Delen via


Resources voor het maken van aangepaste Microsoft Sentinel-connectors

Microsoft Sentinel biedt een breed scala aan ingebouwde connectors voor Azure-services en externe oplossingen, en ondersteunt ook het opnemen van gegevens uit sommige bronnen zonder een toegewezen connector.

Als u uw gegevensbron niet kunt verbinden met Microsoft Sentinel met behulp van een van de bestaande oplossingen die beschikbaar zijn, kunt u overwegen om uw eigen gegevensbronconnector te maken.

Zie het blogbericht Microsoft Sentinel: The connectors grand (CEF, Syslog, Direct, Agent, Custom en meer) voor een volledige lijst met ondersteunde connectors.

Aangepaste connectormethoden vergelijken

De volgende tabel vergelijkt essentiële details over elke methode voor het maken van aangepaste connectors die in dit artikel worden beschreven. Selecteer de koppelingen in de tabel voor meer informatie over elke methode.

Methodebeschrijving Mogelijkheid Serverloos Complexiteit
Platform voor codeloze connectors (CCP)
Het beste voor minder technische doelgroepen om SaaS-connectors te maken met behulp van een configuratiebestand in plaats van geavanceerde ontwikkeling.
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. Yes Lage; eenvoudige, codeloze ontwikkeling
Log Analytics-agent
Geschikt voor het verzamelen van bestanden van on-premises en IaaS-bronnen
Alleen bestandsverzameling No Beperkt
Logstash
Geschikt voor on-premises en IaaS-bronnen, elke bron waarvoor een invoegtoepassing beschikbaar is en organisaties die al bekend zijn met Logstash
Beschikbare invoegtoepassingen, plus aangepaste invoegtoepassingen, mogelijkheden bieden aanzienlijke flexibiliteit. No; vereist dat een VM of VM-cluster wordt uitgevoerd Lage; ondersteunt veel scenario's met invoegtoepassingen
Logic Apps
Hoge kosten; vermijden voor gegevens met een hoog volume
Geschikt voor cloudbronnen met een laag volume
Programmeren zonder code zorgt voor beperkte flexibiliteit, zonder ondersteuning voor het implementeren van algoritmen.

Als er geen beschikbare actie al ondersteuning biedt voor uw vereisten, kan het maken van een aangepaste actie complexer worden.
Yes Lage; eenvoudige, codeloze ontwikkeling
PowerShell
Geschikt voor prototypen en periodieke bestandsuploads
Directe ondersteuning voor het verzamelen van bestanden.

PowerShell kan worden gebruikt om meer bronnen te verzamelen, maar hiervoor moet het script worden gecodeerd en geconfigureerd als een service.
No Beperkt
Log Analytics-API
Het beste voor ISV's die integratie implementeren en voor unieke verzamelingsvereisten
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. Afhankelijk van de implementatie Hoog
Azure Functions
Geschikt voor cloudbronnen met een hoog volume en voor unieke verzamelingsvereisten
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. Yes Hoge; vereist programmeerkennis

Tip

Voor vergelijkingen van het gebruik van Logic Apps en Azure Functions voor dezelfde connector raadpleegt u:

Verbinding maken met het codeloze connectorplatform

Het Codeless Connector Platform (CCP) biedt een configuratiebestand dat kan worden gebruikt door zowel klanten als partners en vervolgens kan worden geïmplementeerd in uw eigen werkruimte of als een oplossing voor de galerie met microsoft Sentinel-oplossingen.

Connectors die zijn gemaakt met behulp van de CCP zijn volledig SaaS, zonder vereisten voor service-installaties, en bevatten ook statuscontrole en volledige ondersteuning van Microsoft Sentinel.

Zie Een connector zonder code maken voor Microsoft Sentinel voor meer informatie.

Verbinding maken met de Log Analytics-agent

Als uw gegevensbron gebeurtenissen in bestanden levert, raden we u aan de Azure Monitor Log Analytics-agent te gebruiken om uw aangepaste connector te maken.

Verbinding maken met Logstash

Als u bekend bent met Logstash, kunt u Logstash gebruiken met de Logstash-uitvoerinvoegtoepassing voor Microsoft Sentinel om uw aangepaste connector te maken.

Met de Microsoft Sentinel Logstash Output-invoegtoepassing kunt u alle Logstash-invoer- en filterinvoegtoepassingen gebruiken en Microsoft Sentinel configureren als uitvoer voor een Logstash-pijplijn. Logstash heeft een grote bibliotheek met invoegtoepassingen die invoer van verschillende bronnen mogelijk maken, zoals Event Hubs, Apache Kafka, Bestanden, Databases en Cloud-services. Gebruik filterinvoegtoepassingen om gebeurtenissen te parseren, onnodige gebeurtenissen te filteren, waarden te verbergen en meer.

Zie voor voorbeelden van het gebruik van Logstash als een aangepaste connector:

Zie voor voorbeelden van handige Logstash-invoegtoepassingen:

Tip

Logstash maakt ook geschaalde gegevensverzameling mogelijk met behulp van een cluster. Zie Using a load-balanced Logstash VM at scale (Een Logstash-VM op schaal met taakverdeling gebruiken) voor meer informatie.

Verbinding maken met Logic Apps

Gebruik Azure Logic Apps om een serverloze, aangepaste connector te maken voor Microsoft Sentinel.

Notitie

Hoewel het maken van serverloze connectors met Logic Apps handig kan zijn, kan het gebruik van Logic Apps voor uw connectors kostbaar zijn voor grote hoeveelheden gegevens.

We raden u aan deze methode alleen te gebruiken voor gegevensbronnen met een laag volume of voor het verrijken van uw gegevensuploads.

  1. Gebruik een van de volgende triggers om uw Logic Apps te starten:

    Trigger Description
    Een terugkerende taak Plan bijvoorbeeld uw logische app om regelmatig gegevens op te halen uit specifieke bestanden, databases of externe API's.
    Zie Terugkerende taken en werkstromen maken, plannen en uitvoeren in Azure Logic Apps voor meer informatie.
    Activeren op aanvraag Voer uw logische app op aanvraag uit voor het handmatig verzamelen en testen van gegevens.
    Zie Logische apps aanroepen, activeren of nesten met HTTPS-eindpunten voor meer informatie.
    HTTP/S-eindpunt Aanbevolen voor streaming en of het bronsysteem de gegevensoverdracht kan starten.
    Zie Service-eindpunten aanroepen via HTTP of HTTPs voor meer informatie.
  2. Gebruik een van de logic app-connectors die informatie lezen om uw gebeurtenissen op te halen. Bijvoorbeeld:

    Tip

    Aangepaste connectors voor REST API's, SQL-servers en bestandssystemen bieden ook ondersteuning voor het ophalen van gegevens uit on-premises gegevensbronnen. Zie Documentatie voor on-premises gegevensgateway installeren voor meer informatie.

  3. Bereid de informatie voor die u wilt ophalen.

    Gebruik bijvoorbeeld de actie JSON parseren om toegang te krijgen tot eigenschappen in JSON-inhoud, zodat u deze eigenschappen kunt selecteren in de lijst met dynamische inhoud wanneer u invoer voor uw logische app opgeeft.

    Zie Gegevensbewerkingen uitvoeren in Azure Logic Apps voor meer informatie.

  4. Schrijf de gegevens naar Log Analytics.

    Zie de documentatie van Azure Log Analytics Data Collector voor meer informatie.

Voor voorbeelden van hoe u een aangepaste connector voor Microsoft Sentinel kunt maken met behulp van Logic Apps, raadpleegt u:

Verbinding maken met PowerShell

Met het PowerShell-script Upload-AzMonitorLog kunt u PowerShell gebruiken om gebeurtenissen of contextinformatie vanaf de opdrachtregel naar Microsoft Sentinel te streamen. Met deze streaming wordt effectief een aangepaste connector gemaakt tussen uw gegevensbron en Microsoft Sentinel.

