Resources voor het maken van aangepaste Microsoft Sentinel-connectors
Microsoft Sentinel biedt een breed scala aan ingebouwde connectors voor Azure-services en externe oplossingen, en ondersteunt ook het opnemen van gegevens uit sommige bronnen zonder een toegewezen connector.
Als u uw gegevensbron niet kunt verbinden met Microsoft Sentinel met behulp van een van de bestaande oplossingen die beschikbaar zijn, kunt u overwegen om uw eigen gegevensbronconnector te maken.
Zie het blogbericht Microsoft Sentinel: The connectors grand (CEF, Syslog, Direct, Agent, Custom en meer) voor een volledige lijst met ondersteunde connectors.
Aangepaste connectormethoden vergelijken
De volgende tabel vergelijkt essentiële details over elke methode voor het maken van aangepaste connectors die in dit artikel worden beschreven. Selecteer de koppelingen in de tabel voor meer informatie over elke methode.
| Methodebeschrijving | Mogelijkheid | Serverloos | Complexiteit |
|---|---|---|---|
| Platform voor codeloze connectors (CCP) Het beste voor minder technische doelgroepen om SaaS-connectors te maken met behulp van een configuratiebestand in plaats van geavanceerde ontwikkeling. |
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. | Yes | Lage; eenvoudige, codeloze ontwikkeling |
| Log Analytics-agent Geschikt voor het verzamelen van bestanden van on-premises en IaaS-bronnen |
Alleen bestandsverzameling | No | Beperkt |
| Logstash Geschikt voor on-premises en IaaS-bronnen, elke bron waarvoor een invoegtoepassing beschikbaar is en organisaties die al bekend zijn met Logstash |
Beschikbare invoegtoepassingen, plus aangepaste invoegtoepassingen, mogelijkheden bieden aanzienlijke flexibiliteit. | No; vereist dat een VM of VM-cluster wordt uitgevoerd | Lage; ondersteunt veel scenario's met invoegtoepassingen |
| Logic Apps Hoge kosten; vermijden voor gegevens met een hoog volume Geschikt voor cloudbronnen met een laag volume |
Programmeren zonder code zorgt voor beperkte flexibiliteit, zonder ondersteuning voor het implementeren van algoritmen. Als er geen beschikbare actie al ondersteuning biedt voor uw vereisten, kan het maken van een aangepaste actie complexer worden. |
Yes | Lage; eenvoudige, codeloze ontwikkeling |
| PowerShell Geschikt voor prototypen en periodieke bestandsuploads |
Directe ondersteuning voor het verzamelen van bestanden. PowerShell kan worden gebruikt om meer bronnen te verzamelen, maar hiervoor moet het script worden gecodeerd en geconfigureerd als een service. |
No | Beperkt |
| Log Analytics-API Het beste voor ISV's die integratie implementeren en voor unieke verzamelingsvereisten |
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. | Afhankelijk van de implementatie | Hoog |
| Azure Functions Geschikt voor cloudbronnen met een hoog volume en voor unieke verzamelingsvereisten |
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. | Yes | Hoge; vereist programmeerkennis |
Tip
Voor vergelijkingen van het gebruik van Logic Apps en Azure Functions voor dezelfde connector raadpleegt u:
- Snel opnemen Web Application Firewall logboeken bij Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub-community): Logic App-connector | Azure Function-connector
Verbinding maken met het codeloze connectorplatform
Het Codeless Connector Platform (CCP) biedt een configuratiebestand dat kan worden gebruikt door zowel klanten als partners en vervolgens kan worden geïmplementeerd in uw eigen werkruimte of als een oplossing voor de galerie met microsoft Sentinel-oplossingen.
Connectors die zijn gemaakt met behulp van de CCP zijn volledig SaaS, zonder vereisten voor service-installaties, en bevatten ook statuscontrole en volledige ondersteuning van Microsoft Sentinel.
Zie Een connector zonder code maken voor Microsoft Sentinel voor meer informatie.
Verbinding maken met de Log Analytics-agent
Als uw gegevensbron gebeurtenissen in bestanden levert, raden we u aan de Azure Monitor Log Analytics-agent te gebruiken om uw aangepaste connector te maken.
Zie Aangepaste logboeken verzamelen in Azure Monitor voor meer informatie.
Zie Het verzamelen van aangepaste JSON-gegevensbronnen met de Log Analytics-agent voor Linux in Azure Monitor voor een voorbeeld van deze methode.
Verbinding maken met Logstash
Als u bekend bent met Logstash, kunt u Logstash gebruiken met de Logstash-uitvoerinvoegtoepassing voor Microsoft Sentinel om uw aangepaste connector te maken.
Met de Microsoft Sentinel Logstash Output-invoegtoepassing kunt u alle Logstash-invoer- en filterinvoegtoepassingen gebruiken en Microsoft Sentinel configureren als uitvoer voor een Logstash-pijplijn. Logstash heeft een grote bibliotheek met invoegtoepassingen die invoer van verschillende bronnen mogelijk maken, zoals Event Hubs, Apache Kafka, Bestanden, Databases en Cloud-services. Gebruik filterinvoegtoepassingen om gebeurtenissen te parseren, onnodige gebeurtenissen te filteren, waarden te verbergen en meer.
Zie voor voorbeelden van het gebruik van Logstash als een aangepaste connector:
- Opsporing van Capital One-inbreuk-TTP's in AWS-logboeken met behulp van Microsoft Sentinel (blog)
- Implementatiehandleiding voor Radware Microsoft Sentinel
Zie voor voorbeelden van handige Logstash-invoegtoepassingen:
- Cloudwatch-invoegtoepassing voor invoer
- Azure Event Hubs-invoegtoepassing
- Google Cloud Storage-invoerinvoegtoepassing
- Google_pubsub invoegtoepassing voor invoer
Tip
Logstash maakt ook geschaalde gegevensverzameling mogelijk met behulp van een cluster. Zie Using a load-balanced Logstash VM at scale (Een Logstash-VM op schaal met taakverdeling gebruiken) voor meer informatie.
Verbinding maken met Logic Apps
Gebruik Azure Logic Apps om een serverloze, aangepaste connector te maken voor Microsoft Sentinel.
Notitie
Hoewel het maken van serverloze connectors met Logic Apps handig kan zijn, kan het gebruik van Logic Apps voor uw connectors kostbaar zijn voor grote hoeveelheden gegevens.
We raden u aan deze methode alleen te gebruiken voor gegevensbronnen met een laag volume of voor het verrijken van uw gegevensuploads.
Gebruik een van de volgende triggers om uw Logic Apps te starten:
Trigger Description Een terugkerende taak Plan bijvoorbeeld uw logische app om regelmatig gegevens op te halen uit specifieke bestanden, databases of externe API's.
Zie Terugkerende taken en werkstromen maken, plannen en uitvoeren in Azure Logic Apps voor meer informatie.Activeren op aanvraag Voer uw logische app op aanvraag uit voor het handmatig verzamelen en testen van gegevens.
Zie Logische apps aanroepen, activeren of nesten met HTTPS-eindpunten voor meer informatie.HTTP/S-eindpunt Aanbevolen voor streaming en of het bronsysteem de gegevensoverdracht kan starten.
Zie Service-eindpunten aanroepen via HTTP of HTTPs voor meer informatie.Gebruik een van de logic app-connectors die informatie lezen om uw gebeurtenissen op te halen. Bijvoorbeeld:
- Verbinding maken met een REST API
- Verbinding maken met een SQL Server
- Verbinding maken met een bestandssysteem
Tip
Aangepaste connectors voor REST API's, SQL-servers en bestandssystemen bieden ook ondersteuning voor het ophalen van gegevens uit on-premises gegevensbronnen. Zie Documentatie voor on-premises gegevensgateway installeren voor meer informatie.
Bereid de informatie voor die u wilt ophalen.
Gebruik bijvoorbeeld de actie JSON parseren om toegang te krijgen tot eigenschappen in JSON-inhoud, zodat u deze eigenschappen kunt selecteren in de lijst met dynamische inhoud wanneer u invoer voor uw logische app opgeeft.
Zie Gegevensbewerkingen uitvoeren in Azure Logic Apps voor meer informatie.
Schrijf de gegevens naar Log Analytics.
Zie de documentatie van Azure Log Analytics Data Collector voor meer informatie.
Voor voorbeelden van hoe u een aangepaste connector voor Microsoft Sentinel kunt maken met behulp van Logic Apps, raadpleegt u:
- Een gegevenspijplijn maken met de Gegevensverzamelaar-API
- Palo Alto Prisma Logic App-connector met behulp van een webhook (Microsoft Sentinel GitHub-community)
- Uw Gesprekken in Microsoft Teams beveiligen met geplande activering (blog)
- Opname van AlienVault OTX-bedreigingsindicatoren in Microsoft Sentinel (blog)
Verbinding maken met PowerShell
Met het PowerShell-script Upload-AzMonitorLog kunt u PowerShell gebruiken om gebeurtenissen of contextinformatie vanaf de opdrachtregel naar Microsoft Sentinel te streamen. Met deze streaming wordt effectief een aangepaste connector gemaakt tussen uw gegevensbron en Microsoft Sentinel.
Met het volgende script wordt bijvoorbeeld een CSV-bestand geüpload naar Microsoft Sentinel:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
Het PowerShell-script Upload-AzMonitorLog gebruikt de volgende parameters:
| Parameter | Beschrijving |
|---|---|
| WorkspaceId | Uw Microsoft Sentinel-werkruimte-id, waarin u uw gegevens opslaat. Zoek uw werkruimte-id en -sleutel. |
| WorkspaceKey | De primaire of secundaire sleutel voor de Microsoft Sentinel-werkruimte waarin u uw gegevens opslaat. Zoek uw werkruimte-id en -sleutel. |
| LogTypeName | De naam van de aangepaste logboektabel waarin u de gegevens wilt opslaan. Er wordt automatisch een achtervoegsel van _CL toegevoegd aan het einde van de tabelnaam. |
| AddComputerName | Wanneer deze parameter bestaat, voegt het script de huidige computernaam toe aan elke logboekrecord, in een veld met de naam Computer. |
| TaggedAzureResourceId | Wanneer deze parameter bestaat, koppelt het script alle geüploade logboekrecords aan de opgegeven Azure-resource. Deze koppeling maakt de geüploade logboekrecords mogelijk voor resourcecontextquery's en voldoet aan resourcegericht, op rollen gebaseerd toegangsbeheer. |
| AdditionalDataTaggingName | Wanneer deze parameter bestaat, voegt het script een ander veld toe aan elke logboekrecord, met de geconfigureerde naam en de waarde die is geconfigureerd voor de parameter AdditionalDataTaggingValue . In dit geval mag AdditionalDataTaggingValue niet leeg zijn. |
| AdditionalDataTaggingValue | Wanneer deze parameter bestaat, voegt het script een ander veld toe aan elke logboekrecord, met de geconfigureerde waarde en de veldnaam geconfigureerd voor de parameter AdditionalDataTaggingName . Als de parameter AdditionalDataTaggingName leeg is, maar een waarde is geconfigureerd, is de standaardveldnaam DataTagging. |
Uw werkruimte-id en -sleutel zoeken
Zoek de details voor de parameters WorkspaceID en WorkspaceKey in Microsoft Sentinel:
Selecteer in Microsoft Sentinel aan de linkerkant Instellingen en selecteer vervolgens het tabblad Werkruimte-instellingen .
Selecteer onder Aan de slag met Log Analytics>1 Verbinding maken met een gegevensbron de optie Beheer van Windows- en Linux-agents.
Zoek uw werkruimte-id, primaire sleutel en secundaire sleutel op de tabbladen Windows-servers .
Verbinding maken met de Log Analytics-API
U kunt gebeurtenissen streamen naar Microsoft Sentinel met behulp van de Log Analytics Data Collector-API om rechtstreeks een RESTful-eindpunt aan te roepen.
Hoewel het rechtstreeks aanroepen van een RESTful-eindpunt meer programmering vereist, biedt het ook meer flexibiliteit.
Zie de Log Analytics-gegevensverzamelaar-API voor meer informatie, met name de volgende voorbeelden:
Verbinding maken met Azure Functions
Gebruik Azure Functions samen met een RESTful-API en verschillende coderingstalen, zoals PowerShell, om een serverloze aangepaste connector te maken.
Zie voor voorbeelden van deze methode:
- Uw VMware Carbon Black Cloud Endpoint Standard verbinden met Microsoft Sentinel met Azure Function
- Uw Okta Single Sign-On verbinden met Microsoft Sentinel met Azure Function
- Uw Proofpoint TAP verbinden met Microsoft Sentinel met Azure Function
- Uw Qualys-VM verbinden met Microsoft Sentinel met Azure Function
- Opname van XML, CSV of andere indelingen van gegevens
- Zoom bewaken met Microsoft Sentinel (blog)
- Een functie-app implementeren voor het ophalen van Office 365 Management API-gegevens in Microsoft Sentinel (Microsoft Sentinel GitHub-community)
Uw aangepaste connectorgegevens parseren
Als u wilt profiteren van de gegevens die met uw aangepaste connector worden verzameld, ontwikkelt u ASIM-parsers (Advanced Security Information Model) om met uw connector te werken. Met behulp van ASIM kan de ingebouwde inhoud van Microsoft Sentinel uw aangepaste gegevens gebruiken en kunnen analisten eenvoudiger query's uitvoeren op de gegevens.
Als uw connectormethode dit toestaat, kunt u een deel van de parsering implementeren als onderdeel van de connector om de prestaties van het parseren van query's te verbeteren:
- Als u Logstash hebt gebruikt, gebruikt u de Grok-filterinvoegtoepassing om uw gegevens te parseren.
- Als u een Azure-functie hebt gebruikt, parseert u uw gegevens met code.
U moet nog steeds ASIM-parsers implementeren, maar het implementeren van een deel van de parsering rechtstreeks met de connector vereenvoudigt het parseren en verbetert de prestaties.
Volgende stappen
Gebruik de gegevens die zijn opgenomen in Microsoft Sentinel om uw omgeving te beveiligen met een van de volgende processen:
- Inzicht krijgen in waarschuwingen
- Uw gegevens visualiseren en bewaken
- Incidenten onderzoeken
- Bedreigingen detecteren
- Bedreigingspreventie automatiseren
- Bedreigingen opsporen
Meer informatie over een voorbeeld van het maken van een aangepaste connector voor het bewaken van zoom: Zoom bewaken met Microsoft Sentinel.