage bemeneti beépülő modul
- Google_pubsub bemeneti beépülő modul
Tipp.
A Logstash lehetővé teszi a skálázott adatgyűjtést is egy fürt használatával. További információ: Elosztott terhelésű Logstash virtuális gép használata nagy méretekben.
Csatlakozás a Logic Apps szolgáltatással
Az Azure Logic Apps használatával kiszolgáló nélküli, egyéni összekötőt hozhat létre a Microsoft Sentinelhez.
Feljegyzés
Bár a Logic Apps használatával kiszolgáló nélküli összekötőket hozhat létre, az összekötőkhöz készült Logic Apps használata nagy mennyiségű adat esetében költséges lehet.
Javasoljuk, hogy ezt a módszert csak kis mennyiségű adatforrásokhoz használja, vagy bővítse az adatfeltöltéseket.
A Logic Apps elindításához használja az alábbi triggerek egyikét:
Eseményindító Leírás Ismétlődő tevékenység Ütemezze például a logikai alkalmazást, hogy rendszeresen lekérjen adatokat adott fájlokból, adatbázisokból vagy külső API-kból.
További információ: Ismétlődő feladatok és munkafolyamatok létrehozása, ütemezése és futtatása az Azure Logic Appsben.Igény szerinti aktiválás Futtassa igény szerint a logic appot manuális adatgyűjtéshez és teszteléshez.
További információ: Logikai alkalmazások meghívása, aktiválása vagy beágyazása HTTPS-végpontokkal.HTTP/S végpont Ajánlott streameléshez, és ha a forrásrendszer képes elindítani az adatátvitelt.
További információ: Szolgáltatásvégpontok hívása HTTP-en vagy HTTP-en keresztül.Az események lekéréséhez használja az információkat olvasott logikai Alkalmazás-összekötő. Példa:
Tipp.
A REST API-khoz, SQL-kiszolgálókhoz és fájlrendszerekhez való egyéni összekötők szintén támogatják az adatok helyszíni adatforrásokból való lekérését. További információ: Helyszíni adatátjáró telepítése dokumentáció.
Készítse elő a lekérni kívánt információkat.
Az elemzési JSON-művelettel például hozzáférhet a JSON-tartalom tulajdonságaihoz, így a logikai alkalmazás bemeneteinek megadásakor kiválaszthatja ezeket a tulajdonságokat a dinamikus tartalomlistából.
További információ: Adatműveletek végrehajtása az Azure Logic Appsben.
Írja be az adatokat a Log Analyticsbe.
További információkért tekintse meg az Azure Log Analytics Adatgyűjtő dokumentációját.
Példák arra, hogyan hozhat létre egyéni összekötőt a Microsoft Sentinelhez a Logic Apps használatával:
- Adatfolyam létrehozása a Data Collector API-val
- Palo Alto Prisma Logic Alkalmazás-összekötő webhook használatával (Microsoft Sentinel GitHub-közösség)
- Microsoft Teams-hívások védelme ütemezett aktiválással (blog)
- Az AlienVault OTX fenyegetésjelzőinek betöltése a Microsoft Sentinelbe (blog)
Kapcsolódás a PowerShell-lel
Az Upload-AzMonitorLog PowerShell-szkript lehetővé teszi, hogy a PowerShell használatával eseményeket vagy környezeti információkat streameljen a Microsoft Sentinelnek a parancssorból. Ez a streamelés hatékonyan létrehoz egy egyéni összekötőt az adatforrás és a Microsoft Sentinel között.
A következő szkript például feltölt egy CSV-fájlt a Microsoft Sentinelbe:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
Az Upload-AzMonitorLog PowerShell-szkript a következő paramétereket használja:
Paraméter | Leírás |
---|---|
WorkspaceId | A Microsoft Sentinel-munkaterület azonosítója, ahol az adatokat fogja tárolni. Keresse meg a munkaterület azonosítóját és kulcsát. |
WorkspaceKey | A Microsoft Sentinel-munkaterület elsődleges vagy másodlagos kulcsa, ahol az adatokat tárolja. Keresse meg a munkaterület azonosítóját és kulcsát. |
LogTypeName | Annak az egyéni naplótáblának a neve, amelyben tárolni szeretné az adatokat. A rendszer automatikusan hozzáad egy _CL utótagot a táblanév végéhez. |
AddComputerName | Ha ez a paraméter létezik, a szkript hozzáadja az aktuális számítógépnevet minden naplórekordhoz, egy Számítógép nevű mezőben. |
TaggedAzureResourceId | Ha ez a paraméter létezik, a szkript az összes feltöltött naplórekordot a megadott Azure-erőforráshoz társítja. Ez a társítás lehetővé teszi a feltöltött naplórekordokat az erőforrás-környezet lekérdezéseihez, és betartja az erőforrás-központú, szerepköralapú hozzáférés-vezérlést. |
AdditionalDataTaggingName | Ha ez a paraméter létezik, a szkript minden naplórekordhoz hozzáad egy másik mezőt a konfigurált névvel és az AdditionalDataTaggingValue paraméterhez konfigurált értékkel. Ebben az esetben az AdditionalDataTaggingValue nem lehet üres. |
AdditionalDataTaggingValue | Ha ez a paraméter létezik, a szkript minden naplórekordhoz hozzáad egy másik mezőt a konfigurált értékkel és az AdditionalDataTaggingName paraméterhez konfigurált mezőnévvel. Ha az AdditionalDataTaggingName paraméter üres, de egy érték van konfigurálva, az alapértelmezett mezőnév a DataTagging. |
Munkaterület-azonosító és -kulcs megkeresése
Keresse meg a WorkspaceID és a WorkspaceKey paraméterek részleteit a Microsoft Sentinelben:
A Microsoft Sentinelben válassza a Bal oldali Beállítások lehetőséget, majd a Munkaterület beállításai lapot.
A Log Analytics>1 Adatforrás csatlakoztatása című témakörben válassza a Windows- és Linux-ügynökök felügyeletét.
Keresse meg a munkaterület azonosítóját, az elsődleges kulcsot és a másodlagos kulcsot a Windows-kiszolgálók lapon.
Csatlakozás a Log Analytics API-val
Eseményeket streamelhet a Microsoft Sentinelbe a Log Analytics Data Collector API használatával, hogy közvetlenül meghívjon egy RESTful-végpontot.
A RESTful-végpontok közvetlen meghívása több programozást igényel, de nagyobb rugalmasságot is biztosít.
További információkért tekintse meg a Log Analytics Adatgyűjtő API-t, különösen az alábbi példákat:
Csatlakozás az Azure Functions szolgáltatással
Az Azure Functions egy RESTful API-val és különböző kódolási nyelvekkel ,például a PowerShell-lel együtt használható egy kiszolgáló nélküli egyéni összekötő létrehozásához.
Példák erre a módszerre:
- A VMware Carbon Black Cloud Endpoint Standard csatlakoztatása a Microsoft Sentinelhez az Azure-függvénysel
- Az Okta egyszeri bejelentkezés csatlakoztatása a Microsoft Sentinelhez az Azure-függvény használatával
- A Proofpoint TAP csatlakoztatása a Microsoft Sentinelhez az Azure-függvény használatával
- A Qualys virtuális gép csatlakoztatása a Microsoft Sentinelhez az Azure-függvény használatával
- XML-, CSV- vagy egyéb adatformátumok betöltése
- Nagyítás monitorozása a Microsoft Sentinellel (blog)
- Függvényalkalmazás üzembe helyezése az Office 365 Felügyeleti API-adatok Microsoft Sentinelbe való beolvasásához (Microsoft Sentinel GitHub-közösség)
Az egyéni összekötő adatainak elemzése
Az egyéni összekötővel gyűjtött adatok kihasználása érdekében az Advanced Security Information Model (ASIM) elemzőket fejlesztve dolgozhat az összekötővel. Az ASIM használatával a Microsoft Sentinel beépített tartalmai használhatják az egyéni adatokat, és megkönnyítik az elemzők számára az adatok lekérdezését.
Ha az összekötő metódusa lehetővé teszi, az elemzés egy részét az összekötő részeként implementálhatja a lekérdezési idő elemzési teljesítményének javítása érdekében:
- Ha a Logstash-t használta, az adatok elemzéséhez használja a Grok szűrő beépülő modult.
- Ha Azure-függvényt használt, az adatokat kóddal elemezheti.
Továbbra is implementálnia kell az ASIM-elemzőket, de az elemzés egy részének közvetlenül az összekötővel való implementálása leegyszerűsíti az elemzést, és javítja a teljesítményt.
Következő lépések
Használja a Microsoft Sentinelbe betöltött adatokat a környezet védelméhez az alábbi folyamatok bármelyikével:
- A riasztások láthatóságának lekérése
- Az adatok vizualizációja és monitorozása
- Incidensek kivizsgálása
- Fenyegetések észlelése
- Veszélyforrások megelőzésének automatizálása
- Veszélyforrások keresése
Emellett megismerhet egy példát arra, hogyan hozhat létre egyéni összekötőt a Zoom monitorozásához: a Nagyítás monitorozása a Microsoft Sentinellel.