Gebruik Azure Functions om Microsoft Sentinel te verbinden met uw gegevensbron

U kunt Azure Functions gebruiken in combinatie met verschillende programmeertalen, zoals PowerShell of Python, om een serverloze connector te maken voor de REST API-eindpunten van uw compatibele gegevensbronnen. Met Azure Function Apps kunt u vervolgens Microsoft Sentinel verbinden met de REST API van uw gegevensbron om logboeken op te halen.

In dit artikel wordt beschreven hoe u Microsoft Sentinel configureert voor het gebruik van Azure-functie-apps. Mogelijk moet u ook uw bronsysteem configureren en vindt u koppelingen naar leverancier- en productspecifieke informatie op de pagina van elke gegevensconnector in de portal of in de sectie voor uw service op de referentiepagina voor Microsoft Sentinel-gegevensconnectors .

Notitie

• Na opname in Microsoft Sentinel worden gegevens opgeslagen op de geografische locatie van de werkruimte waarin u Microsoft Sentinel uitvoert.

  Voor langetermijnretentie wilt u mogelijk ook gegevens opslaan in Azure Data Explorer. Zie Azure Data Explorer integreren voor meer informatie.

• Het gebruik van Azure Functions om gegevens op te nemen in Microsoft Sentinel kan leiden tot extra kosten voor gegevensopname. Zie de pagina met prijzen voor Azure Functions voor meer informatie.

Vereisten

Zorg ervoor dat u over de volgende machtigingen en referenties beschikt voordat u Azure Functions gebruikt om Microsoft Sentinel te verbinden met uw gegevensbron en de logboeken ervan op te halen in Microsoft Sentinel:

• U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.

• U moet leesmachtigingen hebben voor gedeelde sleutels voor de werkruimte. Meer informatie over werkruimtesleutels.

• U moet lees- en schrijfmachtigingen hebben voor Azure Functions om een functie-app te kunnen maken. Meer informatie over Azure Functions.

• U hebt ook referenties nodig voor toegang tot de API van het product: een gebruikersnaam en wachtwoord, een token, een sleutel of een andere combinatie. Mogelijk hebt u ook andere API-gegevens nodig, zoals een eindpunt-URI.

  Zie de documentatie voor de service waarmee u verbinding maakt en de sectie voor uw service op de referentiepagina microsoft Sentinel-gegevensconnectors voor meer informatie.

• Installeer de oplossing die uw connector op basis van Azure Functions bevat vanuit de Content Hub in Microsoft Sentinel. Zie Out-of-the-box-inhoud van Microsoft Sentinel ontdekken en beheren voor meer informatie.

Uw gegevensbron configureren en verbinden

Notitie

• U kunt werkruimte- en API-autorisatiesleutels of -tokens veilig opslaan in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies om Azure Key Vault te gebruiken met een Azure-functie-app.

• Sommige gegevensconnectors zijn afhankelijk van een parser op basis van een Kusto-functie om te werken zoals verwacht. Zie de sectie voor uw service op de referentiepagina voor Microsoft Sentinel-gegevensconnectors voor koppelingen naar instructies voor het maken van de Kusto-functie en -alias.

Stap 1: haal de API-referenties van uw bronsysteem op

Volg de instructies van uw bronsysteem om de API-referenties/autorisatiesleutels/tokens op te halen. Kopieer en plak ze in een tekstbestand voor later gebruik.

U vindt details over de exacte referenties die u nodig hebt en koppelingen naar de instructies van uw product voor het vinden of maken ervan, op de gegevensconnectorpagina in de portal en in de sectie voor uw service op de referentiepagina voor Microsoft Sentinel-gegevensconnectors .

Mogelijk moet u ook logboekregistratie of andere instellingen op uw bronsysteem configureren. U vindt de relevante instructies samen met die in de vorige alinea.

Stap 2: de connector en de bijbehorende Azure-functie-app implementeren

Een implementatieoptie kiezen

Azure Resource Manager (ARM)-sjabloon

Deze methode biedt een geautomatiseerde implementatie van uw Azure Function-connector met behulp van een ARM-sjabloon.

1. Selecteer gegevensconnectors in de Microsoft Sentinel-portal. Selecteer uw op Azure Functions gebaseerde connector in de lijst en selecteer vervolgens de pagina Connector openen.

2. Kopieer onder Configuratie de werkruimte-id en primaire sleutel van Microsoft Sentinel en plak deze opzij.

3. Selecteer Implementeren in Azure. (Mogelijk moet u omlaag schuiven om de knop te vinden.)

4. Het scherm Aangepaste implementatie wordt weergegeven.

   • Selecteer een abonnement, resourcegroep en regio waarin u uw functie-app wilt implementeren.

   • Voer uw API-referenties/autorisatiesleutels/tokens in die u in stap 1 hierboven hebt opgeslagen.

   • Voer uw Microsoft Sentinel-werkruimte-id en werkruimtesleutel (primaire sleutel) in die u hebt gekopieerd en apart gezet.

     Notitie

     Als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het @Microsoft.KeyVault(SecretUri={Security Identifier}) schema in plaats van de tekenreekswaarden. Raadpleeg Key Vault documentatie voor verwijzingen voor meer informatie.

   • Vul alle andere velden in het formulier in op het scherm Aangepaste implementatie . Zie de pagina van uw gegevensconnector in de portal of de sectie voor uw service op de referentiepagina microsoft Sentinel-gegevensconnectors .

   • Selecteer Controleren + maken. Wanneer de validatie is voltooid, selecteert u Maken.

Handmatige implementatie met PowerShell

Gebruik de volgende stapsgewijze instructies om handmatig Azure Functions-connectors te implementeren die gebruikmaken van PowerShell-functies.

1. Selecteer gegevensconnectors in de Microsoft Sentinel-portal. Selecteer uw op Azure Functions gebaseerde connector in de lijst en selecteer vervolgens de pagina Connector openen.

2. Kopieer onder Configuratie de werkruimte-id en primaire sleutel van Microsoft Sentinel en plak deze opzij.

3. Een functie-app maken

   1. Zoek en selecteer functie-app in de Azure Portal.

   2. Selecteer Maken op de pagina Functie-app. De wizard Functie-app maken wordt geopend.

   3. Op het tabblad Basis:

      • Selecteer een abonnement en resourcegroep.
      • Geef uw functie-app een naam.
      • Stel Runtimestack in op PowerShell Core.
      • Selecteer het juiste versienummer.
      • Selecteer de regio waarin u wilt implementeren en selecteer vervolgens Volgende : Hosting.

   4. Op het tabblad Hosting :

      • Kies het opslagaccount dat u wilt gebruiken of maak een nieuw account.
      • Selecteer Verbruik (serverloos) als abonnementstype.

   5. Breng eventuele andere configuratiewijzigingen aan die u nodig hebt en selecteer vervolgens Beoordelen en maken.

   6. Wacht totdat het bericht 'Validatie is geslaagd' wordt weergegeven en selecteer vervolgens Maken.

   7. Wanneer de implementatie is voltooid, selecteert u Ga naar resource.

4. Code van functie-app importeren

   1. Selecteer functies in het navigatiemenu in de zojuist gemaakte Functie-app.

   2. Selecteer + Toevoegen op de pagina Functies.

   3. Selecteer in het deelvenster Functie toevoegen de trigger Timer .

   4. Voer een unieke naam in voor uw functie en voer een cron-expressie in om de planning op te geven. Het standaardinterval is elke 5 minuten.

   5. Wanneer de functie is gemaakt, selecteert u Code + Test in het linkerdeelvenster.

   6. Download de code van de functie-app die is opgegeven door de leverancier van uw bronsysteem en kopieer en plak deze in de run.ps1-editor van de functie-app, waarbij u vervangt wat er standaard aanwezig is. U vindt de downloadkoppeling op de connectorpagina of in de sectie voor uw service op de referentiepagina microsoft Sentinel-gegevensconnectors .

   7. Selecteer Opslaan.

5. De functie-app configureren

   1. Selecteer configuratie onder Instellingen in het navigatiemenu op de pagina van uw functie-app.

   2. Selecteer op het tabblad Toepassingsinstellingende optie + Nieuwe toepassingsinstelling.

   3. Voeg de voorgeschreven toepassingsinstellingen voor uw product afzonderlijk toe, met hun respectieve hoofdlettergevoelige tekenreekswaarden. Zie de gegevensconnectorpagina of de sectie van uw product van de sectie voor uw service op de referentiepagina voor Microsoft Sentinel-gegevensconnectors .

      Tip

      Gebruik, indien van toepassing, de toepassingsinstelling logAnalyticsUri om het eindpunt van de Log Analytics-API te overschrijven als u een toegewezen cloud gebruikt. Als u bijvoorbeeld de openbare cloud gebruikt, laat u de waarde leeg; Voor de Azure GovUS-cloudomgeving geeft u de waarde op in de volgende indeling: https://<CustomerId>.ods.opinsights.azure.us.

