Risorse per la creazione di connettori personalizzati di Microsoft Sentinel.
Microsoft Sentinel offre un'ampia gamma di connettori predefiniti per i servizi di Azure e le soluzioni esterne e supporta anche l'inserimento di dati da alcune origini senza un connettore dedicato.
Se non è possibile connettere l'origine dati a Microsoft Sentinel usando una delle soluzioni esistenti disponibili, valutare la creazione di un connettore di origine dati personalizzato.
Per un elenco completo dei connettori supportati, vedere Trovare il connettore dati di Microsoft Sentinel).
Confrontare i metodi dei connettori personalizzati
La tabella seguente confronta i dettagli essenziali su ogni metodo per la creazione di connettori personalizzati descritti in questo articolo. Selezionare i collegamenti nella tabella per altri dettagli su ogni metodo.
Descrizione del metodo | Funzionalità | Senza server | Complessità |
---|---|---|---|
Codeless Connector Platform (CCP=) Ideale per gli utenti meno tecnici per creare connettori SaaS usando un file di configurazione anziché uno sviluppo avanzato. |
Supporta tutte le funzionalità disponibili con il codice. | Sì | Basso; sviluppo semplice e senza codice |
Agente di Log Analytics Ideale per la raccolta di file da origini locali e IaaS |
Solo raccolta dei file | No | Basso |
Logstash Ideale per le origini locali e IaaS, qualsiasi origine per cui è disponibile un plug-in e le organizzazioni hanno già familiarità con Logstash |
I plug-in disponibili, oltre a plug-in personalizzati, offrono una notevole flessibilità. | No; richiede l'esecuzione di una macchina virtuale o di un cluster di macchine virtuali | Basso; supporta molti scenari con plug-in |
App per la logica Costo elevato; evitare per dati con volumi elevati Ideale per le origini cloud a volume ridotto |
La programmazione senza codice consente una flessibilità limitata, senza supporto per l'implementazione di algoritmi. Se nessuna azione disponibile supporta già i requisiti, la creazione di un'azione personalizzata può aggiungere complessità. |
Sì | Basso; sviluppo semplice e senza codice |
PowerShell Ideale per la creazione di prototipi e caricamenti periodici di file |
Supporto diretto per la raccolta di file. PowerShell può essere usato per raccogliere più origini, ma richiederà la codifica e la configurazione dello script come servizio. |
No | Basso |
API di Log Analytics Ideale per gli ISV che implementano l'integrazione e per requisiti di raccolta unici |
Supporta tutte le funzionalità disponibili con il codice. | Dipende dall'implementazione | Alto |
Funzioni di Azure Ideale per le origini cloud a volume elevato e per requisiti di raccolta unici |
Supporta tutte le funzionalità disponibili con il codice. | Sì | Alto; richiede conoscenze di programmazione |
Suggerimento
Per i confronti dell'uso di App per la logica e Funzioni di Azure per lo stesso connettore, vedere:
- Inserire i log Web application firewall di Fastly in Microsoft Sentinel
- Office 365 (community GitHub di Microsoft Sentinel): Connettore app per la logica | Connettore Funzioni di Azure
Connettersi con Codeless Connector Platform
Codeless Connector Platform (CCP) fornisce un file di configurazione che può essere usato sia dai clienti che dai partner, quindi distribuito nell'area di lavoro personale o come soluzione per la raccolta di soluzioni di Microsoft Sentinel.
I connettori creati con CCP sono completamente SaaS, senza requisiti per le installazioni di servizi e includono anche il monitoraggio dell'integrità e il supporto completo di Microsoft Sentinel.
Per altre informazioni, vedere Creare un connettore senza codice per Microsoft Sentinel.
Connettersi con l'agente di Log Analytics
Se l'origine dati recapita eventi nei file, è consigliabile usare l'agente di Log Analytics di Monitoraggio di Azure per creare il connettore personalizzato.
Per altre informazioni, vedere Raccolta di log personalizzati in Monitoraggio di Azure.
Per un esempio di questo metodo, vedere Raccolta di origini dati JSON personalizzate con l'agente di Log Analytics per Linux in Monitoraggio di Azure.
Connettersi con Logstash
Se si ha familiarità con Logstash, è possibile usare Logstash con il plug-in di output Logstash per Microsoft Sentinel per creare il connettore personalizzato.
