Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Microsoft Sentinel tilbyr et bredt spekter av ut-av-boksen-koblinger for Azure tjenester og eksterne løsninger, og støtter også inntak av data fra enkelte kilder uten en dedikert kobling.
Hvis du ikke kan koble datakilden til Microsoft Sentinel ved hjelp av noen av de eksisterende løsningene som er tilgjengelige, kan du vurdere å opprette din egen datakildekobling.
Hvis du vil ha en fullstendig liste over støttede koblinger, kan du se Finn Microsoft Sentinel-datakoblingen).
Sammenligne egendefinerte koblingsmetoder
Tabellen nedenfor sammenligner viktige detaljer om hver metode for å opprette egendefinerte koblinger som er beskrevet i denne artikkelen. Velg koblingene i tabellen for mer informasjon om hver metode.
| Metodebeskrivelse | Evnen | Serverløs | Kompleksitet |
|---|---|---|---|
|
Codeless Connector Framework (CCF) Best for mindre tekniske målgrupper å opprette SaaS-koblinger ved hjelp av en konfigurasjonsfil i stedet for avansert utvikling. |
Støtter alle funksjoner som er tilgjengelige med koden. | Ja | Lav; enkel, kodeløs utvikling |
|
Azure Monitor Agent Best for innsamling av filer fra lokale og IaaS-kilder |
Filinnsamling, datatransformasjon | Nei | Lav |
|
Logstash Best for lokale og IaaS-kilder, enhver kilde som et programtillegg er tilgjengelig for, og organisasjoner som allerede er kjent med Logstash |
Støtter alle funksjonene til Azure Monitor Agent | Nei; krever en VM- eller VM-klynge for å kjøre | Lav; støtter mange scenarioer med plugin-moduler |
|
Logic Apps Høye kostnader; unngå for data med høyt volum Best for skykilder med lavt volum |
Kodeløs programmering gir begrenset fleksibilitet, uten støtte for å implementere algoritmer. Hvis ingen tilgjengelig handling allerede støtter kravene dine, kan oppretting av en egendefinert handling legge til kompleksitet. |
Ja | Lav; enkel, kodeløs utvikling |
|
Logginntaks-API på Azure skjerm Best for uavhengige programvareleverandører som implementerer integrering, og for unike krav til innsamling |
Støtter alle funksjoner som er tilgjengelige med koden. | Avhenger av implementeringen | Høy |
|
Azure Functions Best for skykilder med høyt volum og for unike krav til innsamling |
Støtter alle funksjoner som er tilgjengelige med koden. | Ja | Høy; krever programmeringskunnskap |
Tips
Hvis du vil se sammenligninger av bruk av Logic Apps og Azure Functions for samme kobling, kan du se:
- Inntaksbasert brannmur for webprogram logger seg på Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub-fellesskap): Logic App-kobling | Azure Function-kobling
Koble til codeless Connector Framework
Codeless Connector Framework (CCF) gir en konfigurasjonsfil som kan brukes av både kunder og partnere, og deretter distribueres til ditt eget arbeidsområde, eller som en løsning for Microsoft Sentinel innholdshub.
Koblinger som er opprettet ved hjelp av CCF, er fullstendig SaaS, uten krav til tjenesteinstallasjoner, og inkluderer også tilstandsovervåking og full støtte fra Microsoft Sentinel.
Hvis du vil ha mer informasjon, kan du se Opprette en kodeløs kobling for Microsoft Sentinel.
Koble til Azure Monitor Agent
Hvis datakilden leverer hendelser i tekstfiler, anbefaler vi at du bruker Azure Monitor Agent til å opprette den egendefinerte koblingen.
Hvis du vil ha mer informasjon, kan du se Samle inn logger fra en tekstfil med Azure Monitor Agent.
Hvis du vil ha et eksempel på denne metoden, kan du se Samle inn logger fra en JSON-fil med Azure Monitor Agent.
Koble til logstash
Hvis du er kjent med Logstash, vil du kanskje bruke Logstash med logstash-utdatatillegget for Microsoft Sentinel til å opprette den egendefinerte koblingen.
Med plugin-modulen for Microsoft Sentinel Logstash-utdata kan du bruke alle Plugin-moduler for Logstash-inndata og filtrering, og konfigurere Microsoft Sentinel som utdata for et Logstash-datasamlebånd. Logstash har et stort bibliotek med programtillegg som aktiverer inndata fra ulike kilder, for eksempel Event Hubs, Apache Kafka, Files, Databaser og Skytjenester. Bruk plugin-moduler for filtrering til å analysere hendelser, filtrere unødvendige hendelser, obfuscate-verdier og mer.
Hvis du vil ha eksempler på hvordan du bruker Logstash som en egendefinert kobling, kan du se:
- Jakt etter Capital One Breach TTPs i AWS logger ved hjelp av Microsoft Sentinel (blogg)
- Veiledning for Microsoft Sentinel implementering av radvare
Hvis du vil ha eksempler på nyttige Logstash-programtillegg, kan du se:
- Plugin-modul for skyklokkeinndata
- plugin-modul for Azure Event Hubs
- Plugin-modul for Inndata for Google Cloud Storage
- plugin-modul for Google_pubsub inndata
Tips
Logstash aktiverer også skalert datainnsamling ved hjelp av en klynge. Hvis du vil ha mer informasjon, kan du se Bruke en belastningsbalansert Logstash VM i stor skala.
