Questo browser non è più supportato.
Esegui l'aggiornamento a Microsoft Edge per sfruttare i vantaggi di funzionalità più recenti, aggiornamenti della sicurezza e supporto tecnico.
Microsoft Sentinel offre un'ampia gamma di connettori predefiniti per i servizi di Azure e le soluzioni esterne e supporta anche l'inserimento di dati da alcune origini senza un connettore dedicato.
Se non è possibile connettere l'origine dati a Microsoft Sentinel usando una delle soluzioni esistenti disponibili, valutare la creazione di un connettore di origine dati personalizzato.
Per un elenco completo dei connettori supportati, vedere Trovare il connettore dati di Microsoft Sentinel).
La tabella seguente confronta i dettagli essenziali su ogni metodo per la creazione di connettori personalizzati descritti in questo articolo. Selezionare i collegamenti nella tabella per altri dettagli su ogni metodo.
| Descrizione del metodo | Funzionalità | Senza server | Complessità |
|---|---|---|---|
| Codeless Connector Platform (CCP=) Ideale per gli utenti meno tecnici per creare connettori SaaS usando un file di configurazione anziché uno sviluppo avanzato. |
Supporta tutte le funzionalità disponibili con il codice. | Sì | Basso; sviluppo semplice e senza codice |
| Agente di Monitoraggio di Azure Ideale per la raccolta di file da origini locali e IaaS |
Raccolta di file, trasformazione dei dati | No | Basso |
| Logstash Ideale per le origini locali e IaaS, qualsiasi origine per cui è disponibile un plug-in e le organizzazioni hanno già familiarità con Logstash |
Supporta tutte le funzionalità dell'agente di Monitoraggio di Azure | No; richiede l'esecuzione di una macchina virtuale o di un cluster di macchine virtuali | Basso; supporta molti scenari con plug-in |
| App per la logica Costo elevato; evitare per dati con volumi elevati Ideale per le origini cloud a volume ridotto |
La programmazione senza codice consente una flessibilità limitata, senza supporto per l'implementazione di algoritmi. Se nessuna azione disponibile supporta già i requisiti, la creazione di un'azione personalizzata può aggiungere complessità. |
Sì | Basso; sviluppo semplice e senza codice |
| API di inserimento log in Monitoraggio di Azure Ideale per gli ISV che implementano l'integrazione e per requisiti di raccolta unici |
Supporta tutte le funzionalità disponibili con il codice. | Dipende dall'implementazione | Alto |
| Funzioni di Azure Ideale per le origini cloud a volume elevato e per requisiti di raccolta unici |
Supporta tutte le funzionalità disponibili con il codice. | Sì | Alto; richiede conoscenze di programmazione |
Suggerimento
Per i confronti dell'uso di App per la logica e Funzioni di Azure per lo stesso connettore, vedere:
La piattaforma CCP (Codeless Connector Platform) fornisce un file di configurazione che può essere usato sia dai clienti che dai partner e quindi distribuito nell'area di lavoro personale o come soluzione all'hub del contenuto di Microsoft Sentinel.
I connettori creati con CCP sono completamente SaaS, senza requisiti per le installazioni di servizi e includono anche il monitoraggio dell'integrità e il supporto completo di Microsoft Sentinel.
Per altre informazioni, vedere Creare un connettore senza codice per Microsoft Sentinel.
Se l'origine dati recapita eventi nei file di testo, è consigliabile usare l'agente di Monitoraggio di Azure per creare il connettore personalizzato.
Per altre informazioni, vedere Raccogliere log da un file di testo con l'agente di Monitoraggio di Azure.
Per un esempio di questo metodo, vedere Raccogliere i log da un file JSON con l'agente di Monitoraggio di Azure.
Se si ha familiarità con Logstash, è possibile usare Logstash con il plug-in di output Logstash per Microsoft Sentinel per creare il connettore personalizzato.
Con il plug-in di output Logstash di Microsoft Sentinel, è possibile usare qualsiasi plug-in di input e filtro Logstash e configurare Microsoft Sentinel come output per una pipeline Logstash. Logstash ha una vasta libreria di plug-in che consentono l'input da varie origini, ad esempio Hub eventi, Apache Kafka, File, Database e Servizi cloud. Usare i plug-in di filtro per analizzare gli eventi, filtrare gli eventi non necessari, offuscare i valori e altro ancora.
Per esempi di uso di Logstash come connettore personalizzato, vedere:
Per esempi di plug Logstash utili, vedere:
Suggerimento
Logstash abilita anche la raccolta di dati ridimensionata usando un cluster. Per altre informazioni, vedere Uso di una macchina virtuale Logstash con carico bilanciato su larga scala.
Usare App per la logica di Azure per creare un connettore personalizzato serverless per Microsoft Sentinel.
Nota
Anche se la creazione di connettori serverless con App per la logica può risultare utile, l'uso di App per la logica per i connettori potrebbe essere costoso per volumi elevati di dati.
È consigliabile usare questo metodo solo per origini dati a basso volume o per arricchire i caricamenti dei dati.
Usare uno dei trigger seguenti per avviare App per la logica:
| Trigger | Descrizione |
|---|---|
| Un'attività ricorrente | Ad esempio, pianificare App per la logica per recuperare regolarmente i dati da file, database o API esterne specifici. Per altre informazioni, vedere Creare, pianificare ed eseguire attività e flussi di lavoro ricorrenti in App per la logica di Azure. |
| Attivazione su richiesta | Eseguire App per la logica su richiesta per il test e la raccolta manuale dei dati. Per altre informazioni, vedere Chiamare, attivare o annidare App per la logica usando endpoint HTTPS. |
| Endpoint HTTP/S | Consigliato per lo streaming e se il sistema di origine può avviare il trasferimento dei dati. Per altre informazioni, vedere Chiamare gli endpoint del servizio tramite HTTP o HTTPS. |
Usare uno dei connettori di App per la logica che leggono informazioni per ottenere gli eventi. Ad esempio:
Suggerimento
I connettori personalizzati per le API REST, i server SQL e i file system supportano anche il recupero di dati da origini dati locali. Per altre informazioni, vedere la documentazione Installare il gateway dati locale.
Preparare le informazioni da recuperare.
Ad esempio, usare l'azione di analisi JSON per accedere alle proprietà nel contenuto JSON, per avere la possibilità di selezionare tali proprietà dall'elenco di contenuto dinamico quando si specificano gli input per App per la logica.
Per altre informazioni, vedere Eseguire operazioni sui dati in App per la logica di Azure.
Scrivere i dati in Log Analytics.
Per altre informazioni, vedere la documentazione di Agente di raccolta dati di Azure Log Analytics.
Per esempi di come creare un connettore personalizzato per Microsoft Sentinel usando App per la logica, vedere:
È possibile trasmettere eventi a Microsoft Sentinel usando l'API dell'agente di raccolta dati di Log Analytics per chiamare direttamente un endpoint RESTful.
Anche se la chiamata diretta di un endpoint RESTful richiede più programmazione, offre anche maggiore flessibilità.
Per altre informazioni, vedere gli articoli seguenti:
Usare Funzioni di Azure insieme a un'API RESTful e a vari linguaggi di codifica, ad esempio PowerShell, per creare un connettore personalizzato serverless.
Per esempi di questo metodo, vedere:
Per sfruttare i vantaggi dei dati raccolti con il connettore personalizzato, sviluppare parser ASIM (Advanced Security Information Model) per lavorare con il connettore. L'uso di ASIM consente al contenuto predefinito di Microsoft Sentinel di usare i dati personalizzati e semplifica l'esecuzione di query sui dati da parte degli analisti.
Se il metodo del connettore lo consente, è possibile implementare parte dell'analisi come parte del connettore per migliorare le prestazioni di analisi del tempo di query:
Sarà comunque necessario implementare i parser ASIM, ma l'implementazione di parte dell'analisi direttamente con il connettore semplifica l'analisi e migliora le prestazioni.
Usare i dati inseriti in Microsoft Sentinel per proteggere l'ambiente con uno dei processi seguenti:
Formazione
Modulo
Connettere i dati a Microsoft Sentinel usando i connettori dati - Training
Connettere i dati a Microsoft Sentinel usando i connettori dati
Certificazione
Microsoft Certified: Security Operations Analyst Associate - Certifications
Analizzare, cercare e attenuare minacce usando Microsoft Sentinel, Microsoft Defender per il cloud e Microsoft 365 Defender.