Condividi tramite


Risorse per la creazione di connettori personalizzati Microsoft Sentinel

Microsoft Sentinel offre un'ampia gamma di connettori predefiniti per servizi Azure e soluzioni esterne e supporta anche l'inserimento di dati da alcune origini senza un connettore dedicato.

Se non è possibile connettere l'origine dati a Microsoft Sentinel usando una delle soluzioni esistenti disponibili, provare a creare un connettore di origine dati personalizzato.

Per un elenco completo dei connettori supportati, vedere Trovare il connettore dati Microsoft Sentinel).For a full list of supported connectors, see the Find your Microsoft Sentinel data connector).

Confrontare i metodi dei connettori personalizzati

Nella tabella seguente vengono confrontati i dettagli essenziali su ogni metodo per la creazione di connettori personalizzati descritti in questo articolo. Selezionare i collegamenti nella tabella per altri dettagli su ogni metodo.

Descrizione del metodo Funzionalità Serverless Complessità
Codeless Connector Framework (CCF)
Ideale per gruppi di destinatari meno tecnici per creare connettori SaaS usando un file di configurazione anziché uno sviluppo avanzato.
Supporta tutte le funzionalità disponibili con il codice. Basso; sviluppo semplice e senza codice
agente di monitoraggio Azure
Ideale per la raccolta di file da origini locali e IaaS
Raccolta di file, trasformazione dei dati No Bassa
Logstash
Ideale per origini locali e IaaS, qualsiasi origine per cui è disponibile un plug-in e organizzazioni che hanno già familiarità con Logstash
Supporta tutte le funzionalità dell'agente di monitoraggio Azure No; richiede una macchina virtuale o un cluster di macchine virtuali per l'esecuzione Basso; supporta molti scenari con plug-in
App per la logica
Costo elevato; evitare per i dati con volumi elevati
Ideale per le origini cloud a basso volume
La programmazione senza codice consente una flessibilità limitata, senza supporto per l'implementazione di algoritmi.

Se nessuna azione disponibile supporta già i requisiti, la creazione di un'azione personalizzata può aggiungere complessità.
Basso; sviluppo semplice e senza codice
API di inserimento log in monitoraggio Azure
Ideale per gli ISV che implementano l'integrazione e per requisiti di raccolta univoci
Supporta tutte le funzionalità disponibili con il codice. Dipende dall'implementazione Alto
Funzioni di Azure
Ideale per le origini cloud con volumi elevati e per i requisiti di raccolta univoci
Supporta tutte le funzionalità disponibili con il codice. Alto; richiede conoscenze di programmazione

Consiglio

Per confronti sull'uso di App per la logica e Funzioni di Azure per lo stesso connettore, vedere:

Connettersi a Codeless Connector Framework

Codeless Connector Framework (CCF) fornisce un file di configurazione che può essere usato da clienti e partner e quindi distribuito nella propria area di lavoro o come soluzione per Microsoft Sentinel'hub contenuto.

I connettori creati con CCF sono completamente SaaS, senza requisiti per le installazioni dei servizi, e includono anche il monitoraggio dell'integrità e il supporto completo di Microsoft Sentinel.

Per altre informazioni, vedere Creare un connettore senza codice per Microsoft Sentinel.

Connettersi all'agente di monitoraggio Azure

Se l'origine dati recapita eventi in file di testo, è consigliabile usare l'agente di monitoraggio Azure per creare il connettore personalizzato.

Connettersi con Logstash

Se si ha familiarità con Logstash, è possibile usare Logstash con il plug-in di output Logstash per Microsoft Sentinel per creare il connettore personalizzato.

Con il plug-in Microsoft Sentinel Logstash Output è possibile usare qualsiasi plug-in di input e filtro Logstash e configurare Microsoft Sentinel come output per una pipeline Logstash. Logstash include una vasta libreria di plug-in che consentono l'input da varie origini, ad esempio Hub eventi, Apache Kafka, Files, database e servizi cloud. Usare i plug-in di filtro per analizzare gli eventi, filtrare gli eventi non necessari, offuscare i valori e altro ancora.

Per esempi sull'uso di Logstash come connettore personalizzato, vedere:

Per esempi di plug-in Logstash utili, vedere:

Consiglio

Logstash consente anche la raccolta di dati con scalabilità orizzontale tramite un cluster. Per altre informazioni, vedere Uso di una macchina virtuale Logstash con bilanciamento del carico su larga scala.

Connettersi con App per la logica

Usare Azure App per la logica per creare un connettore personalizzato serverless per Microsoft Sentinel.

Nota

Durante la creazione di connettori serverless con App per la logica può essere utile, l'uso di App per la logica per i connettori può risultare costoso per grandi volumi di dati.

È consigliabile usare questo metodo solo per le origini dati a basso volume o per arricchire i caricamenti dei dati.

  1. Usare uno dei trigger seguenti per avviare app per la logica:

    Attivazione Descrizione
    Attività ricorrente Ad esempio, pianificare l'app per la logica per recuperare regolarmente i dati da file, database o API esterne specifici.
    Per altre informazioni, vedere Creare, pianificare ed eseguire attività e flussi di lavoro ricorrenti in app per la logica Azure.
    Attivazione su richiesta Eseguire l'app per la logica su richiesta per la raccolta e il test manuali dei dati.
    Per altre informazioni, vedere Chiamare, attivare o annidare app per la logica usando endpoint HTTPS.
    Endpoint HTTP/S Consigliato per lo streaming e se il sistema di origine può avviare il trasferimento dei dati.
    Per altre informazioni, vedere Chiamare gli endpoint del servizio tramite HTTP o HTTPS.
  2. Usare uno dei connettori dell'app per la logica che leggono informazioni per ottenere gli eventi. Ad esempio:

    Consiglio

    Connettori personalizzati per API REST, SQL Server e file system supportano anche il recupero di dati da origini dati locali. Per altre informazioni, vedere La documentazione relativa all'installazione del gateway dati locale .

  3. Preparare le informazioni da recuperare.

    Ad esempio, usare l'azione analizza JSON per accedere alle proprietà nel contenuto JSON, consentendo di selezionare tali proprietà dall'elenco di contenuto dinamico quando si specificano gli input per l'app per la logica.

    Per altre informazioni, vedere Eseguire operazioni sui dati in app per la logica Azure.

  4. Scrivere i dati in Log Analytics.

    Per altre informazioni, vedere la documentazione dell'agente di raccolta dati Azure Log Analytics.

Per esempi su come creare un connettore personalizzato per Microsoft Sentinel usando App per la logica, vedere:

Connettersi con l'API di inserimento log

È possibile trasmettere gli eventi a Microsoft Sentinel usando l'API agente di raccolta dati di Log Analytics per chiamare direttamente un endpoint RESTful.

Anche se la chiamata a un endpoint RESTful richiede direttamente più programmazione, offre anche maggiore flessibilità.

Per altre informazioni, vedere gli articoli seguenti:

Connettersi con Funzioni di Azure

Usare Funzioni di Azure insieme a un'API RESTful e a diversi linguaggi di codifica, ad esempio PowerShell, per creare un connettore personalizzato serverless.

Per esempi di questo metodo, vedere:

Analizzare i dati del connettore personalizzato

Per sfruttare i dati raccolti con il connettore personalizzato, sviluppare parser ASIM (Advanced Security Information Model) per lavorare con il connettore. L'uso di ASIM consente al contenuto predefinito di Microsoft Sentinel di usare i dati personalizzati e semplifica l'esecuzione di query sui dati da parte degli analisti.

Se il metodo del connettore lo consente, è possibile implementare parte dell'analisi come parte del connettore per migliorare le prestazioni di analisi del tempo di query:

  • Se è stato usato Logstash, usare il plug-in filtro Grok per analizzare i dati.
  • Se è stata usata una funzione Azure, analizzare i dati con il codice.

Sarà comunque necessario implementare i parser ASIM, ma l'implementazione di parte dell'analisi direttamente con il connettore semplifica l'analisi e migliora le prestazioni.

Passaggi successivi

Usare i dati inseriti in Microsoft Sentinel per proteggere l'ambiente con uno dei processi seguenti: