Usare Funzioni di Azure per connettere Microsoft Sentinel all'origine dati

È possibile usare Funzioni di Azure, in combinazione con vari linguaggi di codifica, ad esempio PowerShell o Python, per creare un connettore serverless agli endpoint API REST delle origini dati compatibili. App per le funzioni di Azure consente quindi di connettere Microsoft Sentinel all'API REST dell'origine dati per eseguire il pull dei log.

Questo articolo descrive come configurare Microsoft Sentinel per l'uso di App per le funzioni di Azure. Potrebbe anche essere necessario configurare il sistema di origine ed è possibile trovare collegamenti alle informazioni specifiche del fornitore e del prodotto nella pagina di ogni connettore dati nel portale o nella sezione relativa al servizio nella pagina di riferimento dei connettori dati di Microsoft Sentinel.

Nota

• Dopo l'inserimento in Microsoft Sentinel, i dati vengono archiviati nella posizione geografica dell'area di lavoro in cui si esegue Microsoft Sentinel.

  Per la conservazione a lungo termine, è anche possibile archiviare i dati nei tipi di log di archiviazione, ad esempio i log di base. Per altre informazioni, vedere Conservazione e archiviazione dei dati nei log di Monitoraggio di Azure.

• L'uso di Funzioni di Azure per inserire dati in Microsoft Sentinel può comportare costi aggiuntivi per l'inserimento dei dati. Per altre informazioni, vedere la pagina relativa ai prezzi per Funzioni di Azure.

Prerequisiti

Assicurarsi di disporre delle autorizzazioni e delle credenziali seguenti prima di usare Funzioni di Azure per connettere Microsoft Sentinel all'origine dati ed eseguire il pull dei log in Microsoft Sentinel:

• È necessario disporre delle autorizzazioni di lettura e scrittura nell'area di lavoro Microsoft Sentinel.

• È necessario disporre delle autorizzazioni di lettura per le chiavi condivise per l'area di lavoro. Altre informazioni sulle chiavi dell'area di lavoro.

• Per creare un'app per le funzioni, è necessario disporre delle autorizzazioni di lettura e scrittura per Funzioni di Azure. Altre informazioni sulle Funzioni di Azure.

• Saranno necessarie anche le credenziali per accedere all'API del prodotto, ovvero un nome utente e una password, un token, una chiave o un'altra combinazione. Potrebbero essere necessarie anche altre informazioni sull'API, ad esempio un URI dell'endpoint.

  Per altre informazioni, vedere la documentazione relativa al servizio a cui ci si connette e la sezione relativa al servizio nella pagina di riferimento sui connettori dati di Microsoft Sentinel.

• Installare la soluzione che contiene il connettore basato su Funzioni di Azure dall'hub del contenuto in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.

Configurare e connettere l'origine dati

Nota

• È possibile archiviare in modo sicuro le chiavi di autorizzazione o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni di Azure.

• Alcuni connettori dati dipendono da un parser basato su una funzione Kusto per funzionare come previsto. Vedere la sezione relativa al servizio nella pagina di riferimento dei connettori dati di Microsoft Sentinel per i collegamenti alle istruzioni per creare la funzione Kusto e l'alias.

Passaggio 1: Ottenere le credenziali API del sistema di origine

Seguire le istruzioni del sistema di origine per ottenere le relative credenziali API/chiavi di autorizzazione/token. Copiarli e incollarli in un file di testo per un secondo momento.

È possibile trovare informazioni dettagliate sulle credenziali esatte necessarie e collegamenti alle istruzioni del prodotto per trovarle o crearle, nella pagina del connettore dati del portale e nella sezione relativa al servizio nella pagina di riferimento dei connettori dati di Microsoft Sentinel.

Potrebbe anche essere necessario configurare la registrazione o altre impostazioni nel sistema di origine. Le istruzioni pertinenti sono disponibili insieme a quelle del paragrafo precedente.

Passaggio 2: Distribuire il connettore e l'app per le funzioni di Azure associata

Scegliere un'opzione di distribuzione

Modello di Azure Resource Manager (modello di ARM)

Questo metodo fornisce una distribuzione automatica del connettore basato su funzioni di Azure usando un modello di Resource Manager.

1. Nel portale di Microsoft Sentinel selezionare Connettori dati. Selezionare il connettore basato su Funzioni di Azure dall'elenco e quindi aprire la pagina Del connettore.

2. In Configurazione copiare l'ID e la chiave primaria dell'area di lavoro di Microsoft Sentinel e incollarli da parte.

3. Selezionare Distribuisci in Azure. Potrebbe essere necessario scorrere verso il basso per trovare il pulsante.

4. Verrà visualizzata la schermata Distribuzione personalizzata.

   • Selezionare una sottoscrizione, un gruppo di risorse e un'areain cui distribuire l'app per le funzioni.

   • Immettere le credenziali DELL'API, le chiavi di autorizzazione e i token salvati nel passaggio 1 precedente.

   • Immettere l'ID area di lavoro di Microsoft Sentinel e la chiave dell'area di lavoro (chiave primaria) copiati e messi da parte.

     Nota

     Se si usano segreti di Azure Key Vault per uno dei valori precedenti, usare lo @Microsoft.KeyVault(SecretUri={Security Identifier}) schema al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault.

   • Completare tutti gli altri campi nel modulo nella schermata Distribuzione personalizzata. Vedere la pagina del connettore dati nel portale o nella sezione relativa al servizio nella pagina di riferimento dei connettori dati di Microsoft Sentinel.

   • Selezionare Rivedi e crea. Dopo il completamento della convalida, selezionare Crea.

Distribuzione manuale con PowerShell

Usare le istruzioni dettagliate seguenti per distribuire manualmente i connettori basati su Funzioni di Azure che usano le funzioni di PowerShell.

1. Nel portale di Microsoft Sentinel selezionare Connettori dati. Selezionare il connettore basato su Funzioni di Azure dall'elenco e quindi aprire la pagina Del connettore.

2. In Configurazione copiare l'ID e la chiave primaria dell'area di lavoro di Microsoft Sentinel e incollarli da parte.

3. Creare un'app per le funzioni

   1. Nella portale di Azure cercare e selezionare App per le funzioni.

   2. Nella pagina App per le funzioni selezionare Crea. Verrà aperta la procedura guidata Crea app per le funzioni.

   3. Nella scheda Informazioni di base:

      • Selezionare una sottoscrizione e un gruppo di risorse.
      • Assegnare un nome all'app per le funzioni.
      • Impostare Stack di runtime su PowerShell Core.
      • Selezionare il numero di versione appropriato.
      • Selezionare l'area in cui si vuole distribuire e quindi selezionare Avanti : Hosting.

   4. Nella scheda Hosting :

      • Scegliere l'account di archiviazione da usare o crearne uno nuovo.
      • Selezionare Consumo (serverless) come tipo di piano.

   5. Apportare eventuali altre modifiche di configurazione necessarie, quindi selezionare Rivedi e crea.

   6. Attendere il messaggio "Convalida superata", quindi selezionare Crea.

   7. Al termine della distribuzione, selezionare Vai alla risorsa.

4. Importa codice dell'app per le funzioni

   1. Nell'app per le funzioni appena creata selezionare Funzioni dal menu di spostamento.

   2. Nella pagina Funzioni selezionare + Aggiungi.

   3. Nel pannello Aggiungi funzione selezionare il trigger Timer.

   4. Immettere un nome univoco per la funzione e immettere un'espressione cron per specificare la pianificazione. L'intervallo predefinito è ogni 5 minuti.

   5. Dopo aver creato la funzione, selezionare Codice e test nel riquadro sinistro.

   6. Scaricare il codice dell'app per le funzioni fornito dal fornitore del sistema di origine e copiarlo e incollarlo nell'editor run.ps1 dell'appper le funzioni, sostituendo ciò che è presente per impostazione predefinita. È possibile trovare il collegamento per il download nella pagina del connettore o nella sezione relativa al servizio nella pagina di riferimento dei connettori dati di Microsoft Sentinel.

   7. Seleziona Salva.

5. Configurare l'app per le funzioni

   1. Nella pagina dell'app per le funzioni selezionare Configurazione in Impostazioni nel menu di spostamento.

   2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.

   3. Aggiungere le impostazioni dell'applicazione previste per il prodotto singolarmente, con i rispettivi valori stringa con distinzione tra maiuscole e minuscole. Vedere la pagina del connettore dati o la sezione del prodotto della sezione relativa al servizio nella pagina di riferimento dei connettori dati di Microsoft Sentinel.

