Menggunakan Azure Functions untuk menghubungkan Microsoft Azure Sentinel ke sumber data Anda

Anda dapat menggunakan Azure Functions, bersamaan dengan berbagai bahasa pengodean seperti PowerShell atau Python, untuk membuat konektor tanpa server ke titik akhir REST API dari sumber data Anda yang kompatibel. Kemudian, Azure Function Apps akan memungkinkan Anda menghubungkan Microsoft Azure Sentinel ke REST API sumber data untuk menarik log.

Artikel ini menjelaskan cara mengonfigurasi Microsoft Azure Sentinel untuk menggunakan Azure Function Apps. Anda mungkin juga perlu mengonfigurasi sistem sumber, dan dapat menemukan tautan informasi khusus vendor dan produk di setiap halaman konektor data di portal, atau bagian layanan Anda di halaman Referensi konektor data Microsoft Azure Sentinel.

Catatan

• Setelah diserap oleh Microsoft Azure Sentinel, data disimpan di lokasi geografis ruang kerja tempat Anda menjalankan Microsoft Azure Sentinel.

  Untuk retensi jangka panjang, sebaiknya simpan juga datanya di Azure Data Explorer. Untuk informasi selengkapnya, lihat Mengintegrasikan Azure Data Explorer.

• Menggunakan Azure Functions untuk menyerap data ke Microsoft Azure Sentinel dapat menimbulkan biaya konsumsi data tambahan. Untuk informasi selengkapnya, lihat halaman Harga Azure Functions.

Prasyarat

Pastikan Anda memiliki izin dan info masuk berikut sebelum menggunakan Azure Functions untuk menghubungkan Microsoft Azure Sentinel ke sumber data Anda dan menarik log-nya ke Microsoft Azure Sentinel:

• Anda harus memiliki izin baca dan tulis di ruang kerja Microsoft Azure Sentinel.

• Anda harus memiliki izin baca ke kunci bersama untuk ruang kerja. Pelajari lebih lanjut tentang kunci ruang kerja.

• Anda harus memiliki izin baca dan tulis di Azure Functions untuk membuat Aplikasi Fungsi. Pelajari lebih lanjut tentang Azure Functions.

• Anda juga memerlukan kredensial untuk mengakses API produk - baik nama pengguna dan kata sandi, token, kunci, atau kombinasi lainnya. Anda mungkin juga memerlukan informasi API lainnya seperti URI titik akhir.

  Untuk informasi selengkapnya, lihat dokumentasi layanan yang ingin dihubungkan dan bagian layanan di halaman Referensi konektor data Microsoft Azure Sentinel.

• Instal solusi yang berisi konektor berbasis Azure Functions Anda dari Hub Konten di Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten siap pakai Microsoft Azure Sentinel.

Mengonfigurasi dan menyambungkan sumber data Anda

Catatan

• Anda dapat dengan aman menyimpan token atau kunci otorisasi API dan ruang kerja di Azure Key Vault. Azure Key Vault menyediakan mekanisme yang aman untuk menyimpan dan mengambil nilai kunci. Ikuti petunjuk ini untuk menggunakan Azure Key Vault dengan Azure Function App.

• Beberapa konektor data bergantung pada pengurai berdasarkan Fungsi Kusto agar berfungsi sesuai harapan. Lihat bagian untuk layanan Anda di halaman referensi konektor data Microsoft Azure Sentinel untuk tautan ke instruksi untuk membuat fungsi dan alias Kusto.

Langkah 1: Dapatkan kredensial API sistem sumber Anda

Ikuti petunjuk sistem sumber Anda untuk mendapatkan kredensial API/kunci otorisasi/tokennya. Salin dan tempel dalam file teks untuk digunakan nanti.

Anda dapat menemukan detail tentang info masuk yang diperlukan dan tautan ke petunjuk produk untuk menemukan atau membuatnya, di halaman konektor data di portal dan di bagian layanan di halaman Referensi konektor data Microsoft Azure Sentinel.

Anda mungkin juga perlu mengonfigurasi pengelogan atau pengaturan lain di sistem sumber Anda. Anda akan menemukan petunjuk relevan beserta hal itu di paragraf sebelumnya.

Langkah 2: Menyebarkan konektor dan Aplikasi Fungsi Azure terkait

Memilih opsi penyebaran

Templat Azure Resource Manager (ARM)

Metode ini menyediakan penyebaran otomatis atas konektor berbasis Azure Function menggunakan templat ARM.

1. Di portal Microsoft Azure Sentinel, pilih Konektor data. Pilih konektor berbasis Azure Functions Anda dari daftar, lalu Buka halaman konektor.

