Sumber daya untuk membuat konektor kustom Microsoft Azure Sentinel
Microsoft Azure Sentinel menyediakan berbagai konektor bawaan untuk layanan Azure dan solusi eksternal, serta mendukung penyerapan data dari beberapa sumber tanpa konektor khusus.
Jika Anda tidak dapat menghubungkan sumber data ke Microsoft Azure Sentinel menggunakan salah satu solusi yang tersedia, pertimbangkan untuk membuat konektor sumber data Anda sendiri.
Untuk daftar lengkap konektor yang didukung, lihat postingan blog Microsoft Azure Sentinel: Konektor utama (CEF, Syslog, Direct, Agent, Custom, dan lainnya).
Membandingkan metode konektor kustom
Tabel berikut membandingkan detail penting tentang setiap metode untuk membuat konektor kustom yang dijelaskan dalam artikel ini. Pilih link dalam tabel untuk detail selengkapnya terkait setiap metode.
| Deskripsi metode | Kemampuan | Tanpa server | Kompleksitas |
|---|---|---|---|
| Platform Konektor Tanpa Kode (CCP) Terbaik untuk audiens yang kurang teknis untuk membuat konektor SaaS menggunakan file konfigurasi alih-alih pengembangan lanjutan. |
Mendukung semua kemampuan yang tersedia dengan kode. | Ya | Rendah; pengembangan sederhana tanpa kode |
| Agen Analitik Log Terbaik untuk mengumpulkan file dari sumber lokal dan IaaS |
Hanya koleksi file | Tidak | Rendah |
| Logstash Terbaik untuk sumber lokal dan IaaS, sumber apa pun di mana plugin tersedia, dan organisasi yang sudah familier dengan Logstash |
Plugin yang tersedia, ditambah plugin kustom, kemampuan memberikan fleksibilitas yang signifikan. | Tidak; memerlukan kluster VM atau VM untuk dijalankan | Rendah; mendukung banyak skenario dengan plugin |
| Logic Apps Biaya tinggi; hindari untuk data dengan volume tinggi Terbaik untuk sumber cloud dengan volume rendah |
Pemrograman tanpa kode memungkinkan fleksibilitas terbatas, tanpa dukungan untuk implementasi algoritme. Jika tidak ada tindakan yang tersedia yang sudah mendukung kebutuhan Anda, membuat tindakan kustom dapat menambah kompleksitas. |
Ya | Rendah; pengembangan sederhana tanpa kode |
| PowerShell Terbaik untuk pembuatan prototype dan pengunggahan file berkala |
Dukungan langsung untuk pengumpulan file. PowerShell dapat digunakan untuk mengumpulkan lebih banyak sumber, tetapi akan memerlukan pengkodean dan mengonfigurasi skrip sebagai layanan. |
Tidak | Rendah |
| API Analitik Log Terbaik untuk ISV yang mengimplementasikan integrasi, dan untuk persyaratan pengumpulan yang unik |
Mendukung semua kemampuan yang tersedia dengan kode. | Tergantung pada implementasinya | Tinggi |
| Azure Functions Terbaik untuk sumber cloud dengan volume tinggi dan untuk persyaratan pengumpulan yang unik |
Mendukung semua kemampuan yang tersedia dengan kode. | Ya | Tinggi; membutuhkan pengetahuan pemrograman |
Tip
Untuk perbandingan penggunaan Logic Apps dan Azure Functions untuk konektor yang sama, lihat:
- Menyerap log Web Application Firewall Dengan Cepat ke Microsoft Azure Sentinel
- Office 365 (komunitas GitHub Microsoft Azure Sentinel): Konektor Aplikasi Logika | Konektor Azure Function
Menyambungkan dengan Platform Konektor Tanpa Kode
Platform Konektor Tanpa Kode (CCP) menyediakan file konfigurasi yang dapat digunakan oleh pelanggan dan mitra, lalu disebarkan ke ruang kerja Anda sendiri, atau sebagai solusi untuk galeri solusi Microsoft Sentinel.
Konektor yang dibuat menggunakan CCP sepenuhnya SaaS, tanpa persyaratan apa pun untuk penginstalan layanan, dan juga menyertakan pemantauan kesehatan dan dukungan penuh dari Microsoft Sentinel.
Untuk informasi selengkapnya, lihat Membuat konektor tanpa kode untuk Microsoft Sentinel.
Tersambung dengan agen Analitik Log
Jika sumber data Anda mengirimkan peristiwa dalam file, sebaiknya gunakan agen Analitik Log Azure Monitor untuk membuat konektor kustom Anda.
Untuk informasi selengkapnya, lihat Mengumpulkan log kustom di Azure Monitor.
Untuk contoh metode ini, lihat Mengumpulkan sumber data JSON kustom dengan agen Analitik Log untuk Linux di Azure Monitor.
Tersambung dengan Logstash
Jika tidak asing dengan Logstash, sebaiknya Anda menggunakan Logstash dengan plug-in output Logstash untuk Microsoft Azure Sentinel untuk membuat konektor kustom.
Dengan plugin Output Logstash Microsoft Azure Sentinel, Anda dapat menggunakan plugin pemfilteran dan input Logstash apa pun, dan mengonfigurasi Microsoft Azure Sentinel sebagai output alur Logstash. Logstash memiliki pustaka plugin besar yang memungkinkan input dari berbagai sumber, seperti layanan Pusat Aktivitas, Apache Kafka, Files, Databases, dan Cloud. Gunakan plug-in pemfilteran untuk mengurai peristiwa, memfilter peristiwa yang tidak perlu, mengaburkan nilai, dan lainnya.
Untuk contoh penggunaan Logstash sebagai konektor kustom, lihat:
- Berburu Capital One Breach TTP di log AWS menggunakan Microsoft Azure Sentinel (blog)
- Panduan implementasi Radware Microsoft Azure Sentinel
Untuk contoh plugin Logstash yang berguna, lihat:
- Plugin input Cloudwatch
- Plugin Azure Event Hubs
- Plugin input Google Cloud Storage
- Plugin input Google_pubsub
Tip
Logstash juga memungkinkan pengumpulan data berskala menggunakan kluster. Untuk informasi selengkapnya, lihat Menggunakan VM Logstash yang seimbang beban dalam skala besar.
Tersambung dengan Logic Apps
Gunakan Azure Logic Apps untuk membuat konektor kustom tanpa server untuk Microsoft Azure Sentinel.
Catatan
Saat membuat konektor tanpa server penggunaan Logic Apps mungkin akan sesuai, penggunaan Logic Apps untuk konektor Anda mungkin mahal untuk data dengan volume besar.
Sebaiknya gunakan metode ini hanya untuk sumber data dengan volume rendah, atau memperkaya unggahan data Anda.
Gunakan salah satu pemicu berikut untuk memulai Logic Apps Anda:
Pemicu Deskripsi Tugas berulang Misalnya, jadwalkan Logic Apps Anda untuk mengambil data secara teratur dari file, database, atau API eksternal tertentu.
Untuk informasi selengkapnya, lihat Membuat, menjadwalkan, dan menjalankan tugas dan alur kerja berulang di Azure Logic Apps.Memicu sesuai permintaan Jalankan Logic Apps Anda sesuai permintaan untuk pengumpulan dan pengujian data manual.
Untuk informasi selengkapnya, lihat Memanggil, memicu, atau menyarangkan aplikasi logika menggunakan titik akhir HTTPS.Titik akhir HTTP/S Disarankan untuk streaming, dan jika sistem sumber dapat memulai transfer data.
Untuk informasi selengkapnya, lihat Titik akhir layanan panggilan melalui HTTP atau HTTP.Gunakan salah satu konektor Logic Apps yang membaca informasi untuk mendapatkan peristiwa Anda. Contohnya:
Tip
Konektor kustom ke REST API, SQL Server, dan sistem file juga mendukung pengambilan data dari sumber data lokal. Untuk informasi selengkapnya, lihat dokumentasi Memasang gateway data lokal.
Siapkan informasi yang ingin Anda ambil.
Misalnya, gunakan tindakan JSON uraikan untuk mengakses properti dalam konten JSON, memungkinkan Anda memilih properti tersebut dari daftar konten dinamis saat Anda menentukan input untuk Logic Apps.
Untuk informasi selengkapnya, lihat Melakukan operasi data di Azure Logic Apps.
Tulis data ke Analitik Log.
Untuk informasi selengkapnya, lihat dokumentasi Pengumpil Data Analitik Log Azure.
Untuk contoh cara membuat konektor kustom untuk Microsoft Azure Sentinel menggunakan Logic Apps, lihat:
- Membuat alur data dengan API Pengumpul Data
- Konektor Aplikasi Logika Palo Alto Prisma menggunakan webhook (komunitas GitHub Microsoft Azure Sentinel)
- Mengamankan panggilan Microsoft Teams Anda dengan aktivasi terjadwal (blog)
- Menyerap indikator ancaman AlienVault OTX ke Microsoft Azure Sentinel (blog)
Menyambungkan dengan PowerShell
Skrip PowerShell Upload-AzMonitorLog PowerShell memungkinkan Anda menggunakan PowerShell untuk mengalirkan informasi konteks atau peristiwa ke Microsoft Azure Sentinel dari baris perintah. Pengaliran ini secara efektif membuat konektor kustom antara sumber data Anda dan Microsoft Azure Sentinel.