Met het volgende script wordt bijvoorbeeld een CSV-bestand geüpload naar Microsoft Sentinel:

Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"

Het PowerShell-script Upload-AzMonitorLog gebruikt de volgende parameters:

Parameter Beschrijving
WorkspaceId Uw Microsoft Sentinel-werkruimte-id, waarin u uw gegevens opslaat. Zoek uw werkruimte-id en -sleutel.
WorkspaceKey De primaire of secundaire sleutel voor de Microsoft Sentinel-werkruimte waarin u uw gegevens opslaat. Zoek uw werkruimte-id en -sleutel.
LogTypeName De naam van de aangepaste logboektabel waarin u de gegevens wilt opslaan. Er wordt automatisch een achtervoegsel van _CL toegevoegd aan het einde van de tabelnaam.
AddComputerName Wanneer deze parameter bestaat, voegt het script de huidige computernaam toe aan elke logboekrecord, in een veld met de naam Computer.
TaggedAzureResourceId Wanneer deze parameter bestaat, koppelt het script alle geüploade logboekrecords aan de opgegeven Azure-resource.

Deze koppeling maakt de geüploade logboekrecords mogelijk voor resourcecontextquery's en voldoet aan resourcegericht, op rollen gebaseerd toegangsbeheer.
AdditionalDataTaggingName Wanneer deze parameter bestaat, voegt het script een ander veld toe aan elke logboekrecord, met de geconfigureerde naam en de waarde die is geconfigureerd voor de parameter AdditionalDataTaggingValue .

In dit geval mag AdditionalDataTaggingValue niet leeg zijn.
AdditionalDataTaggingValue Wanneer deze parameter bestaat, voegt het script een ander veld toe aan elke logboekrecord, met de geconfigureerde waarde en de veldnaam geconfigureerd voor de parameter AdditionalDataTaggingName .

Als de parameter AdditionalDataTaggingName leeg is, maar een waarde is geconfigureerd, is de standaardveldnaam DataTagging.

Uw werkruimte-id en -sleutel zoeken

Zoek de details voor de parameters WorkspaceID en WorkspaceKey in Microsoft Sentinel:

  1. Selecteer in Microsoft Sentinel aan de linkerkant Instellingen en selecteer vervolgens het tabblad Werkruimte-instellingen .

  2. Selecteer onder Aan de slag met Log Analytics>1 Verbinding maken met een gegevensbron de optie Beheer van Windows- en Linux-agents.

  3. Zoek uw werkruimte-id, primaire sleutel en secundaire sleutel op de tabbladen Windows-servers .

Verbinding maken met de Log Analytics-API

U kunt gebeurtenissen streamen naar Microsoft Sentinel met behulp van de Log Analytics Data Collector-API om rechtstreeks een RESTful-eindpunt aan te roepen.

Hoewel het rechtstreeks aanroepen van een RESTful-eindpunt meer programmering vereist, biedt het ook meer flexibiliteit.

Zie de Log Analytics-gegevensverzamelaar-API voor meer informatie, met name de volgende voorbeelden:

Verbinding maken met Azure Functions

Gebruik Azure Functions samen met een RESTful-API en verschillende coderingstalen, zoals PowerShell, om een serverloze aangepaste connector te maken.

Zie voor voorbeelden van deze methode:

Uw aangepaste connectorgegevens parseren

Als u wilt profiteren van de gegevens die met uw aangepaste connector worden verzameld, ontwikkelt u ASIM-parsers (Advanced Security Information Model) om met uw connector te werken. Met behulp van ASIM kan de ingebouwde inhoud van Microsoft Sentinel uw aangepaste gegevens gebruiken en kunnen analisten eenvoudiger query's uitvoeren op de gegevens.

Als uw connectormethode dit toestaat, kunt u een deel van de parsering implementeren als onderdeel van de connector om de prestaties van het parseren van query's te verbeteren:

  • Als u Logstash hebt gebruikt, gebruikt u de Grok-filterinvoegtoepassing om uw gegevens te parseren.
  • Als u een Azure-functie hebt gebruikt, parseert u uw gegevens met code.

U moet nog steeds ASIM-parsers implementeren, maar het implementeren van een deel van de parsering rechtstreeks met de connector vereenvoudigt het parseren en verbetert de prestaties.

Volgende stappen

Gebruik de gegevens die zijn opgenomen in Microsoft Sentinel om uw omgeving te beveiligen met een van de volgende processen:

Meer informatie over een voorbeeld van het maken van een aangepaste connector voor het bewaken van zoom: Zoom bewaken met Microsoft Sentinel.