Con il plug-in di output Logstash di Microsoft Sentinel, è possibile usare qualsiasi plug-in di input e filtro Logstash e configurare Microsoft Sentinel come output per una pipeline Logstash. Logstash ha una vasta libreria di plug-in che consentono l'input da varie origini, ad esempio Hub eventi, Apache Kafka, File, Database e Servizi cloud. Usare i plug-in di filtro per analizzare gli eventi, filtrare gli eventi non necessari, offuscare i valori e altro ancora.
Per esempi di uso di Logstash come connettore personalizzato, vedere:
- Ricerca di TTP di violazione di Capital One nei log AWS con Microsoft Sentinel (blog)
- Guida all'implementazione di Microsoft Sentinel di Radware
Per esempi di plug Logstash utili, vedere:
- Plug-in di input CloudWatch
- Plug-in Hub eventi di Azure
- Plug-in di input di Google Cloud Storage
- Plug-in di input Google_pubsub
Suggerimento
Logstash abilita anche la raccolta di dati ridimensionata usando un cluster. Per altre informazioni, vedere Uso di una macchina virtuale Logstash con carico bilanciato su larga scala.
Connettersi con App per la logica
Usare App per la logica di Azure per creare un connettore personalizzato serverless per Microsoft Sentinel.
Nota
Anche se la creazione di connettori serverless con App per la logica può risultare utile, l'uso di App per la logica per i connettori potrebbe essere costoso per volumi elevati di dati.
È consigliabile usare questo metodo solo per origini dati a basso volume o per arricchire i caricamenti dei dati.
Usare uno dei trigger seguenti per avviare App per la logica:
Trigger Descrizione Un'attività ricorrente Ad esempio, pianificare App per la logica per recuperare regolarmente i dati da file, database o API esterne specifici.
Per altre informazioni, vedere Creare, pianificare ed eseguire attività e flussi di lavoro ricorrenti in App per la logica di Azure.Attivazione su richiesta Eseguire App per la logica su richiesta per il test e la raccolta manuale dei dati.
Per altre informazioni, vedere Chiamare, attivare o annidare App per la logica usando endpoint HTTPS.Endpoint HTTP/S Consigliato per lo streaming e se il sistema di origine può avviare il trasferimento dei dati.
Per altre informazioni, vedere Chiamare gli endpoint del servizio tramite HTTP o HTTPS.Usare uno dei connettori di App per la logica che leggono informazioni per ottenere gli eventi. Ad esempio:
Suggerimento
I connettori personalizzati per le API REST, i server SQL e i file system supportano anche il recupero di dati da origini dati locali. Per altre informazioni, vedere la documentazione Installare il gateway dati locale.
Preparare le informazioni da recuperare.
Ad esempio, usare l'azione di analisi JSON per accedere alle proprietà nel contenuto JSON, per avere la possibilità di selezionare tali proprietà dall'elenco di contenuto dinamico quando si specificano gli input per App per la logica.
Per altre informazioni, vedere Eseguire operazioni sui dati in App per la logica di Azure.
Scrivere i dati in Log Analytics.
Per altre informazioni, vedere la documentazione di Agente di raccolta dati di Azure Log Analytics.
Per esempi di come creare un connettore personalizzato per Microsoft Sentinel usando App per la logica, vedere:
- Creare una pipeline di dati con l'API dell'agente di raccolta dati
- Connettore di app per la logica Palo Alto Prisma con un webhook (community GitHub di Microsoft Sentinel)
- Proteggere le chiamate di Microsoft Teams con l'attivazione pianificata (blog)
- Inserimento di indicatori di minaccia di AlienVault OTX in Microsoft Sentinel (blog)
Connettersi con PowerShell
Lo script di PowerShell Upload-AzMonitorLog consente di usare PowerShell per trasmettere eventi o informazioni di contesto a Microsoft Sentinel dalla riga di comando. Questo flusso crea in modo efficace un connettore personalizzato tra l'origine dati e Microsoft Sentinel.
Ad esempio, lo script seguente carica un file CSV in Microsoft Sentinel:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
Lo script di PowerShell Upload-AzMonitorLog usa i parametri seguenti:
Parametro | Descrizione |
---|---|
WorkspaceId | ID dell'area di lavoro di Microsoft Sentinel, in cui verranno archiviati i dati. Ottenere l'ID e la chiave dell'area di lavoro. |
WorkspaceKey | Chiave primaria o secondaria per l'area di lavoro di Microsoft Sentinel in cui verranno archiviati i dati. Ottenere l'ID e la chiave dell'area di lavoro. |
LogTypeName | Nome della tabella di log personalizzata in cui archiviare i dati. Alla fine del nome della tabella verrà aggiunto automaticamente un suffisso _CL. |
AddComputerName | Quando questo parametro esiste, lo script aggiunge il nome del computer corrente a ogni record di log, in un campo denominato Computer. |
TaggedAzureResourceId | Quando questo parametro esiste, lo script associa tutti i record di log caricati alla risorsa di Azure specificata. Questa associazione abilita i record di log caricati per le query di contesto delle risorse e rispetta il controllo degli accessi in base al ruolo incentrato sulle risorse. |
AdditionalDataTaggingName | Quando questo parametro esiste, lo script aggiunge un altro campo a ogni record di log, con il nome configurato e il valore configurato per il parametro AdditionalDataTaggingValue. In questo caso, AdditionalDataTaggingValue non deve essere vuoto. |
AdditionalDataTaggingValue | Quando questo parametro esiste, lo script aggiunge un altro campo a ogni record di log, con il valore configurato e il nome del campo configurato per il parametro AdditionalDataTaggingName. Se il parametro AdditionalDataTaggingName è vuoto, ma è configurato un valore, il nome del campo predefinito è DataTagging. |
Trovare l'ID e la chiave dell'area di lavoro
Trovare i dettagli per i parametri WorkspaceID e WorkspaceKey in Microsoft Sentinel:
In Microsoft Sentinel, selezionare Impostazioni sulla sinistra, quindi selezionare la scheda Impostazioni area di lavoro.
In Introduzione a Log Analytics>1 Connettere un'origine dati, selezionare Gestione agenti Windows e Linux.
Trovare l'ID dell'area di lavoro, la chiave primaria e la chiave secondaria nelle schede Server Windows.
Connettersi con l'API Log Analytics
È possibile trasmettere eventi a Microsoft Sentinel usando l'API dell'agente di raccolta dati di Log Analytics per chiamare direttamente un endpoint RESTful.
Anche se la chiamata diretta di un endpoint RESTful richiede più programmazione, offre anche maggiore flessibilità.
Per altre informazioni, vedere l'API dell'agente di raccolta dati di Log Analytics, in particolare gli esempi seguenti:
Connettersi con Funzioni di Azure
Usare Funzioni di Azure insieme a un'API RESTful e a vari linguaggi di codifica, ad esempio PowerShell, per creare un connettore personalizzato serverless.
Per esempi di questo metodo, vedere:
- Connettere VMware Carbon Black Cloud Endpoint Standard a Microsoft Sentinel con Funzioni di Azure
- Connettere l'accesso Single Sign-On di Okta a Microsoft Sentinel con Funzioni di Azure
- Connettere Proofpoint TAP a Microsoft Sentinel con Funzione di Azure
- Connettere Qualys VM a Microsoft Sentinel con Funzioni di Azure
- Inserimento di XML, CSV o altri formati di dati
- Monitoraggio di Zoom con Microsoft Sentinel (blog)
- Distribuire un'app per le funzioni per ottenere i dati dell'API di gestione di Office 365 in Microsoft Sentinel (community GitHub di Microsoft Sentinel)
Analizzare i dati del connettore personalizzato
Per sfruttare i vantaggi dei dati raccolti con il connettore personalizzato, sviluppare parser ASIM (Advanced Security Information Model) per lavorare con il connettore. L'uso di ASIM consente al contenuto predefinito di Microsoft Sentinel di usare i dati personalizzati e semplifica l'esecuzione di query sui dati da parte degli analisti.
Se il metodo del connettore lo consente, è possibile implementare parte dell'analisi come parte del connettore per migliorare le prestazioni di analisi del tempo di query:
- Se si è usato Logstash, usare il plug-in di filtro Grok per analizzare i dati.
- Se si è usata una funzione di Azure, analizzare i dati con il codice.
Sarà comunque necessario implementare i parser ASIM, ma l'implementazione di parte dell'analisi direttamente con il connettore semplifica l'analisi e migliora le prestazioni.
Passaggi successivi
Usare i dati inseriti in Microsoft Sentinel per proteggere l'ambiente con uno dei processi seguenti:
- Ottenere visibilità sugli avvisi
- Visualizzare e monitorare i dati
- Analizzare gli incidenti
- Rilevare le minacce
- Automatizzare la prevenzione delle minacce
- Cercare le minacce
Altre informazioni su un esempio di creazione di un connettore personalizzato per monitorare Zoom: Monitoraggio di Zoom con Microsoft Sentinel.