Erőforrások egyéni Microsoft Sentinel-összekötők létrehozásához
A Microsoft Sentinel számos beépített összekötőt biztosít az Azure-szolgáltatásokhoz és külső megoldásokhoz, valamint támogatja az adatok betöltését egyes forrásokból dedikált összekötő nélkül.
Ha nem tudja csatlakoztatni az adatforrást a Microsoft Sentinelhez az elérhető meglévő megoldások bármelyikével, fontolja meg saját adatforrás-összekötő létrehozását.
A támogatott összekötők teljes listáját a Microsoft Sentinel: The connectors grand (CEF, Syslog, Direct, Agent, Custom stb.) blogbejegyzésben találja.
Egyéni összekötő-metódusok összehasonlítása
Az alábbi táblázat összehasonlítja az ebben a cikkben ismertetett egyéni összekötők létrehozásának minden módszerével kapcsolatos alapvető részleteket. Az egyes metódusokkal kapcsolatos további részletekért válassza ki a táblázatban található hivatkozásokat.
Metódus leírása | Képesség | Kiszolgáló nélküli | Összetettség |
---|---|---|---|
Kód nélküli összekötőplatform (CCP) A legjobb, ha a kevésbé technikai célközönségek speciális fejlesztés helyett konfigurációs fájllal hoznak létre SaaS-összekötőket. |
A kódban elérhető összes képességet támogatja. | Yes | Alacsony; egyszerű, kód nélküli fejlesztés |
Log Analytics-ügynök Legjobban helyszíni és IaaS-forrásokból származó fájlok gyűjtésére alkalmas |
Csak fájlgyűjtemény | No | Alacsony |
LogStash A legjobb helyszíni és IaaS-forrásokhoz, bármely olyan forráshoz, amelyhez beépülő modul érhető el, és a Logstash-t már jól ismerő szervezetek |
Az elérhető beépülő modulok, valamint az egyéni beépülő modulok, a képességek jelentős rugalmasságot biztosítanak. | Nem; virtuális gép vagy virtuálisgép-fürt futtatását igényli | Alacsony; számos forgatókönyvet támogat beépülő modulokkal |
Logic Apps Magas költség; kerülje a nagy mennyiségű adatot A legjobb alacsony kötetű felhőforrásokhoz |
A kód nélküli programozás korlátozott rugalmasságot tesz lehetővé az algoritmusok implementálása nélkül. Ha még egyetlen elérhető művelet sem támogatja a követelményeket, az egyéni művelet létrehozása összetettebbé teheti a műveletet. |
Yes | Alacsony; egyszerű, kód nélküli fejlesztés |
PowerShell A legjobb prototípus-íráshoz és rendszeres fájlfeltöltésekhez |
Közvetlen támogatás a fájlgyűjtéshez. A PowerShell további források gyűjtésére is használható, de a szkript szolgáltatásként való kódolását és konfigurálását igényli. |
No | Alacsony |
Log Analytics API Az integrációt megvalósító független szoftverszállítók és az egyedi gyűjtési követelmények szempontjából a legjobb |
A kódban elérhető összes képességet támogatja. | A megvalósítástól függ | Magas |
Azure Functions Kiválóan alkalmas nagy mennyiségű felhőforrásokhoz és egyedi gyűjteménykövetelményekhez |
A kódban elérhető összes képességet támogatja. | Yes | Magas; programozási ismereteket igényel |
Tipp
A Logic Apps és a Azure Functions ugyanazon összekötőhöz való használatának összehasonlításáért lásd:
- A Gyors betöltés Web Application Firewall bejelentkezések a Microsoft Sentinelbe
- Office 365 (Microsoft Sentinel GitHub-közösség): Logic App Connector | Azure Function Connector
Csatlakozás a kód nélküli összekötőplatformmal
A Kód nélküli összekötőplatform (CCP) egy konfigurációs fájlt biztosít, amelyet az ügyfelek és a partnerek is használhatnak, majd üzembe helyezhetnek a saját munkaterületén, vagy megoldásként a Microsoft Sentinel megoldásgyűjteményében.
A központi szerződő fél használatával létrehozott összekötők teljes mértékben SaaS- és szolgáltatástelepítési követelmények nélkül, valamint a Microsoft Sentinel állapotmonitorozását és teljes körű támogatását tartalmazzák.
További információ: Kód nélküli összekötő létrehozása a Microsoft Sentinelhez.
Csatlakozás a Log Analytics-ügynökkel
Ha az adatforrás fájlban küld eseményeket, javasoljuk, hogy az Azure Monitor Log Analytics-ügynökkel hozza létre az egyéni összekötőt.
További információ: Egyéni naplók gyűjtése az Azure Monitorban.
Erre a módszerre példa: Egyéni JSON-adatforrások gyűjtése a Linuxhoz készült Log Analytics-ügynökkel az Azure Monitorban.
Csatlakozás a Logstash szolgáltatással
Ha ismeri a Logstash szolgáltatást, érdemes lehet a Logstash és a Microsoft Sentinel Logstash kimeneti beépülő moduljának használatával létrehozni az egyéni összekötőt.
A Microsoft Sentinel Logstash Output beépülő modullal bármilyen Logstash bemeneti és szűrési beépülő modult használhat, és konfigurálhatja a Microsoft Sentinelt a Logstash-folyamat kimeneteként. A Logstash számos beépülő modult tartalmaz, amelyek különböző forrásokból, például az Event Hubsból, az Apache Kafkából, a Fájlokból, az Adatbázisokból és a Felhőszolgáltatásokból származó bemeneteket teszik lehetővé. Szűrő beépülő modulok használatával elemezheti az eseményeket, szűrheti a szükségtelen eseményeket, elrejtheti az értékeket stb.
Példák a Logstash egyéni összekötőként való használatára:
- Hunting for Capital One Breach TTP-k az AWS-naplókban a Microsoft Sentinel használatával (blog)
- A Radware Microsoft Sentinel implementálási útmutatója
Példák a Logstash hasznos beépülő moduljaira:
- Cloudwatch bemeneti beépülő modul
- Azure Event Hubs beépülő modul
- Google Cloud Storage bemeneti beépülő modul
- Google_pubsub bemeneti beépülő modul
Tipp
A Logstash a fürtök használatával is lehetővé teszi a skálázott adatgyűjtést. További információ: Elosztott terhelésű Logstash virtuális gép használata nagy méretekben.
Csatlakozás a Logic Apps szolgáltatással
Az Azure Logic Apps használatával kiszolgáló nélküli, egyéni összekötőt hozhat létre a Microsoft Sentinelhez.
Megjegyzés
A kiszolgáló nélküli összekötők Logic Apps használatával történő létrehozásakor a Logic Apps használata nagy mennyiségű adat esetében költséges lehet.
Javasoljuk, hogy ezt a módszert csak kis mennyiségű adatforrásokhoz használja, vagy bővítse az adatfeltöltéseket.
Használja az alábbi triggerek egyikét a Logic Apps elindításához:
Eseményindító Description Ismétlődő feladat Ütemezze például úgy a logikai alkalmazást, hogy rendszeresen lekérjen adatokat adott fájlokból, adatbázisokból vagy külső API-kból.
További információ: Ismétlődő feladatok és munkafolyamatok létrehozása, ütemezése és futtatása az Azure Logic Appsben.Igény szerinti aktiválás Futtassa igény szerint a logikai alkalmazást manuális adatgyűjtéshez és teszteléshez.
További információ: Logikai alkalmazások meghívása, aktiválása vagy beágyazása HTTPS-végpontok használatával.HTTP/S-végpont Streameléshez ajánlott, és ha a forrásrendszer elindíthatja az adatátvitelt.
További információ: Szolgáltatásvégpontok hívása HTTP- vagy HTTP-protokollon keresztül.Használja bármelyik logikaialkalmazás-összekötőt, amely információkat olvas be az események lekéréséhez. Például:
Tipp
A REST API-khoz, SQL Serverekhez és fájlrendszerekhez való egyéni összekötők szintén támogatják az adatok helyszíni adatforrásokból való lekérését. További információ: Helyszíni adatátjáró telepítése dokumentáció.
Készítse elő a lekérni kívánt információkat.
A JSON elemzése művelettel például hozzáférhet a JSON-tartalom tulajdonságaihoz, így kiválaszthatja ezeket a tulajdonságokat a dinamikus tartalomlistából, amikor bemeneteket ad meg a logikai alkalmazáshoz.
További információ: Adatműveletek végrehajtása az Azure Logic Appsben.
Írja be az adatokat a Log Analyticsbe.
További információkért tekintse meg az Azure Log Analytics Data Collector dokumentációját.
Példák arra, hogyan hozhat létre egyéni összekötőt a Microsoft Sentinelhez a Logic Apps használatával, lásd:
- Adatfolyam létrehozása a Data Collector API-val
- Palo Alto Prisma Logic App-összekötő webhook használatával (Microsoft Sentinel GitHub-közösség)
- Microsoft Teams-hívások védelme ütemezett aktiválással (blog)
- AlienVault OTX fenyegetésmutatók betöltése a Microsoft Sentinelbe (blog)
Kapcsolódás a PowerShell-lel
Az Upload-AzMonitorLog PowerShell-szkript lehetővé teszi, hogy a PowerShell használatával eseményeket vagy környezeti információkat streameljen a Microsoft Sentinelnek a parancssorból. Ez a streamelés hatékonyan létrehoz egy egyéni összekötőt az adatforrás és a Microsoft Sentinel között.
A következő szkript például feltölt egy CSV-fájlt a Microsoft Sentinelbe:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
Az Upload-AzMonitorLog PowerShell-szkript a következő paramétereket használja:
Paraméter | Leírás |
---|---|
WorkspaceId | A Microsoft Sentinel-munkaterület azonosítója, ahol az adatokat tárolja. Keresse meg a munkaterület azonosítóját és kulcsát. |
WorkspaceKey | A Microsoft Sentinel-munkaterület elsődleges vagy másodlagos kulcsa, ahol az adatokat tárolja. Keresse meg a munkaterület azonosítóját és kulcsát. |
LogTypeName | Annak az egyéni naplótáblának a neve, amelyben tárolni szeretné az adatokat. A rendszer automatikusan hozzáad egy _CL utótagot a táblanév végéhez. |
AddComputerName | Ha ez a paraméter létezik, a szkript hozzáadja az aktuális számítógépnevet minden naplórekordhoz a Számítógép nevű mezőben. |
CímkézettAzureResourceId | Ha ez a paraméter létezik, a szkript az összes feltöltött naplórekordot társítja a megadott Azure-erőforráshoz. Ez a társítás engedélyezi a feltöltött naplórekordokat az erőforrás-környezet lekérdezéseihez, és megfelel az erőforrás-központú, szerepköralapú hozzáférés-vezérlésnek. |
AdditionalDataTaggingName | Ha ez a paraméter létezik, a szkript minden naplórekordhoz hozzáad egy másik mezőt a konfigurált névvel és az AdditionalDataTaggingValue paraméterhez konfigurált értékkel. Ebben az esetben az AdditionalDataTaggingValue érték nem lehet üres. |
AdditionalDataTaggingValue | Ha ez a paraméter létezik, a szkript minden naplórekordhoz hozzáad egy másik mezőt a konfigurált értékkel és az AdditionalDataTaggingName paraméterhez konfigurált mezőnévvel. Ha az AdditionalDataTaggingName paraméter üres, de egy érték van konfigurálva, az alapértelmezett mezőnév a DataTagging. |
Munkaterület-azonosító és -kulcs megkeresése
Keresse meg a WorkspaceID és a WorkspaceKey paraméterek részleteit a Microsoft Sentinelben:
A Microsoft Sentinelben válassza a bal oldalon a Beállítások , majd a Munkaterület beállításai lapot.
Az Első lépések a Log Analytics>1 Adatforrás csatlakoztatása területen válassza a Windows- és Linux-ügynökök kezelése lehetőséget.
Keresse meg a munkaterület azonosítóját, az elsődleges kulcsot és a másodlagos kulcsot a Windows-kiszolgálók lapon.
Csatlakozás a Log Analytics API-val
Eseményeket streamelhet a Microsoft Sentinelbe a Log Analytics Data Collector API használatával, hogy közvetlenül meghívjon egy RESTful-végpontot.
Bár a RESTful-végpontok közvetlen meghívása több programozást igényel, nagyobb rugalmasságot is biztosít.
További információért tekintse meg a Log Analytics Adatgyűjtő API-t, különösen az alábbi példákat:
Csatlakozás Azure Functions
A Azure Functions egy RESTful API-val és különböző kódolási nyelvekkel, például a PowerShell-lel együtt használva hozhat létre kiszolgáló nélküli egyéni összekötőt.
Példák erre a metódusra:
- A VMware Carbon Black Cloud Endpoint Standard csatlakoztatása a Microsoft Sentinelhez az Azure-függvénnyel
- Az Okta Single Sign-On csatlakoztatása a Microsoft Sentinelhez az Azure-függvénnyel
- A Proofpoint TAP csatlakoztatása a Microsoft Sentinelhez az Azure-függvénnyel
- Qualys virtuális gép csatlakoztatása a Microsoft Sentinelhez az Azure-függvénnyel
- XML-, CSV- vagy egyéb adatformátumok betöltése
- A Zoom monitorozása a Microsoft Sentinellel (blog)
- Függvényalkalmazás üzembe helyezése Office 365 Management API-adatok Microsoft Sentinelbe való beolvasásához (Microsoft Sentinel GitHub-közösség)
Az egyéni összekötő adatainak elemzése
Az egyéni összekötővel gyűjtött adatok kihasználása érdekében az Advanced Security Information Model (ASIM) elemzőket fejlesztve dolgozhat az összekötővel. Az ASIM használatával a Microsoft Sentinel beépített tartalmai egyéni adatokat használhatnak, és megkönnyítik az elemzők számára az adatok lekérdezését.
Ha az összekötőmetódus lehetővé teszi, az elemzés egy részét implementálhatja az összekötő részeként a lekérdezési idő elemzési teljesítményének javítása érdekében:
- Ha a Logstash-t használta, használja a Grok szűrő beépülő modult az adatok elemzéséhez.
- Ha Azure-függvényt használt, az adatokat kóddal elemezheti.
Továbbra is implementálnia kell az ASIM-elemzőket, de az elemzés egy részének közvetlenül az összekötővel történő implementálása leegyszerűsíti az elemzést, és javítja a teljesítményt.
Következő lépések
Használja a Microsoft Sentinelbe betöltött adatokat a környezet védelméhez az alábbi folyamatok bármelyikével:
- Áttekinthető riasztások
- Az adatok vizualizációja és monitorozása
- Incidensek vizsgálata
- Fenyegetésészlelés
- A fenyegetéselhárítás automatizálása
- Fenyegetések keresése
Emellett megismerhet egy példát arra, hogyan hozhat létre egyéni összekötőt a Zoom monitorozásához: A Nagyítás monitorozása a Microsoft Sentinellel.