2. Di bagian Konfigurasi, salin ID ruang kerja dan kunci primer Microsoft Azure Sentinel dan tempelkan di sampingnya.

3. Pilih Sebarkan ke Azure. (Anda mungkin harus menggulir ke bawah untuk menemukan tombol.)

4. Layar Penerapan kustom akan muncul.

   • Pilih langganan, grup sumber daya, dan wilayah tempat Anda ingin menyebarkan Aplikasi Fungsi.

   • Masukkan kredensial API/kunci otorisasi/token yang telah Anda simpan di Langkah 1 di atas.

   • Masukkan ID Ruang Kerja dan Kunci Ruang Kerja (kunci primer) Microsoft Azure Sentinel yang Anda salin dan sisihkan.

     Catatan

     Jika menggunakan rahasia Azure Key Vault untuk salah satu nilai di atas, gunakan skema @Microsoft.KeyVault(SecretUri={Security Identifier}) di tempat nilai string. Lihat dokumentasi referensi Key Vault untuk detail lebih lanjut.

   • Lengkapi semua bidang lain di formulir pada layar Penyebaran kustom. Lihat halaman konektor data di portal atau bagian layanan di halaman Referensi konektor data Microsoft Azure Sentinel.

   • Pilih Tinjau + buat. Setelah validasi selesai, pilih Buat.

Penyebaran manual dengan PowerShell

Gunakan petunjuk langkah demi langkah berikut untuk menerapkan konektor berbasis Azure Functions secara manual yang menggunakan fungsi PowerShell.

1. Di portal Microsoft Azure Sentinel, pilih Konektor data. Pilih konektor berbasis Azure Functions Anda dari daftar, lalu Buka halaman konektor.

2. Di bagian Konfigurasi, salin ID ruang kerja dan kunci primer Microsoft Azure Sentinel dan tempelkan di sampingnya.

3. Membuat Aplikasi Fungsi

   1. Masuk ke portal Microsoft Azure, lalu cari dan pilih Aplikasi Fungsi.

   2. Di halaman Aplikasi Fungsi, pilih Buat. Wizard Buat Aplikasi Fungsi akan terbuka.

   3. Di tab Dasar:

      • Memilih langganan dan grup sumber daya.
      • Beri nama aplikasi fungsi Anda.
      • Tetapkan Runtime stack ke PowerShell Core.
      • Pilih nomor versi yang sesuai.
      • Pilih wilayah tempat penyebaran yang diinginkan, lalu pilih Berikutnya: Hosting.

   4. Di tab Hosting:

      • Pilih Akun penyimpanan yang ingin digunakan atau buat baru.
      • Pilih Konsumsi (Tanpa Server) sebagai Jenis rencana Anda.

   5. Lakukan perubahan konfigurasi lain yang Anda butuhkan, lalu pilih Tinjau + buat.

   6. Tunggu sampai pesan “Validasi berhasil” muncul, lalu pilih Buat.

   7. Setelah penyebaran selesai, pilih Buka sumber daya.

4. Mengimpor Kode Aplikasi Fungsi

   1. Di Aplikasi Fungsi yang baru dibuat, pilih Fungsi dari menu navigasi.

   2. Di halaman Fungsi, pilih + Tambahkan.

   3. Di panel Tambahkan fungsi, pilih pemicu Timer.

   4. Masukkan nama unik untuk fungsi Anda, lalu masukkan ekspresi cron untuk menentukan jadwal. Interval defaultnya adalah setiap 5 menit.

   5. Setelah fungsi dibuat, pilih Kode + Uji di panel sebelah kiri.

   6. Unduh Kode Aplikasi Fungsi yang disediakan oleh vendor sistem sumber Anda, lalu salin dan tempel ke editor Aplikasi Fungsirun.ps1, untuk menggantikan defaultnya. Anda dapat menemukan tautan unduhan di halaman konektor di bagian layanan di halaman Referensi konektor data Microsoft Azure Sentinel.

   7. Pilih Simpan.

5. Mengonfigurasi Aplikasi Fungsi

   1. Di halaman Aplikasi Fungsi, pilih Konfigurasi di bagian Pengaturan di menu navigasi.

   2. Di tab Pengaturan aplikasi, pilih + Pengaturan aplikasi baru.

   3. Tambahkan pengaturan aplikasi yang ditentukan sebelumnya untuk produk Anda secara individual, dengan nilai string peka huruf besar/kecil masing-masing. Lihat halaman konektor data atau bagian produk dari bagian layanan di halaman Referensi konektor data Microsoft Azure Sentinel.

      Tip

      Jika memungkinkan, gunakan pengaturan aplikasi logAnalyticsUri untuk mengambil alih titik akhir API analitik log jika Anda menggunakan cloud khusus. Jadi, misalnya, jika Anda menggunakan cloud publik, biarkan nilainya kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut: https://<CustomerId>.ods.opinsights.azure.us.

Penyebaran manual dengan Python

Gunakan petunjuk langkah demi langkah berikut untuk menerapkan konektor berbasis Azure Functions secara manual yang menggunakan fungsi Python. Penyebaran semacam ini membutuhkan Visual Studio Code.

1. Di portal Microsoft Azure Sentinel, pilih Konektor data. Pilih konektor berbasis Azure Functions Anda dari daftar, lalu Buka halaman konektor.

2. Di bagian Konfigurasi, salin ID ruang kerja dan kunci primer Microsoft Azure Sentinel dan tempelkan di sampingnya.

3. Menyebarkan Aplikasi Fungsi

   Catatan

   Anda harus menyiapkan Visual Studio Code (VS Code) untuk pengembangan Azure Function.

   1. Unduh file Azure Function App menggunakan tautan yang disediakan di halaman konektor data dan di bagian layanan di halaman Referensi konektor data Microsoft Azure Sentinel. Ekstrak arsipnya ke komputer pengembangan lokal Anda.

   2. Jalankan Visual Studio Code. Dari bilah menu, pilih File > Buka Folder....

   3. Pilih folder paling atas pada file yang diekstrak dari arsip.

   4. Pilih ikon Azure di bilah Aktivitas Visual Studio Code (di sebelah kiri). Kemudian, di area Azure: Functions, pilih tombol Sebarkan aplikasi fungsi.

      Catatan

      Jika Anda belum masuk, pilih ikon Azure di bilah Aktivitas. Kemudian, di area Azure: Functions, pilih Masuk ke Azure.
      Jika Anda sudah masuk, lanjut ke langkah berikutnya.

   5. Berikan informasi berikut saat diminta:

      • Pilih folder: Pilih folder dari ruang kerja Anda atau telusuri folder yang berisi aplikasi fungsi.
      • Pilih langganan: Pilih langganan yang akan digunakan.
      • Pilih Buat Aplikasi Fungsi baru di Azure. (Jangan pilih opsi Tingkat Lanjut.)
      • Masukkan nama unik yang unik secara global untuk aplikasi fungsi: Beri nama aplikasi fungsi yang akan valid di jalur URL. Nama yang Anda pilih akan divalidasi untuk memastikan bahwa nama tersebut unik di Azure Functions.
      • Pilih runtime: Pilih Python 3.8.

   6. Penyebaran akan dimulai. Notifikasi ditampilkan setelah aplikasi fungsi Anda dibuat dan paket penyebaran diterapkan.

   7. Kembali ke halaman Aplikasi Fungsi Anda untuk konfigurasi.

4. Mengonfigurasi Aplikasi Fungsi

   1. Di halaman Aplikasi Fungsi, pilih Konfigurasi di bagian Pengaturan di menu navigasi.

   2. Di tab Pengaturan aplikasi, pilih + Pengaturan aplikasi baru.

   3. Tambahkan pengaturan aplikasi yang ditentukan sebelumnya untuk produk Anda secara individual, dengan nilai string peka huruf besar/kecil masing-masing. Lihat halaman konektor data atau bagian layanan di halaman Referensi konektor data Microsoft Azure Sentinel untuk menambahkan pengaturan aplikasi.

      • Jika memungkinkan, gunakan pengaturan aplikasi logAnalyticsUri untuk mengambil alih titik akhir API analitik log jika Anda menggunakan cloud khusus. Jadi, misalnya, jika Anda menggunakan cloud publik, biarkan nilainya kosong; untuk lingkungan cloud Azure GovUS, tentukan nilai dalam format berikut: https://<CustomerId>.ods.opinsights.azure.us.

Menemukan data Anda

Setelah koneksi berhasil dibuat, data akan muncul di Log di bagian CustomLogs, dalam tabel yang tercantum di bagian layanan di halaman Referensi konektor data Microsoft Azure Sentinel.

Untuk mengkueri data, masukkan salah satu nama tabel tersebut - atau alias fungsi Kusto yang relevan - di jendela kueri.

Lihat tab Langkah berikutnya di laman konektor untuk beberapa contoh kueri yang berguna.

Memvalidasi konektivitas

Hal ini mungkin membutuhkan waktu hingga 20 menit sampai log Anda muncul di Log Analytics.

Langkah berikutnya

Dalam dokumen ini, Anda telah mempelajari cara menghubungkan Microsoft Azure Sentinel ke sumber data menggunakan konektor berbasis Azure Functions. Untuk mempelajari selengkapnya tentang Microsoft Azure Sentinel, lihat artikel berikut:

• Pelajari cara mendapatkan visibilitas ke data Anda dan potensi ancaman.
• Mulai mendeteksi ancaman dengan Microsoft Azure Sentinel.
• Gunakan buku kerja untuk memantau data Anda.