Handmatige implementatie met Python

Gebruik de volgende stapsgewijze instructies om handmatig Azure Functions-connectors te implementeren die gebruikmaken van Python-functies. Voor dit type implementatie is Visual Studio Code vereist.

1. Selecteer gegevensconnectors in de Microsoft Sentinel-portal. Selecteer de connector op basis van Azure Functions in de lijst en klik vervolgens op De pagina Connector openen.

2. Kopieer onder Configuratie de werkruimte-id en primaire sleutel van Microsoft Sentinel en plak deze apart.

3. Een functie-app implementeren

   Notitie

   U moet Visual Studio Code (VS Code) voorbereiden op de ontwikkeling van Azure-functies.

   1. Download het azure-functie-app-bestand met behulp van de koppeling op de gegevensconnectorpagina en in de sectie voor uw service op de referentiepagina voor Microsoft Sentinel-gegevensconnectors . Pak het archief uit naar uw lokale ontwikkelcomputer.

   2. Start VS Code. Selecteer Bestand > geopende map... in de menubalk.

   3. Selecteer de map op het hoogste niveau uit de bestanden die zijn geëxtraheerd uit het archief.

   4. Kies het Azure-pictogram op de vs Code-activiteitsbalk (aan de linkerkant). Kies vervolgens in het gebied Azure: Functions de knop Implementeren naar functie-app .

      Notitie

      Als u nog niet bent aangemeld, kiest u het Azure-pictogram op de activiteitenbalk. Kies vervolgens in het gebied Azure: Functions de optie Aanmelden bij Azure.
      Als u al bent aangemeld, gaat u naar de volgende stap.

   5. Geef de volgende informatie op bij de prompts:

      • Map selecteren: kies een map in uw werkruimte of blader naar een map die uw functie-app bevat.
      • Selecteer abonnement: Kies het abonnement dat u wilt gebruiken.
      • Selecteer Nieuwe functie-app maken in Azure. (Kies niet de optie Geavanceerd .)
      • Voer een globaal unieke naam in voor de functie-app: Geef uw functie-app een naam die geldig is in een URL-pad. De naam die u kiest, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions.
      • Selecteer een runtime: kies Python 3.8.

   6. De implementatie wordt gestart. Nadat de functie-app is gemaakt en het implementatiepakket is toegepast, wordt er een melding weergegeven.

   7. Ga terug naar de pagina van uw functie-app voor configuratie.

4. De functie-app configureren

   1. Selecteer op de pagina van uw functie-app de optie Configuratie onder Instellingen in het navigatiemenu.

   2. Selecteer op het tabblad Toepassingsinstellingende optie + Nieuwe toepassingsinstelling.

   3. Voeg de voorgeschreven toepassingsinstellingen voor uw product afzonderlijk toe, met hun respectieve hoofdlettergevoelige tekenreekswaarden. Zie de pagina gegevensconnector of de sectie voor uw service op de referentiepagina microsoft Sentinel-gegevensconnectors voor de toepassingsinstellingen die u kunt toevoegen.

      • Gebruik, indien van toepassing, de toepassingsinstelling logAnalyticsUri om het eindpunt van de Log Analytics-API te overschrijven als u een toegewezen cloud gebruikt. Als u bijvoorbeeld de openbare cloud gebruikt, laat u de waarde leeg. voor de Azure GovUS-cloudomgeving geeft u de waarde op in de volgende indeling: https://<CustomerId>.ods.opinsights.azure.us.

Uw gegevens zoeken

Nadat een verbinding tot stand is gebracht, worden de gegevens weergegeven in Logboeken onder CustomLogs, in de tabellen die worden vermeld in de sectie voor uw service op de referentiepagina microsoft Sentinel-gegevensconnectors .

Als u een query wilt uitvoeren op gegevens, voert u een van deze tabelnamen of de relevante Kusto-functiealias in het queryvenster in.

Zie het tabblad Volgende stappen op de connectorpagina voor enkele nuttige voorbeeldquery's.

Connectiviteit valideren

Het kan tot 20 minuten duren voordat uw logboeken worden weergegeven in Log Analytics.

Volgende stappen

In dit document hebt u geleerd hoe u Microsoft Sentinel verbindt met uw gegevensbron met behulp van connectors op basis van Azure Functions. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Meer informatie over hoe u inzicht krijgt in uw gegevens en mogelijke bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
• Gebruik werkmappen om uw gegevens te bewaken.