Usare Funzioni di Azure per connettere Microsoft Sentinel all'origine dati
È possibile usare Funzioni di Azure, in combinazione con vari linguaggi di codifica, ad esempio PowerShell o Python, per creare un connettore serverless agli endpoint API REST delle origini dati compatibili. App per le funzioni di Azure consente quindi di connettere Microsoft Sentinel all'API REST dell'origine dati per eseguire il pull dei log.
Questo articolo descrive come configurare Microsoft Sentinel per l'uso di App per le funzioni di Azure. Potrebbe anche essere necessario configurare il sistema di origine ed è possibile trovare link alle informazioni specifiche del fornitore e del prodotto nella pagina di ogni connettore dati nel portale o nella sezione relativa al servizio nella pagina Riferimenti sui connettori dati di Microsoft Sentinel.
Nota
Dopo l'inserimento in Microsoft Sentinel, i dati vengono archiviati nella posizione geografica dell'area di lavoro in cui si esegue Microsoft Sentinel.
Per la conservazione a lungo termine, è anche possibile archiviare i dati nei tipi di log, ad esempio i log ausiliari o i log di base. Per altre informazioni, vedere Piani di conservazione dei log in Microsoft Sentinel.
L'uso di Funzioni di Azure per inserire dati in Microsoft Sentinel può comportare costi aggiuntivi per l'inserimento dei dati. Per altre informazioni, vedere la pagina relativa ai prezzi per Funzioni di Azure.
Prerequisiti
Assicurarsi di disporre delle autorizzazioni e delle credenziali seguenti prima di usare Funzioni di Azure per connettere Microsoft Sentinel all'origine dati ed eseguire il pull dei log in Microsoft Sentinel:
È necessario disporre delle autorizzazioni di lettura e scrittura nell'area di lavoro Microsoft Sentinel.
È necessario disporre delle autorizzazioni di lettura per le chiavi condivise per l'area di lavoro. Altre informazioni sulle chiavi dell'area di lavoro.
Per creare un'App per le funzioni, è necessario disporre delle autorizzazioni di lettura e scrittura per Funzioni di Azure. Altre informazioni su Funzioni di Azure.
Saranno necessarie anche le credenziali per accedere all'API del prodotto, ovvero un nome utente e una password, un token, una chiave o un'altra combinazione. Potrebbero essere necessarie anche altre informazioni sull'API, ad esempio un URI dell'endpoint.
Per altre informazioni, vedere la documentazione relativa al servizio a cui ci si connette e la sezione relativa al servizio nella pagina Riferimenti sui connettori dati di Microsoft Sentinel.
Installare la soluzione che contiene il connettore basato su Funzioni di Azure dall'Hub dei contenuti in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire contenuti predefiniti di Microsoft Sentinel.
Configurare e connettere l'origine dati
Nota
È possibile archiviare in modo sicuro le chiavi di autorizzazione o i token dell'area di lavoro e dell'API in Azure Key Vault. Azure Key Vault offre un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'App per le funzioni di Azure.
Per funzionare come previsto alcuni connettore dati dipendono da un parser basato su una funzione Kusto. Vedere la sezione relativa al servizio nella pagina Riferimenti sui connettori dati di Microsoft Sentinel per i link alle istruzioni per creare la funzione Kusto e l'alias.
Passaggio 1: Ottenere le credenziali API del sistema di origine
Seguire le istruzioni del sistema di origine per ottenere le relative credenziali API/chiavi di autorizzazione/token. Copiarli e incollarli in un file di testo per un secondo momento.
È possibile trovare informazioni dettagliate sulle credenziali esatte necessarie e link alle istruzioni del prodotto per trovarle o crearle, nella pagina del connettore dati del portale e nella sezione relativa al servizio nella pagina Riferimenti sui connettori dati di Microsoft Sentinel.
Potrebbe anche essere necessario configurare la registrazione o altre impostazioni nel sistema di origine. Le istruzioni pertinenti sono disponibili insieme a quelle del paragrafo precedente.
Passaggio 2 - Distribuire il connettore e la funzione di Azure associata
Scegliere un'opzione di distribuzione
- Modello di Azure Resource Manager (modello di ARM)
- Distribuzione manuale con PowerShell
- Distribuzione manuale con Python
Questo metodo fornisce una distribuzione automatica del connettore basato su funzioni di Azure usando un modello di ARM.
Nel portale di Microsoft Sentinel selezionare Connettori dati. Selezionare il connettore basato su Funzioni di Azure nell'elenco, Seguito da Apri pagina del connettore.
In Configurazione copiare l'ID e la chiave primaria dell'area di lavoro di Microsoft Sentinel e incollarli da parte.
Selezionare Distribuisci in Azure. Potrebbe essere necessario scorrere verso il basso per trovare il pulsante.
Verrà visualizzata la schermata Distribuzione personalizzata.
Selezionare una sottoscrizione, un gruppo di risorse e un'area in cui distribuire l'App per le funzioni.
Immettere le credenziali dell'API, le chiavi di autorizzazione e i token salvati nel passaggio 1 precedente.
Immettere l'ID area di lavoro e la chiave dell'area di lavoro (chiave primaria) di Microsoft Sentinel copiati e messi da parte.
Nota
Se si usano segreti di Azure Key Vault per uno dei valori precedenti, usare lo schema
@Microsoft.KeyVault(SecretUri={Security Identifier})
al posto dei valori stringa. Per altri dettagli, vedere la documentazione di riferimento di Key Vault.Completare tutti gli altri campi nel modulo nella schermata Distribuzione personalizzata. Vedere la pagina del connettore dati nel portale o nella sezione relativa al servizio nella pagina Riferimenti sui connettori dati di Microsoft Sentinel.
Selezionare Rivedi e crea. Dopo il completamento della convalida, selezionare Crea.
Trovare i dati
Dopo aver stabilito una connessione, i dati vengono visualizzati in Log in CustomLogs, nelle tabelle elencate nella sezione relativa al servizio nella pagina Riferimenti sui connettori dati di Microsoft Sentinel.
Per eseguire query sui dati, immettere uno di questi nomi di tabella, o l'alias della funzione Kusto pertinente, nella finestra di query.
Per alcune query di esempio utili, vedere la scheda Passaggi successivi nella pagina del connettore.
Convalidare la connettività
Potrebbero essere necessari fino a 20 minuti fino a quando i log non vengono visualizzati in Log Analytics.
Passaggi successivi
In questo documento si è appreso come connettere Microsoft Sentinel all'origine dati usando i connettori basati su Funzioni di Azure. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:
- Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
- Iniziare a rilevare minacce con Microsoft Sentinel.
- Usare le cartelle di lavoro per monitorare i dati.