Misalnya, skrip berikut akan mengunggah file CSV ke Microsoft Azure Sentinel:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
Skrip PowerShell Upload-AzMonitorLog menggunakan parameter berikut:
| Parameter | Deskripsi |
|---|---|
| WorkspaceId | ID ruang kerja Microsoft Azure Sentinel, tempat Anda akan menyimpan data. Temukan ID ruang kerja dan kunci Anda. |
| WorkspaceKey | Kunci primer atau sekunder untuk ruang kerja Microsoft Azure Sentinel tempat Anda akan menyimpan data. Temukan ID ruang kerja dan kunci Anda. |
| LogTypeName | Nama tabel log kustom tempat Anda ingin menyimpan data. Akhiran _CL otomatis akan ditambahkan ke akhir nama tabel Anda. |
| AddComputerName | Ketika parameter ini ada, skrip menambahkan nama komputer saat ini ke setiap catatan log, dalam bidang bernama Komputer. |
| TaggedAzureResourceId | Ketika parameter ini ada, skrip mengaitkan semua rekaman log yang diunggah dengan sumber daya Azure yang ditentukan. Pengaitan ini memungkinkan rekaman log yang diunggah untuk kueri konteks sumber daya, dan mematuhi kontrol akses berbasis peran yang berpusat pada sumber daya. |
| AdditionalDataTaggingName | Ketika parameter ini ada, skrip menambahkan bidang lain ke setiap rekaman log, dengan nama yang dikonfigurasi, dan nilai yang dikonfigurasi untuk parameter AdditionalDataTaggingValue. Dalam kasus ini, AdditionalDataTaggingValue tidak boleh kosong. |
| AdditionalDataTaggingValue | Ketika parameter ini ada, skrip menambahkan bidang lain ke setiap rekaman log, dengan nilai yang dikonfigurasi, dan nama bidang dikonfigurasi untuk parameter AdditionalDataTaggingName. Jika parameter AdditionalDataTaggingName kosong, tetapi nilai dikonfigurasi, nama bidang default adalah DataTagging. |
Menemukan ID dan kunci ruang kerja Anda
Temukan detail untuk parameter WorkspaceID dan WorkspaceKey di Microsoft Azure Sentinel:
Di Microsoft Azure Sentinel, pilih Pengaturan di sebelah kiri, lalu pilih tab Pengaturan ruang kerja.
Di bawah Mulai menggunakan Analitik Log>1 Sambungkan sumber data, pilih Manajemen agen Windows dan Linux.
Temukan ID ruang kerja, kunci primer, dan kunci sekunder pada tab Server Windows.
Tersambung dengan API Analitik Log
Anda dapat mengalirkan peristiwa ke Microsoft Azure Sentinel menggunakan API Pengumpul Data Log Analytics untuk memanggil titik akhir RESTful secara langsung.
Meskipun pemanggilan titik akhir RESTful secara langsung membutuhkan lebih banyak pemrograman, tindakan ini juga memberikan lebih banyak fleksibilitas.
Untuk informasi selengkapnya, lihat API Pengumpul Data Analitik Log, terutama contoh berikut:
Menyambungkan dengan Azure Functions
Gunakan Azure Functions bersama RESTful API dan berbagai bahasa pengkodean, seperti PowerShell, untuk membuat konektor kustom tanpa server.
Untuk contoh metode ini, lihat:
- Menghubungkan VMware Carbon Black Cloud Endpoint Standard ke Microsoft Azure Sentinel dengan Azure Function
- Menghubungkan SSO Okta ke Microsoft Azure Sentinel dengan Azure Function
- Menghubungkan Proofpoint TAP ke Microsoft Azure Sentinel dengan Fungsi Azure
- Menghubungkan VM Qualys ke Microsoft Azure Sentinel dengan Azure Function
- Menyerap XML, CSV, atau format data lainnya
- Memantau Zoom dengan Microsoft Azure Sentinel (blog)
- Menyebarkan Aplikasi Fungsi untuk mendapatkan data Office 365 Management API ke dalam Microsoft Azure Sentinel (Komunitas GitHub Microsoft Azure Sentinel)
Mengurai data konektor kustom Anda
Untuk memanfaatkan data yang dikumpulkan dengan konektor kustom Anda, kembangkan pengurai Model Informasi Keamanan Tingkat Lanjut (ASIM) untuk bekerja dengan konektor Anda. Menggunakan ASIM memungkinkan konten bawaan Microsoft Sentinel untuk menggunakan data kustom Anda dan memudahkan analis untuk mengkueri data.
Jika metode konektor Anda memungkinkan untuk melakukannya, Anda dapat menerapkan bagian dari penguraian sebagai bagian dari konektor untuk meningkatkan performa penguraian waktu kueri:
- Jika Anda telah menggunakan Logstash, gunakan plugin filter Grok untuk mengurai data Anda.
- Jika Anda telah menggunakan fungsi Azure, uraikan data Anda dengan kode.
Anda masih perlu menerapkan pengurai ASIM, tetapi menerapkan bagian penguraian langsung dengan konektor menyederhanakan penguraian dan meningkatkan performa.
Langkah berikutnya
Gunakan data yang diserap ke dalam Microsoft Azure Sentinel untuk mengamankan lingkungan Anda dengan salah satu proses berikut:
- Mendapatkan visibilitas ke dalam pemberitahuan
- Memvisualisasikan dan memantau data Anda
- Menyelidiki insiden
- Mendeteksi ancaman
- Mengotomatiskan pencegahan ancaman
- Mencari ancaman
Pelajari juga satu contoh pembuatan konektor kustom untuk memantau Zoom: Memantau Zoom dengan Microsoft Azure Sentinel.