      Suggerimento

      Se applicabile, usare l'impostazione dell'applicazione logAnalyticsUri per eseguire l'override dell'endpoint api di Log Analytics se si usa un cloud dedicato. Ad esempio, se si usa il cloud pubblico, lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

Distribuzione manuale con Python

Usare le istruzioni dettagliate seguenti per distribuire manualmente connettori basati su Funzioni di Azure che usano funzioni Python. Questo tipo di distribuzione richiede Visual Studio Code.

1. Nel portale di Microsoft Sentinel selezionare Connettori dati. Selezionare il connettore basato su Funzioni di Azure dall'elenco e quindi aprire la pagina Del connettore.

2. In Configurazione copiare l'ID e la chiave primaria dell'area di lavoro di Microsoft Sentinel e incollarli da parte.

3. Distribuire un'app per le funzioni

   Nota

   Sarà necessario preparare Visual Studio Code (VS Code ) per lo sviluppo di funzioni di Azure.

   1. Scaricare il file dell'app per le funzioni di Azure usando il collegamento fornito nella pagina del connettore dati e nella sezione relativa al servizio nella pagina di riferimento dei connettori dati di Microsoft Sentinel. Estrarre l'archivio nel computer di sviluppo locale.

   2. Avviare VS Code. Nella barra dei menu selezionare File > Apri cartella....

   3. Selezionare la cartella di primo livello dai file estratti dall'archivio.

   4. Scegliere l'icona di Azure nella barra attività di VS Code (a sinistra). Nell'area Funzioni di Azure scegliere quindi il pulsante Distribuisci nell'app per le funzioni .

      Nota

      Se non è già stato eseguito l'accesso, scegliere l'icona di Azure nella barra attività. Quindi, nell'area Azure: Funzioni scegliere Accedi ad Azure.
      Se è già stato eseguito l'accesso, andare al passaggio successivo.

   5. Quando richiesto, immettere le informazioni seguenti:

      • Selezionare la cartella: scegliere una cartella dall'area di lavoro oppure passare a una cartella contenente l'app per le funzioni.
      • Selezionare la sottoscrizione: Scegliere la sottoscrizione da usare.
      • Selezionare Crea nuova app per le funzioni in Azure. (Non scegliere il Opzione avanzata .
      • Immettere un nome univoco globale per l'app per le funzioni: assegnare all'app per le funzioni un nome valido in un percorso URL. Il nome scelto verrà convalidato per assicurarsi che sia univoco in Funzioni di Azure.
      • Selezionare un runtime: scegliere Python 3.8.

   6. Verrà avviata la distribuzione. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.

   7. Tornare alla pagina dell'app per le funzioni per la configurazione.

4. Configurare l'app per le funzioni

   1. Nella pagina dell'app per le funzioni selezionare Configurazione in Impostazioni nel menu di spostamento.

   2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.

   3. Aggiungere le impostazioni dell'applicazione previste per il prodotto singolarmente, con i rispettivi valori stringa con distinzione tra maiuscole e minuscole. Vedere la pagina del connettore dati o la sezione relativa al servizio nella pagina di riferimento dei connettori dati di Microsoft Sentinel per le impostazioni dell'applicazione da aggiungere.

      • Se applicabile, usare l'impostazione dell'applicazione logAnalyticsUri per eseguire l'override dell'endpoint api di Log Analytics se si usa un cloud dedicato. Ad esempio, se si usa il cloud pubblico, lasciare vuoto il valore; per l'ambiente cloud Azure GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

Trovare i dati

Dopo aver stabilito una connessione, i dati vengono visualizzati in Log in CustomLogs, nelle tabelle elencate nella sezione relativa al servizio nella pagina di riferimento dei connettori dati di Microsoft Sentinel.

Per eseguire query sui dati, immettere uno di questi nomi di tabella, o l'alias della funzione Kusto pertinente, nella finestra di query.

Per alcune query di esempio utili, vedere la scheda Passaggi successivi nella pagina del connettore.

Convalidare la connettività

Potrebbero essere necessari fino a 20 minuti fino a quando i log non vengono visualizzati in Log Analytics.

Passaggi successivi

In questo documento si è appreso come connettere Microsoft Sentinel all'origine dati usando connettori basati su Funzioni di Azure. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

• Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
• Iniziare a rilevare minacce con Microsoft Sentinel.
• Usare le cartelle di lavoro per monitorare i dati.