Delen via


Resources voor het maken van aangepaste Microsoft Sentinel-connectors

Microsoft Sentinel biedt een breed scala aan kant-en-klare connectors voor Azure-services en externe oplossingen en biedt ook ondersteuning voor het opnemen van gegevens uit sommige bronnen zonder een toegewezen connector.

Als u uw gegevensbron niet kunt verbinden met Microsoft Sentinel met behulp van een van de beschikbare bestaande oplossingen, kunt u overwegen om uw eigen gegevensbronconnector te maken.

Zie de microsoft Sentinel-gegevensconnector zoeken voor een volledige lijst met ondersteunde connectors.

Aangepaste connectormethoden vergelijken

De volgende tabel vergelijkt essentiële details over elke methode voor het maken van aangepaste connectors die in dit artikel worden beschreven. Selecteer de koppelingen in de tabel voor meer informatie over elke methode.

Beschrijving van methode Mogelijkheid Serverloos Complexiteit
Codeless Connector Platform (CCP)
Het meest geschikt voor minder technische doelgroepen om SaaS-connectors te maken met behulp van een configuratiebestand in plaats van geavanceerde ontwikkeling.
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. Ja Laag; eenvoudige, codeloze ontwikkeling
Azure Monitor-agent
Het meest geschikt voor het verzamelen van bestanden uit on-premises en IaaS-bronnen
Bestandsverzameling, gegevenstransformatie Nee Beperkt
Logstash
Het meest geschikt voor on-premises en IaaS-bronnen, elke bron waarvoor een invoegtoepassing beschikbaar is en organisaties die al bekend zijn met Logstash
Ondersteunt alle mogelijkheden van de Azure Monitor-agent Nee; vereist dat een VM- of VM-cluster wordt uitgevoerd Laag; ondersteunt veel scenario's met invoegtoepassingen
Logic-apps
Hoge kosten; vermijden voor gegevens met een hoog volume
Het beste voor cloudbronnen met een laag volume
Programmeren zonder code biedt beperkte flexibiliteit, zonder ondersteuning voor het implementeren van algoritmen.

Als er geen beschikbare actie al ondersteuning biedt voor uw vereisten, kan het maken van een aangepaste actie complexiteit toevoegen.
Ja Laag; eenvoudige, codeloze ontwikkeling
Logboekopname-API in Azure Monitor
Het meest geschikt voor ISV's die integratie implementeren en voor unieke verzamelingsvereisten
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. Afhankelijk van de implementatie Hoog
Azure Functions
Het meest geschikt voor cloudbronnen met een hoog volume en voor unieke verzamelingsvereisten
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. Ja Hoog; vereist programmeerkennis

Tip

Zie voor vergelijkingen van het gebruik van Logic Apps en Azure Functions voor dezelfde connector:

Verbinding maken met het Platform voor codeloze connectors

Het Codeless Connector Platform (CCP) biedt een configuratiebestand dat door zowel klanten als partners kan worden gebruikt en vervolgens in uw eigen werkruimte kan worden geïmplementeerd, of als een oplossing voor de inhoudshub van Microsoft Sentinel.

Connectors die zijn gemaakt met behulp van de CTP zijn volledig SaaS, zonder enige vereisten voor service-installaties, en omvatten ook statuscontrole en volledige ondersteuning van Microsoft Sentinel.

Zie Een connector zonder code maken voor Microsoft Sentinel voor meer informatie.

Verbinding maken met de Azure Monitor-agent

Als uw gegevensbron gebeurtenissen in tekstbestanden levert, raden we u aan de Azure Monitor-agent te gebruiken om uw aangepaste connector te maken.

Verbinding maken met Logstash

Als u bekend bent met Logstash, kunt u Logstash gebruiken met de Logstash-uitvoerinvoegtoepassing voor Microsoft Sentinel om uw aangepaste connector te maken.

Met de Microsoft Sentinel Logstash Output-invoegtoepassing kunt u alle Logstash-invoer- en filterinvoegtoepassingen gebruiken en Microsoft Sentinel configureren als uitvoer voor een Logstash-pijplijn. Logstash heeft een grote bibliotheek met invoegtoepassingen die invoer van verschillende bronnen mogelijk maken, zoals Event Hubs, Apache Kafka, Bestanden, Databases en Cloud-services. Gebruik filterinvoegtoepassingen om gebeurtenissen te parseren, onnodige gebeurtenissen te filteren, waarden te verdoezelen en meer.

