Azure Functions gebruiken om Microsoft Sentinel te verbinden met uw gegevensbron

U kunt Azure Functions gebruiken in combinatie met verschillende programmeertalen, zoals PowerShell of Python, om een serverloze connector te maken voor de REST API-eindpunten van uw compatibele gegevensbronnen. Met Azure Function Apps kunt u Microsoft Sentinel verbinden met de REST API van uw gegevensbron om logboeken op te halen.

In dit artikel wordt beschreven hoe u Microsoft Sentinel configureert voor het gebruik van Azure Function Apps. Mogelijk moet u ook uw bronsysteem configureren en vindt u koppelingen naar leverancier- en productspecifieke informatiekoppelingen op de pagina van elke gegevensconnector in de portal of de sectie voor uw service op de referentiepagina van Microsoft Sentinel-gegevensconnectors.

Notitie

• Zodra gegevens zijn opgenomen in Microsoft Sentinel, worden gegevens opgeslagen op de geografische locatie van de werkruimte waarin u Microsoft Sentinel uitvoert.

  Voor langetermijnretentie wilt u mogelijk ook gegevens opslaan in logboektypen, zoals hulplogboeken of basislogboeken. Zie Logboekretentieplannen in Microsoft Sentinel voor meer informatie.

• Het gebruik van Azure Functions om gegevens op te nemen in Microsoft Sentinel kan leiden tot extra kosten voor gegevensopname. Zie de pagina met prijzen van Azure Functions voor meer informatie.

Vereisten

Zorg ervoor dat u over de volgende machtigingen en referenties beschikt voordat u Azure Functions gebruikt om Microsoft Sentinel te verbinden met uw gegevensbron en de bijbehorende logboeken in Microsoft Sentinel op te halen:

• U moet lees- en schrijfmachtigingen hebben voor de Microsoft Sentinel-werkruimte.

• U moet leesmachtigingen hebben voor gedeelde sleutels voor de werkruimte. Meer informatie over werkruimtesleutels.

• U moet lees- en schrijfmachtigingen voor Azure Functions hebben om een functie-app te maken. Meer informatie over Azure Functions.

• U hebt ook referenties nodig voor toegang tot de API van het product: een gebruikersnaam en wachtwoord, een token, een sleutel of een andere combinatie. Mogelijk hebt u ook andere API-gegevens nodig, zoals een eindpunt-URI.

  Zie de documentatie voor de service waarmee u verbinding maakt en de sectie voor uw service op de referentiepagina voor Microsoft Sentinel-gegevensconnectors voor meer informatie.

• Installeer de oplossing die uw Op Azure Functions gebaseerde connector bevat vanuit de Content Hub in Microsoft Sentinel. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.

Uw gegevensbron configureren en verbinden

Notitie

• U kunt veilig werkruimte- en API-autorisatiesleutels of -tokens opslaan in Azure Key Vault. Azure Key Vault biedt een veilig mechanisme voor het opslaan en ophalen van sleutelwaarden. Volg deze instructies voor het gebruik van Azure Key Vault met een Azure Function-app.

• Sommige gegevensconnectors zijn afhankelijk van een parser op basis van een Kusto-functie om naar verwachting te werken. Zie de sectie voor uw service op de referentiepagina voor Microsoft Sentinel-gegevensconnectors voor koppelingen naar instructies voor het maken van de Kusto-functie en -alias.

Stap 1: De API-referenties van uw bronsysteem ophalen

Volg de instructies van uw bronsysteem om de API-referenties/autorisatiesleutels/tokens op te halen. Kopieer en plak ze in een tekstbestand voor later gebruik.

U vindt details over de exacte referenties die u nodig hebt, en koppelingen naar de instructies van uw product voor het zoeken of maken ervan, op de pagina gegevensconnector in de portal en in de sectie voor uw service op de referentiepagina van Microsoft Sentinel-gegevensconnectors.

Mogelijk moet u ook logboekregistratie of andere instellingen op uw bronsysteem configureren. U vindt de relevante instructies samen met de instructies in de voorgaande alinea.

Stap 2: de connector en de bijbehorende Azure Function-app implementeren

Een implementatieoptie kiezen

Azure Resource Manager (ARM)-sjabloon

Deze methode biedt een geautomatiseerde implementatie van uw Azure Function-connector met behulp van een ARM-sjabloon.

1. Selecteer gegevensconnectors in de Microsoft Sentinel-portal. Selecteer uw op Azure Functions gebaseerde connector in de lijst en open vervolgens de connectorpagina.

2. Kopieer onder Configuratie de werkruimte-id en primaire sleutel van Microsoft Sentinel en plak deze apart.

3. Selecteer Implementeren in Azure. (Mogelijk moet u omlaag schuiven om de knop te vinden.)

4. Het scherm Aangepaste implementatie wordt weergegeven.

   • Selecteer een abonnement, resourcegroep en regio waarin u uw functie-app wilt implementeren.

   • Voer uw API-referenties/autorisatiesleutels/tokens in die u in stap 1 hierboven hebt opgeslagen.

   • Voer uw Microsoft Sentinel-werkruimte-id en werkruimtesleutel (primaire sleutel) in die u hebt gekopieerd en opzij hebt gezet.

     Notitie

     Als u Azure Key Vault-geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het @Microsoft.KeyVault(SecretUri={Security Identifier}) schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie voor Key Vault-verwijzingen voor meer informatie.

   • Vul alle andere velden in het formulier in op het scherm Aangepaste implementatie . Zie de pagina voor de gegevensconnector in de portal of de sectie voor uw service op de referentiepagina voor Microsoft Sentinel-gegevensconnectors.

   • Selecteer Controleren + maken. Wanneer de validatie is voltooid, selecteert u Maken.

Handmatige implementatie met PowerShell

Gebruik de volgende stapsgewijze instructies om handmatig op Azure Functions gebaseerde connectors te implementeren die gebruikmaken van PowerShell-functies.

1. Selecteer gegevensconnectors in de Microsoft Sentinel-portal. Selecteer uw op Azure Functions gebaseerde connector in de lijst en open vervolgens de connectorpagina.

2. Kopieer onder Configuratie de werkruimte-id en primaire sleutel van Microsoft Sentinel en plak deze apart.

3. Een functie-app maken

   1. Zoek en selecteer functie-app in Azure Portal.

   2. Selecteer Maken op de pagina Functie-app. De wizard Functie-app maken wordt geopend.

   3. Op het tabblad Basis:

      • Selecteer een abonnement en resourcegroep.
      • Geef uw functie-app een naam.
      • Stel runtimestack in op PowerShell Core.
      • Selecteer het juiste versienummer.
      • Selecteer de regio waarin u wilt implementeren en selecteer vervolgens Volgende: Hosting.

   4. Op het tabblad Hosting :

      • Kies het opslagaccount dat u wilt gebruiken of maak een nieuw account.
      • Selecteer Verbruik (serverloos) als type abonnement.

   5. Breng eventuele andere configuratiewijzigingen aan die u nodig hebt en selecteer Vervolgens Beoordelen en maken.

   6. Wacht totdat het bericht Validatie is geslaagd en selecteer Vervolgens Maken.

   7. Wanneer de implementatie is voltooid, selecteert u Ga naar de resource.

4. Functie-app-code importeren

   1. Selecteer Functies in het navigatiemenu in de zojuist gemaakte functie-app.

   2. Selecteer + Toevoegen op de pagina Functies.

   3. Selecteer in het deelvenster Functie toevoegen de timertrigger .

   4. Voer een unieke naam in voor uw functie en voer een cron-expressie in om het schema op te geven. Het standaardinterval is elke 5 minuten.

   5. Wanneer de functie is gemaakt, selecteert u Code + Test in het linkerdeelvenster.

   6. Download de functie-appcode die is geleverd door de leverancier van uw bronsysteem en kopieer en plak deze in de function-app-editor run.ps1 , waarbij u de standaardinstelling vervangt. U vindt de downloadkoppeling op de connectorpagina of in de sectie voor uw service op de referentiepagina van Microsoft Sentinel-gegevensconnectors.

   7. Selecteer Opslaan.

5. De functie-app configureren

   1. Selecteer Op de pagina van uw functie-app de optie Configuratie onder Instellingen in het navigatiemenu.

   2. Selecteer + Nieuwe toepassingsinstelling op het tabblad Toepassingsinstellingen.

   3. Voeg de voorgeschreven toepassingsinstellingen voor uw product afzonderlijk toe, met hun respectieve hoofdlettergevoelige tekenreekswaarden. Zie de pagina met gegevensconnectors of de sectie van uw product van de sectie voor uw service op de referentiepagina voor Microsoft Sentinel-gegevensconnectors.

      Tip

      Gebruik indien van toepassing de toepassingsinstelling logAnalyticsUri om het eindpunt van de Log Analytics-API te overschrijven als u een toegewezen cloud gebruikt. Als u bijvoorbeeld de openbare cloud gebruikt, laat u de waarde leeg. geef voor de Azure GovUS-cloudomgeving de waarde op in de volgende indeling: https://<CustomerId>.ods.opinsights.azure.us

Handmatige implementatie met Python

Gebruik de volgende stapsgewijze instructies om handmatig op Azure Functions gebaseerde connectors te implementeren die gebruikmaken van Python-functies. Voor dit type implementatie is Visual Studio Code vereist.

1. Selecteer gegevensconnectors in de Microsoft Sentinel-portal. Selecteer uw op Azure Functions gebaseerde connector in de lijst en open vervolgens de connectorpagina.

2. Kopieer onder Configuratie de werkruimte-id en primaire sleutel van Microsoft Sentinel en plak deze apart.

3. Een functie-app implementeren

   Notitie

   U moet Visual Studio Code (VS Code) voorbereiden voor azure-functieontwikkeling.

   1. Download het Azure Function App-bestand met behulp van de koppeling die is opgegeven op de pagina gegevensconnector en in de sectie voor uw service op de referentiepagina voor Microsoft Sentinel-gegevensconnectors. Pak het archief uit op uw lokale ontwikkelcomputer.

   2. Start VS Code. Selecteer in de menubalk de map Bestand > openen....

   3. Selecteer de map op het hoogste niveau uit de bestanden die zijn geëxtraheerd uit het archief.

   4. Kies het Azure-pictogram in de VS Code-activiteitsbalk (aan de linkerkant). Kies vervolgens in het gebied Azure: Functions de knop Implementeren naar functie-app .

      Notitie

      Als u nog niet bent aangemeld, kiest u het Azure-pictogram op de activiteitenbalk. Kies vervolgens in het gebied Azure: Functions de optie Aanmelden bij Azure.
      Als u al bent aangemeld, gaat u naar de volgende stap.

   5. Geef de volgende informatie op bij de prompts:

      • Map selecteren: Kies een map in uw werkruimte of blader naar een map die uw functie-app bevat.
      • Selecteer het abonnement: kies het abonnement dat u wilt gebruiken.
      • Selecteer Nieuwe functie-app maken in Azure. (Kies niet de Geavanceerde optie.)
      • Voer een wereldwijd unieke naam in voor de functie-app: Geef uw functie-app een naam die geldig is in een URL-pad. De naam die u kiest, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions.
      • Selecteer een runtime: Kies Python 3.8.

   6. De implementatie wordt gestart. Nadat de functie-app is gemaakt en het implementatiepakket is toegepast, wordt er een melding weergegeven.

   7. Ga terug naar de pagina van uw functie-app voor configuratie.

4. De functie-app configureren

   1. Selecteer Op de pagina van uw functie-app de optie Configuratie onder Instellingen in het navigatiemenu.

   2. Selecteer + Nieuwe toepassingsinstelling op het tabblad Toepassingsinstellingen.

   3. Voeg de voorgeschreven toepassingsinstellingen voor uw product afzonderlijk toe, met hun respectieve hoofdlettergevoelige tekenreekswaarden. Zie de pagina voor de gegevensconnector of de sectie voor uw service op de referentiepagina voor Microsoft Sentinel-gegevensconnectors voor de toepassingsinstellingen die u wilt toevoegen.

      • Gebruik indien van toepassing de toepassingsinstelling logAnalyticsUri om het eindpunt van de Log Analytics-API te overschrijven als u een toegewezen cloud gebruikt. Als u bijvoorbeeld de openbare cloud gebruikt, laat u de waarde leeg. geef voor de Azure GovUS-cloudomgeving de waarde op in de volgende indeling: https://<CustomerId>.ods.opinsights.azure.us

Uw gegevens zoeken

Nadat een geslaagde verbinding tot stand is gebracht, worden de gegevens weergegeven in logboeken onder CustomLogs, in de tabellen die worden vermeld in de sectie voor uw service op de referentiepagina van Microsoft Sentinel-gegevensconnectors.

Als u een query wilt uitvoeren op gegevens, voert u een van deze tabelnamen (of de relevante Kusto-functiealias) in het queryvenster in.

Zie het tabblad Volgende stappen op de connectorpagina voor enkele nuttige voorbeeldquery's.

Connectiviteit valideren

Het kan tot 20 minuten duren voordat uw logboeken worden weergegeven in Log Analytics.

Volgende stappen

In dit document hebt u geleerd hoe u Microsoft Sentinel verbindt met uw gegevensbron met behulp van Azure Functions-connectors. Zie de volgende artikelen voor meer informatie over Microsoft Sentinel:

• Meer informatie over hoe u inzicht krijgt in uw gegevens en potentiële bedreigingen.
• Ga aan de slag met het detecteren van bedreigingen met Microsoft Sentinel.
• Werkmappen gebruiken om uw gegevens te bewaken.