Gebruik Azure Functions om Microsoft Sentinel te verbinden met uw gegevensbron
U kunt Azure Functions gebruiken in combinatie met verschillende programmeertalen, zoals PowerShell of Python, om een serverloze connector te maken voor de REST API-eindpunten van uw compatibele gegevensbronnen. Met Azure Function Apps kunt u vervolgens Microsoft Sentinel verbinden met de REST API van uw gegevensbron om logboeken op te halen.
In dit artikel wordt beschreven hoe u Microsoft Sentinel configureert voor het gebruik van Azure-functie-apps. Mogelijk moet u ook uw bronsysteem configureren en vindt u koppelingen naar leverancier- en productspecifieke informatie op de pagina van elke gegevensconnector in de portal of in de sectie voor uw service op de referentiepagina voor Microsoft Sentinel-gegevensconnectors .
Notitie
Na opname in Microsoft Sentinel worden gegevens opgeslagen op de geografische locatie van de werkruimte waarin u Microsoft Sentinel uitvoert.
Voor langetermijnretentie wilt u mogelijk ook gegevens opslaan in Azure Data Explorer. Zie Azure Data Explorer integreren voor meer informatie.
Het gebruik van Azure Functions om gegevens op te nemen in Microsoft Sentinel kan leiden tot extra kosten voor gegevensopname. Zie de pagina met prijzen voor Azure Functions voor meer informatie.
Vereisten
Zorg ervoor dat u over de volgende machtigingen en referenties beschikt voordat u Azure Functions gebruikt om Microsoft Sentinel te verbinden met uw gegevensbron en de logboeken ervan op te halen in Microsoft Sentinel:
U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.
U moet leesmachtigingen hebben voor gedeelde sleutels voor de werkruimte. Meer informatie over werkruimtesleutels.
U moet lees- en schrijfmachtigingen hebben voor Azure Functions om een functie-app te kunnen maken. Meer informatie over Azure Functions.
U hebt ook referenties nodig voor toegang tot de API van het product: een gebruikersnaam en wachtwoord, een token, een sleutel of een andere combinatie. Mogelijk hebt u ook andere API-gegevens nodig, zoals een eindpunt-URI.
Zie de documentatie voor de service waarmee u verbinding maakt en de sectie voor uw service op de referentiepagina microsoft Sentinel-gegevensconnectors voor meer informatie.
Installeer de oplossing die uw connector op basis van Azure Functions bevat vanuit de Content Hub in Microsoft Sentinel. Zie Out-of-the-box-inhoud van Microsoft Sentinel ontdekken en beheren voor meer informatie.
Uw gegevensbron configureren en verbinden
Notitie
U kunt werkruimte- en API-autorisatiesleutels of -tokens veilig opslaan in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.
Sommige gegevensconnectors zijn afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht. Zie de sectie voor uw service op de referentiepagina voor Microsoft Sentinel-gegevensconnectors voor koppelingen naar instructies voor het maken van de Kusto-functie en -alias.
Stap 1: haal de API-referenties van uw bronsysteem op
Volg de instructies van uw bronsysteem om de API-referenties/autorisatiesleutels/tokens op te halen. Kopieer en plak ze in een tekstbestand voor later gebruik.
U vindt details over de exacte referenties die u nodig hebt en koppelingen naar de instructies van uw product voor het vinden of maken ervan, op de gegevensconnectorpagina in de portal en in de sectie voor uw service op de referentiepagina voor Microsoft Sentinel-gegevensconnectors .
Mogelijk moet u ook logboekregistratie of andere instellingen op uw bronsysteem configureren. U vindt de relevante instructies samen met die in de vorige alinea.
Stap 2: de connector en de bijbehorende Azure-functie-app implementeren
Een implementatieoptie kiezen
- Azure Resource Manager (ARM)-sjabloon
- Handmatige implementatie met PowerShell
- Handmatige implementatie met Python
Deze methode biedt een geautomatiseerde implementatie van uw Azure Function-connector met behulp van een ARM-sjabloon.
Selecteer gegevensconnectors in de Microsoft Sentinel-portal. Selecteer uw op Azure Functions gebaseerde connector in de lijst en selecteer vervolgens de pagina Connector openen.
Kopieer onder Configuratie de werkruimte-id en primaire sleutel van Microsoft Sentinel en plak deze opzij.
Selecteer Implementeren in Azure. (Mogelijk moet u omlaag schuiven om de knop te vinden.)
Het scherm Aangepaste implementatie wordt weergegeven.
Selecteer een abonnement, resourcegroep en regio waarin u uw functie-app wilt implementeren.
Voer uw API-referenties/autorisatiesleutels/tokens in die u in stap 1 hierboven hebt opgeslagen.
Voer uw Microsoft Sentinel-werkruimte-id en werkruimtesleutel (primaire sleutel) in die u hebt gekopieerd en apart gezet.
Notitie
Als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het
@Microsoft.KeyVault(SecretUri={Security Identifier})
schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault documentatie voor verwijzingen voor meer informatie.Vul alle andere velden in het formulier in op het scherm Aangepaste implementatie . Zie de pagina van uw gegevensconnector in de portal of de sectie voor uw service op de referentiepagina microsoft Sentinel-gegevensconnectors .
Selecteer Controleren + maken. Wanneer de validatie is voltooid, selecteert u Maken.
Uw gegevens zoeken
Nadat een verbinding tot stand is gebracht, worden de gegevens weergegeven in Logboeken onder CustomLogs, in de tabellen die worden vermeld in de sectie voor uw service op de referentiepagina microsoft Sentinel-gegevensconnectors .
Als u een query wilt uitvoeren op gegevens, voert u een van deze tabelnamen of de relevante Kusto-functiealias in het queryvenster in.
Zie het tabblad Volgende stappen op de connectorpagina voor enkele nuttige voorbeeldquery's.
Connectiviteit valideren
Het kan tot 20 minuten duren voordat uw logboeken worden weergegeven in Log Analytics.
Volgende stappen
In dit document hebt u geleerd hoe u Microsoft Sentinel verbindt met uw gegevensbron met behulp van connectors op basis van Azure Functions. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:
- Meer informatie over hoe u inzicht krijgt in uw gegevens en mogelijke bedreigingen.
- Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
- Gebruik werkmappen om uw gegevens te bewaken.