Zie voor voorbeelden van het gebruik van Logstash als een aangepaste connector:

Zie voor voorbeelden van handige Logstash-invoegtoepassingen:

Tip

Logstash maakt ook het verzamelen van geschaalde gegevens mogelijk met behulp van een cluster. Zie Een logboekentash-VM met gelijke taakverdeling op schaal gebruiken voor meer informatie.

Verbinding maken met Logic Apps

Gebruik Azure Logic Apps om een serverloze, aangepaste connector voor Microsoft Sentinel te maken.

Notitie

Hoewel het maken van serverloze connectors met Logic Apps handig kan zijn, kan het gebruik van Logic Apps voor uw connectors kostbaar zijn voor grote hoeveelheden gegevens.

U wordt aangeraden deze methode alleen te gebruiken voor gegevensbronnen met een laag volume of om uw gegevensuploads te verrijken.

  1. Gebruik een van de volgende triggers om uw Logic Apps te starten:

    Activator Beschrijving
    Een terugkerende taak Plan bijvoorbeeld uw logische app om regelmatig gegevens op te halen uit specifieke bestanden, databases of externe API's.
    Zie Terugkerende taken en werkstromen maken, plannen en uitvoeren in Azure Logic Apps voor meer informatie.
    On-demand triggering Voer uw logische app on-demand uit voor het handmatig verzamelen en testen van gegevens.
    Zie Logische apps aanroepen, activeren of nesten met HTTPS-eindpunten voor meer informatie.
    HTTP/S-eindpunt Aanbevolen voor streaming en als het bronsysteem de gegevensoverdracht kan starten.
    Zie Service-eindpunten aanroepen via HTTP of HTTPs voor meer informatie.
  2. Gebruik een van de logische App-connector s die informatie lezen om uw gebeurtenissen op te halen. Voorbeeld:

    Tip

    Aangepaste connectors voor REST API's, SQL-servers en bestandssystemen bieden ook ondersteuning voor het ophalen van gegevens uit on-premises gegevensbronnen. Zie de documentatie over on-premises gegevensgateway installeren voor meer informatie.

  3. Bereid de informatie voor die u wilt ophalen.

    Gebruik bijvoorbeeld de JSON-actie parseren om toegang te krijgen tot eigenschappen in JSON-inhoud, zodat u deze eigenschappen kunt selecteren in de lijst met dynamische inhoud wanneer u invoer voor uw logische app opgeeft.

    Zie Gegevensbewerkingen uitvoeren in Azure Logic Apps voor meer informatie.

  4. Schrijf de gegevens naar Log Analytics.

    Zie de documentatie van Azure Log Analytics Data Collector voor meer informatie.

Zie voor voorbeelden van hoe u een aangepaste connector voor Microsoft Sentinel kunt maken met behulp van Logic Apps:

Verbinding maken met de API voor logboekopname

U kunt gebeurtenissen streamen naar Microsoft Sentinel met behulp van de Log Analytics Data Collector-API om rechtstreeks een RESTful-eindpunt aan te roepen.

Hoewel het aanroepen van een RESTful-eindpunt rechtstreeks meer programmering vereist, biedt het ook meer flexibiliteit.

Raadpleeg voor meer informatie de volgende artikelen:

Verbinding maken met Azure Functions

Gebruik Azure Functions samen met een RESTful-API en verschillende programmeertalen, zoals PowerShell, om een serverloze aangepaste connector te maken.

Zie voor voorbeelden van deze methode:

Uw aangepaste connectorgegevens parseren

Als u wilt profiteren van de gegevens die met uw aangepaste connector worden verzameld, ontwikkelt u ASIM-parsers (Advanced Security Information Model) om met uw connector te werken. Met behulp van ASIM kan de ingebouwde inhoud van Microsoft Sentinel uw aangepaste gegevens gebruiken en maakt het voor analisten gemakkelijker om query's uit te voeren op de gegevens.

Als uw connectormethode dit toestaat, kunt u een deel van de parsering implementeren als onderdeel van de connector om de prestaties van querytijdparsering te verbeteren:

  • Als u Logstash hebt gebruikt, gebruikt u de Grok-filterinvoegtoepassing om uw gegevens te parseren.
  • Als u een Azure-functie hebt gebruikt, parseert u uw gegevens met code.

U moet nog steeds ASIM-parsers implementeren, maar het rechtstreeks implementeren van een deel van de parsering met de connector vereenvoudigt het parseren en verbetert de prestaties.

Volgende stappen

Gebruik de gegevens die zijn opgenomen in Microsoft Sentinel om uw omgeving te beveiligen met een van de volgende processen: