Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel offre un'ampia gamma di connettori predefiniti per servizi Azure e soluzioni esterne e supporta anche l'inserimento di dati da alcune origini senza un connettore dedicato.
Se non è possibile connettere l'origine dati a Microsoft Sentinel usando una delle soluzioni esistenti disponibili, provare a creare un connettore di origine dati personalizzato.
Per un elenco completo dei connettori supportati, vedere Trovare il connettore dati Microsoft Sentinel).For a full list of supported connectors, see the Find your Microsoft Sentinel data connector).
Confrontare i metodi dei connettori personalizzati
Nella tabella seguente vengono confrontati i dettagli essenziali su ogni metodo per la creazione di connettori personalizzati descritti in questo articolo. Selezionare i collegamenti nella tabella per altri dettagli su ogni metodo.
| Descrizione del metodo | Funzionalità | Serverless | Complessità |
|---|---|---|---|
|
Codeless Connector Framework (CCF) Ideale per gruppi di destinatari meno tecnici per creare connettori SaaS usando un file di configurazione anziché uno sviluppo avanzato. |
Supporta tutte le funzionalità disponibili con il codice. | Sì | Basso; sviluppo semplice e senza codice |
|
agente di monitoraggio Azure Ideale per la raccolta di file da origini locali e IaaS |
Raccolta di file, trasformazione dei dati | No | Bassa |
|
Logstash Ideale per origini locali e IaaS, qualsiasi origine per cui è disponibile un plug-in e organizzazioni che hanno già familiarità con Logstash |
Supporta tutte le funzionalità dell'agente di monitoraggio Azure | No; richiede una macchina virtuale o un cluster di macchine virtuali per l'esecuzione | Basso; supporta molti scenari con plug-in |
|
App per la logica Costo elevato; evitare per i dati con volumi elevati Ideale per le origini cloud a basso volume |
La programmazione senza codice consente una flessibilità limitata, senza supporto per l'implementazione di algoritmi. Se nessuna azione disponibile supporta già i requisiti, la creazione di un'azione personalizzata può aggiungere complessità. |
Sì | Basso; sviluppo semplice e senza codice |
|
API di inserimento log in monitoraggio Azure Ideale per gli ISV che implementano l'integrazione e per requisiti di raccolta univoci |
Supporta tutte le funzionalità disponibili con il codice. | Dipende dall'implementazione | Alto |
|
Funzioni di Azure Ideale per le origini cloud con volumi elevati e per i requisiti di raccolta univoci |
Supporta tutte le funzionalità disponibili con il codice. | Sì | Alto; richiede conoscenze di programmazione |
Consiglio
Per confronti sull'uso di App per la logica e Funzioni di Azure per lo stesso connettore, vedere:
- Inserire rapidamente i log di Web application firewall in Microsoft Sentinel
- Office 365 (Microsoft Sentinel community di GitHub): connettore | app per la logica Azure connettore di funzioni
Connettersi a Codeless Connector Framework
Codeless Connector Framework (CCF) fornisce un file di configurazione che può essere usato da clienti e partner e quindi distribuito nella propria area di lavoro o come soluzione per Microsoft Sentinel'hub contenuto.
I connettori creati con CCF sono completamente SaaS, senza requisiti per le installazioni dei servizi, e includono anche il monitoraggio dell'integrità e il supporto completo di Microsoft Sentinel.
Per altre informazioni, vedere Creare un connettore senza codice per Microsoft Sentinel.
Connettersi all'agente di monitoraggio Azure
Se l'origine dati recapita eventi in file di testo, è consigliabile usare l'agente di monitoraggio Azure per creare il connettore personalizzato.
Per altre informazioni, vedere Raccogliere i log da un file di testo con Azure'agente di monitoraggio.
Per un esempio di questo metodo, vedere Raccogliere i log da un file JSON con Azure'agente di monitoraggio.
Connettersi con Logstash
Se si ha familiarità con Logstash, è possibile usare Logstash con il plug-in di output Logstash per Microsoft Sentinel per creare il connettore personalizzato.
Con il plug-in Microsoft Sentinel Logstash Output è possibile usare qualsiasi plug-in di input e filtro Logstash e configurare Microsoft Sentinel come output per una pipeline Logstash. Logstash include una vasta libreria di plug-in che consentono l'input da varie origini, ad esempio Hub eventi, Apache Kafka, Files, database e servizi cloud. Usare i plug-in di filtro per analizzare gli eventi, filtrare gli eventi non necessari, offuscare i valori e altro ancora.
Per esempi sull'uso di Logstash come connettore personalizzato, vedere:
- Ricerca di provider di servizi di gestione delle violazioni capital one nei log di AWS tramite Microsoft Sentinel (blog)
- Guida all'implementazione di Radware Microsoft Sentinel
Per esempi di plug-in Logstash utili, vedere:
- Plug-in di input cloudwatch
- plug-in Hub eventi di Azure
- Plug-in di input di Google Cloud Storage
- plug-in di input Google_pubsub
Consiglio
Logstash consente anche la raccolta di dati con scalabilità orizzontale tramite un cluster. Per altre informazioni, vedere Uso di una macchina virtuale Logstash con bilanciamento del carico su larga scala.
Connettersi con App per la logica
Usare Azure App per la logica per creare un connettore personalizzato serverless per Microsoft Sentinel.
Nota
Durante la creazione di connettori serverless con App per la logica può essere utile, l'uso di App per la logica per i connettori può risultare costoso per grandi volumi di dati.
È consigliabile usare questo metodo solo per le origini dati a basso volume o per arricchire i caricamenti dei dati.
Usare uno dei trigger seguenti per avviare app per la logica:
Attivazione Descrizione Attività ricorrente Ad esempio, pianificare l'app per la logica per recuperare regolarmente i dati da file, database o API esterne specifici.
Per altre informazioni, vedere Creare, pianificare ed eseguire attività e flussi di lavoro ricorrenti in app per la logica Azure.Attivazione su richiesta Eseguire l'app per la logica su richiesta per la raccolta e il test manuali dei dati.
Per altre informazioni, vedere Chiamare, attivare o annidare app per la logica usando endpoint HTTPS.Endpoint HTTP/S Consigliato per lo streaming e se il sistema di origine può avviare il trasferimento dei dati.
Per altre informazioni, vedere Chiamare gli endpoint del servizio tramite HTTP o HTTPS.Usare uno dei connettori dell'app per la logica che leggono informazioni per ottenere gli eventi. Ad esempio:
Consiglio
Connettori personalizzati per API REST, SQL Server e file system supportano anche il recupero di dati da origini dati locali. Per altre informazioni, vedere La documentazione relativa all'installazione del gateway dati locale .
Preparare le informazioni da recuperare.
Ad esempio, usare l'azione analizza JSON per accedere alle proprietà nel contenuto JSON, consentendo di selezionare tali proprietà dall'elenco di contenuto dinamico quando si specificano gli input per l'app per la logica.
Per altre informazioni, vedere Eseguire operazioni sui dati in app per la logica Azure.
Scrivere i dati in Log Analytics.
Per altre informazioni, vedere la documentazione dell'agente di raccolta dati Azure Log Analytics.
Per esempi su come creare un connettore personalizzato per Microsoft Sentinel usando App per la logica, vedere:
- Creare una pipeline di dati con l'API agente di raccolta dati
- Connettore Palo Alto Prisma Logic App con un webhook (Microsoft Sentinel community di GitHub)
- Proteggere le chiamate di Microsoft Teams con l'attivazione pianificata (blog)
- Inserimento di indicatori di minaccia AlienVault OTX in Microsoft Sentinel (blog)
Connettersi con l'API di inserimento log
È possibile trasmettere gli eventi a Microsoft Sentinel usando l'API agente di raccolta dati di Log Analytics per chiamare direttamente un endpoint RESTful.
Anche se la chiamata a un endpoint RESTful richiede direttamente più programmazione, offre anche maggiore flessibilità.
Per altre informazioni, vedere gli articoli seguenti:
- API di inserimento log in Azure Monitor.
- Codice di esempio per inviare dati a Azure Monitor usando l'API di inserimento log.
Connettersi con Funzioni di Azure
Usare Funzioni di Azure insieme a un'API RESTful e a diversi linguaggi di codifica, ad esempio PowerShell, per creare un connettore personalizzato serverless.
Per esempi di questo metodo, vedere:
- Connettere l'endpoint cloud VMware Carbon Black Standard a Microsoft Sentinel con la funzione Azure
- Connettere il Sign-On singolo Okta a Microsoft Sentinel con la funzione Azure
- Connettere il tap di Proofpoint a Microsoft Sentinel con la funzione Azure
- Connettere la macchina virtuale Qualys a Microsoft Sentinel con Azure Function
- Inserimento di xml, csv o altri formati di dati
- Monitoraggio dello zoom con Microsoft Sentinel (blog)
- Distribuire un'app per le funzioni per ottenere i dati dell'API di gestione Office 365 in Microsoft Sentinel (Microsoft Sentinel community di GitHub)
Analizzare i dati del connettore personalizzato
Per sfruttare i dati raccolti con il connettore personalizzato, sviluppare parser ASIM (Advanced Security Information Model) per lavorare con il connettore. L'uso di ASIM consente al contenuto predefinito di Microsoft Sentinel di usare i dati personalizzati e semplifica l'esecuzione di query sui dati da parte degli analisti.
Se il metodo del connettore lo consente, è possibile implementare parte dell'analisi come parte del connettore per migliorare le prestazioni di analisi del tempo di query:
- Se è stato usato Logstash, usare il plug-in filtro Grok per analizzare i dati.
- Se è stata usata una funzione Azure, analizzare i dati con il codice.
Sarà comunque necessario implementare i parser ASIM, ma l'implementazione di parte dell'analisi direttamente con il connettore semplifica l'analisi e migliora le prestazioni.
Passaggi successivi
Usare i dati inseriti in Microsoft Sentinel per proteggere l'ambiente con uno dei processi seguenti: