Risorse per la creazione di connettori personalizzati di Microsoft Sentinel
Microsoft Sentinel offre un'ampia gamma di connettori predefiniti per i servizi di Azure e le soluzioni esterne e supporta anche l'inserimento di dati da alcune origini senza un connettore dedicato.
Se non è possibile connettere l'origine dati a Microsoft Sentinel usando una delle soluzioni esistenti disponibili, è consigliabile creare un connettore di origine dati personalizzato.
Per un elenco completo dei connettori supportati, vedere il post di blog Microsoft Sentinel: i connettori grand (CEF, Syslog, Direct, Agent, Custom e altro ancora).
Confrontare i metodi del connettore personalizzati
La tabella seguente confronta i dettagli essenziali relativi a ogni metodo per la creazione di connettori personalizzati descritti in questo articolo. Selezionare i collegamenti nella tabella per altri dettagli su ogni metodo.
Descrizione del metodo | Funzionalità | Senza server | Complessità |
---|---|---|---|
Piattaforma connettore senza codice (CCP) Meglio per i destinatari meno tecnici per creare connettori SaaS usando un file di configurazione anziché lo sviluppo avanzato. |
Supporta tutte le funzionalità disponibili con il codice. | Sì | Basso; sviluppo semplice senza codice |
Agente di Log Analytics Ideale per la raccolta di file da origini locali e IaaS |
Solo raccolta di file | No | Basso |
Logstash Migliore per le origini locali e IaaS, qualsiasi origine per cui è disponibile un plug-in e le organizzazioni già familiari con Logstash |
I plug-in disponibili, oltre ai plug-in personalizzati, offrono una notevole flessibilità. | No; richiede l'esecuzione di una macchina virtuale o di un cluster di macchine virtuali | Basso; supporta molti scenari con plug-in |
App per la logica Costo elevato; evitare per i dati di volume elevato Ideale per le origini cloud a volume basso |
La programmazione senza codice consente una flessibilità limitata, senza supporto per l'implementazione di algoritmi. Se nessuna azione disponibile supporta già i requisiti, la creazione di un'azione personalizzata può aggiungere complessità. |
Sì | Basso; sviluppo semplice senza codice |
PowerShell Migliore per la prototipazione e il caricamento periodico dei file |
Supporto diretto per la raccolta di file. PowerShell può essere usato per raccogliere più origini, ma richiederà la codifica e la configurazione dello script come servizio. |
No | Basso |
API di Log Analytics Migliore per gli ISV che implementano l'integrazione e per requisiti di raccolta univoci |
Supporta tutte le funzionalità disponibili con il codice. | Dipende dall'implementazione | Alto |
Funzioni di Azure Ideale per le origini cloud a volume elevato e per requisiti di raccolta univoci |
Supporta tutte le funzionalità disponibili con il codice. | Sì | Alto; richiede conoscenze di programmazione |
Suggerimento
Per i confronti dell'uso di App per la logica e Funzioni di Azure per lo stesso connettore, vedere:
- Inserire rapidamente Web application firewall log in Microsoft Sentinel
- Office 365 (community gitHub di Microsoft Sentinel):connettore per le funzioni di Azure del connettore | app per la logica
Connettersi alla piattaforma del connettore codeless
Codeless Connector Platform (CCP) fornisce un file di configurazione che può essere usato dai clienti e dai partner e quindi distribuito nell'area di lavoro o come soluzione alla raccolta di soluzioni di Microsoft Sentinel.
I connettori creati usando CCP sono completamente SaaS, senza requisiti per le installazioni di servizi e includono anche il monitoraggio dell'integrità e il supporto completo di Microsoft Sentinel.
Per altre informazioni, vedere Creare un connettore senza codice per Microsoft Sentinel.
Connettersi all'agente di Log Analytics
Se l'origine dati fornisce eventi nei file, è consigliabile usare l'agente Log Analytics di Monitoraggio di Azure per creare il connettore personalizzato.
Per altre informazioni, vedere Raccolta di log personalizzati in Monitoraggio di Azure.
Per un esempio di questo metodo, vedere Raccolta di origini dati JSON personalizzate con l'agente di Log Analytics per Linux in Monitoraggio di Azure.
Connettersi con Logstash
Se si ha familiarità con Logstash, è possibile usare Logstash con il plug-in di output Logstash per Microsoft Sentinel per creare il connettore personalizzato.
Con il plug-in Di output logtash di Microsoft Sentinel è possibile usare qualsiasi plug-in Logtash e filtro e configurare Microsoft Sentinel come output per una pipeline Logstash. Logstash include una grande libreria di plug-in che consentono l'input da diverse origini, ad esempio Hub eventi, Apache Kafka, File, Database e Servizi cloud. Usare i plug-in di filtro per analizzare gli eventi, filtrare gli eventi non necessari, offuscare i valori e altro ancora.
Per esempi di uso di Logstash come connettore personalizzato, vedere:
- Ricerca di TTP per maiuscole e minuscole nei log DI AWS usando Microsoft Sentinel (blog)
- Guida all'implementazione di Radware Microsoft Sentinel
Per esempi di plug-in Logtash utili, vedere:
- Plug-in di input di Cloudwatch
- plug-in Hub eventi di Azure
- Plug-in di input di Google Cloud Storage
- plug-in di input Google_pubsub
Suggerimento
Logstash abilita anche la raccolta dati con scalabilità orizzontale usando un cluster. Per altre informazioni, vedere Uso di una macchina virtuale con bilanciamento del carico su larga scala.
Connettersi con app per la logica
Usare App per la logica di Azure per creare un connettore personalizzato serverless per Microsoft Sentinel.
Nota
Durante la creazione di connettori serverless che usano App per la logica possono essere utili, l'uso di App per la logica per i connettori può essere costoso per grandi volumi di dati.
È consigliabile usare questo metodo solo per origini dati a volume basso o arricchire i caricamenti dei dati.
Usare uno dei trigger seguenti per avviare app per la logica:
Trigger Descrizione Attività ricorrente Ad esempio, pianificare l'app per la logica per recuperare regolarmente i dati da file, database o API esterne specifiche.
Per altre informazioni, vedere Creare, pianificare ed eseguire attività e flussi di lavoro ricorrenti in App per la logica di Azure.Attivazione su richiesta Eseguire l'app per la logica su richiesta per la raccolta e il test manuali dei dati.
Per altre informazioni, vedere Chiamare, attivare o annidare le app per la logica usando gli endpoint HTTPS.Endpoint HTTP/S Consigliato per lo streaming e se il sistema di origine può avviare il trasferimento dei dati.
Per altre informazioni, vedere Chiamare gli endpoint del servizio tramite HTTP o HTTP.Usare uno dei connettori dell'app per la logica che legge le informazioni per ottenere gli eventi. Ad esempio:
Suggerimento
I connettori personalizzati alle API REST, ai server SQL e ai file system supportano anche il recupero di dati da origini dati locali. Per altre informazioni, vedere La documentazione relativa all'installazione del gateway dati locale .
Preparare le informazioni da recuperare.
Ad esempio, usare l'azione analizza JSON per accedere alle proprietà nel contenuto JSON, consentendo di selezionare tali proprietà dall'elenco di contenuto dinamico quando si specificano gli input per l'app per la logica.
Per altre informazioni, vedere Eseguire operazioni sui dati in App per la logica di Azure.
Scrivere i dati in Log Analytics.
Per altre informazioni, vedere la documentazione dell'agente di raccolta dati di Azure Log Analytics .
Per esempi di come creare un connettore personalizzato per Microsoft Sentinel con App per la logica, vedere:
- Creare una pipeline di dati con l'API dell'Agente di raccolta dati
- Connettore di Palo Alto Prisma Logic App con un webhook (community GitHub di Microsoft Sentinel)
- Proteggere le chiamate di Microsoft Teams con l'attivazione pianificata (blog)
- Inserimento di indicatori di minaccia OTX di AlienVault in Microsoft Sentinel (blog)
Connettersi con PowerShell
Lo script di PowerShell Upload-AzMonitorLog consente di usare PowerShell per trasmettere eventi o informazioni di contesto a Microsoft Sentinel dalla riga di comando. Questo flusso crea in modo efficace un connettore personalizzato tra l'origine dati e Microsoft Sentinel.
Ad esempio, lo script seguente carica un file CSV in Microsoft Sentinel:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
Lo script di PowerShell Upload-AzMonitorLog usa i parametri seguenti:
Parametro | Descrizione |
---|---|
WorkspaceId | ID area di lavoro di Microsoft Sentinel, in cui verranno archiviati i dati. Trovare l'ID e la chiave dell'area di lavoro. |
WorkspaceKey | Chiave primaria o secondaria per l'area di lavoro di Microsoft Sentinel in cui verranno archiviati i dati. Trovare l'ID e la chiave dell'area di lavoro. |
LogTypeName | Nome della tabella di log personalizzata in cui si desidera archiviare i dati. Alla fine del nome della tabella verrà aggiunto automaticamente un suffisso di _CL . |
AddComputerName | Quando questo parametro esiste, lo script aggiunge il nome del computer corrente a ogni record di log, in un campo denominato Computer. |
TaggedAzureResourceId | Quando questo parametro esiste, lo script associa tutti i record di log caricati alla risorsa di Azure specificata. Questa associazione abilita i record di log caricati per le query di contesto delle risorse e rispetta il controllo degli accessi in base al ruolo incentrato sulle risorse. |
AdditionalDataTaggingName | Quando questo parametro esiste, lo script aggiunge un altro campo a ogni record di log, con il nome configurato e il valore configurato per il parametro AdditionalDataTaggingValue . In questo caso , AdditionalDataTaggingValue non deve essere vuoto. |
AdditionalDataTaggingValue | Quando questo parametro esiste, lo script aggiunge un altro campo a ogni record di log, con il valore configurato e il nome del campo configurato per il parametro AdditionalDataTaggingName . Se il parametro AdditionalDataTaggingName è vuoto, ma viene configurato un valore, il nome del campo predefinito è DataTagging. |
Trovare l'ID e la chiave dell'area di lavoro
Trovare i dettagli per i parametri WorkspaceID e WorkspaceKey in Microsoft Sentinel:
In Microsoft Sentinel selezionare Impostazioni a sinistra e quindi selezionare la scheda Impostazioni area di lavoro .
In Introduzione a Log Analytics>1 Connettere un'origine dati selezionare Gestione agenti Windows e Linux.
Trovare l'ID dell'area di lavoro, la chiave primaria e la chiave secondaria nelle schede server Windows .
Connettersi con l'API Log Analytics
È possibile trasmettere eventi a Microsoft Sentinel usando l'API dell'agente di raccolta dati di Log Analytics per chiamare direttamente un endpoint RESTful.
Anche se la chiamata diretta di un endpoint RESTful richiede una maggiore programmazione, offre anche maggiore flessibilità.
Per altre informazioni, vedere l'API dell'agente di raccolta dati di Log Analytics, in particolare gli esempi seguenti:
Connettersi con Funzioni di Azure
Usare Funzioni di Azure insieme a un'API RESTful e a vari linguaggi di codifica, ad esempio PowerShell, per creare un connettore personalizzato serverless.
Per esempi di questo metodo, vedere:
- Connettere VMware Carbon Black Cloud Endpoint Standard a Microsoft Sentinel con la funzione di Azure
- Connettere la Sign-On single di Okta a Microsoft Sentinel con la funzione di Azure
- Connettere proofpoint TAP a Microsoft Sentinel con la funzione di Azure
- Connettere la macchina virtuale Qualys a Microsoft Sentinel con la funzione di Azure
- Inserimento di XML, CSV o altri formati di dati
- Monitoraggio di Zoom con Microsoft Sentinel (blog)
- Distribuire un'app per le funzioni per ottenere i dati delle API di gestione Office 365 in Microsoft Sentinel (community GitHub di Microsoft Sentinel)
Analizzare i dati del connettore personalizzato
Per sfruttare i vantaggi dei dati raccolti con il connettore personalizzato, sviluppare parser ASIM (Advanced Security Information Model) per usare il connettore. L'uso di ASIM consente al contenuto predefinito di Microsoft Sentinel di usare i dati personalizzati e semplifica l'esecuzione di query sui dati da parte degli analisti.
Se il metodo del connettore lo consente, è possibile implementare parte dell'analisi come parte del connettore per migliorare le prestazioni di analisi del tempo di query:
- Se è stato usato Logstash, usare il plug-in di filtro Grok per analizzare i dati.
- Se è stata usata una funzione di Azure, analizzare i dati con il codice.
Sarà comunque necessario implementare parser ASIM, ma l'implementazione di parte dell'analisi direttamente con il connettore semplifica l'analisi e migliora le prestazioni.
Passaggi successivi
Usare i dati inseriti in Microsoft Sentinel per proteggere l'ambiente con uno dei processi seguenti:
- Ottenere visibilità sugli avvisi
- Visualizzare e monitorare i dati
- Eseguire indagini sugli eventi imprevisti
- Rilevare le minacce
- Automatizzare la prevenzione delle minacce
- Cercare le minacce
Informazioni su un esempio di creazione di un connettore personalizzato per monitorare zoom: monitoraggio zoom con Microsoft Sentinel.