Koble til logic apps
Bruk Azure Logic Apps til å opprette en serverløs, egendefinert kobling for Microsoft Sentinel.
Obs!
Selv om det kan være praktisk å opprette serverløse koblinger ved hjelp av Logic Apps, kan bruk av Logic Apps for koblingene være kostbart for store mengder data.
Vi anbefaler at du bare bruker denne metoden for datakilder med lavt volum eller beriker dataopplastingene.
Bruk én av følgende utløsere til å starte Logic Apps:
Utløse Beskrivelse En regelmessig oppgave Du kan for eksempel planlegge logic-appen for å hente data regelmessig fra bestemte filer, databaser eller eksterne API-er.
Hvis du vil ha mer informasjon, kan du se Opprette, planlegge og kjøre regelmessige oppgaver og arbeidsflyter i Azure Logic Apps.Behovsbetinget utløsing Kjør Logic App ved behov for manuell innsamling og testing av data.
Hvis du vil ha mer informasjon, kan du se anrops-, utløser- eller nestelogikkapper ved hjelp av HTTPS-endepunkter.HTTP/S-endepunkt Anbefalt for strømming, og hvis kildesystemet kan starte dataoverføringen.
Hvis du vil ha mer informasjon, kan du se Samtaletjeneste-endepunkter over HTTP eller HTTPS.Bruk en av Logic App-koblingene som leser informasjon for å få hendelsene dine. Eksempel:
Tips
Egendefinerte koblinger til REST-API-er, SQL-servere og filsystemer støtter også henting av data fra lokale datakilder. Hvis du vil ha mer informasjon, kan du se Installer lokal datagatewaydokumentasjon .
Klargjør informasjonen du vil hente.
Bruk for eksempel JSON-handlingen analyser for å få tilgang til egenskaper i JSON-innhold, slik at du kan velge disse egenskapene fra den dynamiske innholdslisten når du angir inndata for Logic App.
Hvis du vil ha mer informasjon, kan du se Utføre dataoperasjoner i Azure Logic Apps.
Skriv dataene til Log Analytics.
Hvis du vil ha mer informasjon, kan du se dokumentasjonen for Azure Log Analytics Data Collector.
Hvis du vil ha eksempler på hvordan du kan opprette en egendefinert kobling for Microsoft Sentinel ved hjelp av Logic Apps, kan du se:
- Opprett et datasamlebånd med API-en for datainnsamling
- Palo Alto Prisma Logic App-kobling ved hjelp av en webhook (Microsoft Sentinel GitHub-fellesskapet)
- Sikre Microsoft Teams-samtaler med planlagt aktivering (blogg)
- Inntak AlienVault OTX trusselindikatorer i Microsoft Sentinel (blogg)
Koble til API-en for logginntak
Du kan strømme hendelser til Microsoft Sentinel ved å bruke API-en log analytics data collector til å kalle et RESTful-endepunkt direkte.
Selv om det å kalle et RESTful-endepunkt krever mer programmering direkte, gir det også mer fleksibilitet.
Hvis du vil ha mer informasjon, kan du se følgende artikler:
- Logginntaks-API i Azure Monitor.
- Eksempelkode for å sende data til Azure Monitor ved hjelp av Logs-inntaks-API.
Koble til med Azure Functions
Bruk Azure Functions sammen med en RESTful-API og ulike kodespråk, for eksempel PowerShell, til å opprette en serverløs egendefinert kobling.
Hvis du vil ha eksempler på denne metoden, kan du se:
- Koble VMware Carbon Black Cloud-endepunktet Standard til Microsoft Sentinel med Azure Function
- Koble Okta Single-Sign-On til Microsoft Sentinel med Azure Function
- Koble Proofpoint TAP til Microsoft Sentinel med Azure Function
- Koble din Qualys VM til Microsoft Sentinel med Azure Function
- Inntak av XML, CSV eller andre dataformater
- Overvåke zoom med Microsoft Sentinel (blogg)
- Distribuer en funksjonsapp for å hente API-data Office 365 management til Microsoft Sentinel (Microsoft Sentinel GitHub-fellesskapet)
Analysere egendefinerte koblingsdata
Hvis du vil dra nytte av dataene som samles inn med den egendefinerte koblingen, kan du utvikle ASIM-analyser (Advanced Security Information Model) for å arbeide med koblingen. Bruk av ASIM gjør det mulig for Microsoft Sentinel innebygde innhold å bruke egendefinerte data og gjør det enklere for analytikere å spørre etter dataene.
Hvis koblingsmetoden tillater det, kan du implementere en del av analysering som en del av koblingen for å forbedre ytelsen for spørringstidsanalyse:
- Hvis du har brukt Logstash, kan du bruke plugin-modulen for Grok-filter til å analysere dataene.
- Hvis du har brukt en Azure-funksjon, kan du analysere dataene med kode.
Du må fortsatt implementere ASIM-analyser, men implementering av en del av analyse direkte med koblingen forenkler analyse og forbedrer ytelsen.
Neste trinn
Bruk dataene som er inntatt i Microsoft Sentinel for å sikre miljøet med følgende prosesser: