Resources voor het maken van aangepaste Microsoft Sentinel-connectors
Microsoft Sentinel biedt een breed scala aan ingebouwde connectors voor Azure-services en externe oplossingen en biedt ook ondersteuning voor het opnemen van gegevens uit sommige bronnen zonder toegewezen connector.
Als u uw gegevensbron niet kunt verbinden met Microsoft Sentinel met behulp van een van de beschikbare bestaande oplossingen, kunt u overwegen om uw eigen gegevensbronconnector te maken.
Zie het blogbericht Microsoft Sentinel: The connectors grand (CEF, Syslog, Direct, Agent, Custom, and more) voor een volledige lijst met ondersteunde connectors.
Aangepaste connectormethoden vergelijken
De volgende tabel vergelijkt essentiële details over elke methode voor het maken van aangepaste connectors die in dit artikel worden beschreven. Selecteer de koppelingen in de tabel voor meer informatie over elke methode.
| Beschrijving van methode | Mogelijkheid | Serverloos | Complexiteit |
|---|---|---|---|
| Codeless Connector Platform (CCP) Het meest geschikt voor minder technische doelgroepen om SaaS-connectors te maken met behulp van een configuratiebestand in plaats van geavanceerde ontwikkeling. |
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. | Ja | Laag; eenvoudige, codeloze ontwikkeling |
| Log Analytics-agent Het meest geschikt voor het verzamelen van bestanden uit on-premises en IaaS-bronnen |
Alleen bestandsverzameling | Nee | Beperkt |
| Logstash Het meest geschikt voor on-premises en IaaS-bronnen, elke bron waarvoor een invoegtoepassing beschikbaar is en organisaties die al bekend zijn met Logstash |
Beschikbare invoegtoepassingen, plus aangepaste invoegtoepassingen, bieden aanzienlijke flexibiliteit. | Nee; vereist dat een VM- of VM-cluster wordt uitgevoerd | Laag; ondersteunt veel scenario's met invoegtoepassingen |
| Logic-apps Hoge kosten; vermijden voor gegevens met een hoog volume Het beste voor cloudbronnen met een laag volume |
Programmeren zonder code biedt beperkte flexibiliteit, zonder ondersteuning voor het implementeren van algoritmen. Als er geen beschikbare actie al ondersteuning biedt voor uw vereisten, kan het maken van een aangepaste actie complexiteit toevoegen. |
Ja | Laag; eenvoudige, codeloze ontwikkeling |
| Powershell Het meest geschikt voor prototypen en periodieke bestandsuploads |
Directe ondersteuning voor bestandsverzameling. PowerShell kan worden gebruikt om meer bronnen te verzamelen, maar vereist codering en configuratie van het script als een service. |
Nee | Beperkt |
| Log Analytics-API Het meest geschikt voor ISV's die integratie implementeren en voor unieke verzamelingsvereisten |
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. | Afhankelijk van de implementatie | Hoog |
| Azure Functions Het meest geschikt voor cloudbronnen met een hoog volume en voor unieke verzamelingsvereisten |
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. | Ja | Hoog; vereist programmeerkennis |
Tip
Zie voor vergelijkingen van het gebruik van Logic Apps en Azure Functions voor dezelfde connector:
- Fastly Web Application Firewall-logboeken opnemen in Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub-community): Logic App-connector | Azure Function-connector
Verbinding maken met het Platform voor codeloze connectors
Het Codeless Connector Platform (CCP) biedt een configuratiebestand dat door zowel klanten als partners kan worden gebruikt en vervolgens in uw eigen werkruimte kan worden geïmplementeerd, of als oplossing voor de galerie van de oplossing van Microsoft Sentinel.
Connectors die zijn gemaakt met behulp van de CTP zijn volledig SaaS, zonder enige vereisten voor service-installaties, en omvatten ook statuscontrole en volledige ondersteuning van Microsoft Sentinel.
Zie Een connector zonder code maken voor Microsoft Sentinel voor meer informatie.
Verbinding maken met de Log Analytics-agent
Als uw gegevensbron gebeurtenissen in bestanden levert, wordt u aangeraden de Azure Monitor Log Analytics-agent te gebruiken om uw aangepaste connector te maken.
Zie Aangepaste logboeken verzamelen in Azure Monitor voor meer informatie.
Zie Aangepaste JSON-gegevensbronnen verzamelen met de Log Analytics-agent voor Linux in Azure Monitor voor een voorbeeld van deze methode.
Verbinding maken met Logstash
Als u bekend bent met Logstash, kunt u Logstash gebruiken met de Logstash-uitvoerinvoegtoepassing voor Microsoft Sentinel om uw aangepaste connector te maken.
Met de Microsoft Sentinel Logstash Output-invoegtoepassing kunt u alle Logstash-invoer- en filterinvoegtoepassingen gebruiken en Microsoft Sentinel configureren als uitvoer voor een Logstash-pijplijn. Logstash heeft een grote bibliotheek met invoegtoepassingen die invoer van verschillende bronnen mogelijk maken, zoals Event Hubs, Apache Kafka, Bestanden, Databases en Cloud-services. Gebruik filterinvoegtoepassingen om gebeurtenissen te parseren, onnodige gebeurtenissen te filteren, waarden te verdoezelen en meer.
Zie voor voorbeelden van het gebruik van Logstash als een aangepaste connector:
- Jacht op Capital One-inbreuk-TTP's in AWS-logboeken met behulp van Microsoft Sentinel (blog)
- Implementatiehandleiding voor Radware Microsoft Sentinel
Zie voor voorbeelden van handige Logstash-invoegtoepassingen:
- Invoegtoepassing voor Cloudwatch-invoer
- Azure Event Hubs-invoegtoepassing
- Google Cloud Storage-invoerinvoegtoepassing
- Google_pubsub invoerinvoegtoepassing
Tip
Logstash maakt ook het verzamelen van geschaalde gegevens mogelijk met behulp van een cluster. Zie Een logboekentash-VM met gelijke taakverdeling op schaal gebruiken voor meer informatie.
Verbinding maken met Logic Apps
Gebruik Azure Logic Apps om een serverloze, aangepaste connector voor Microsoft Sentinel te maken.
Notitie
Hoewel het maken van serverloze connectors met Logic Apps handig kan zijn, kan het gebruik van Logic Apps voor uw connectors kostbaar zijn voor grote hoeveelheden gegevens.
U wordt aangeraden deze methode alleen te gebruiken voor gegevensbronnen met een laag volume of om uw gegevensuploads te verrijken.
Gebruik een van de volgende triggers om uw Logic Apps te starten:
Activator Beschrijving Een terugkerende taak Plan bijvoorbeeld uw logische app om regelmatig gegevens op te halen uit specifieke bestanden, databases of externe API's.
Zie Terugkerende taken en werkstromen maken, plannen en uitvoeren in Azure Logic Apps voor meer informatie.On-demand triggering Voer uw logische app on-demand uit voor het handmatig verzamelen en testen van gegevens.
Zie Logische apps aanroepen, activeren of nesten met HTTPS-eindpunten voor meer informatie.HTTP/S-eindpunt Aanbevolen voor streaming en als het bronsysteem de gegevensoverdracht kan starten.
Zie Service-eindpunten aanroepen via HTTP of HTTPs voor meer informatie.Gebruik een van de logische App-connector s die informatie lezen om uw gebeurtenissen op te halen. Voorbeeld:
- Verbinding maken met een REST API
- Verbinding maken met een SQL Server
- Verbinding maken met een bestandssysteem
Tip
Aangepaste connectors voor REST API's, SQL-servers en bestandssystemen bieden ook ondersteuning voor het ophalen van gegevens uit on-premises gegevensbronnen. Zie de documentatie over on-premises gegevensgateway installeren voor meer informatie.
Bereid de informatie voor die u wilt ophalen.
Gebruik bijvoorbeeld de JSON-actie parseren om toegang te krijgen tot eigenschappen in JSON-inhoud, zodat u deze eigenschappen kunt selecteren in de lijst met dynamische inhoud wanneer u invoer voor uw logische app opgeeft.
Zie Gegevensbewerkingen uitvoeren in Azure Logic Apps voor meer informatie.
Schrijf de gegevens naar Log Analytics.
Zie de documentatie van Azure Log Analytics Data Collector voor meer informatie.
Zie voor voorbeelden van hoe u een aangepaste connector voor Microsoft Sentinel kunt maken met behulp van Logic Apps:
- Een gegevenspijplijn maken met de Data Collector-API
- Palo Alto Prisma Logic App-connector met behulp van een webhook (Microsoft Sentinel GitHub-community)
- Beveilig uw Microsoft Teams-oproepen met geplande activering (blog)
- AlienVault OTX-bedreigingsindicatoren opnemen in Microsoft Sentinel (blog)
Verbinding maken met PowerShell
Met het PowerShell-script Upload-AzMonitorLog kunt u PowerShell gebruiken om gebeurtenissen of contextgegevens vanaf de opdrachtregel naar Microsoft Sentinel te streamen. Met deze streaming maakt u effectief een aangepaste connector tussen uw gegevensbron en Microsoft Sentinel.
Met het volgende script wordt bijvoorbeeld een CSV-bestand geüpload naar Microsoft Sentinel:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
Het script Upload-AzMonitorLog PowerShell gebruikt de volgende parameters:
| Parameter | Description |
|---|---|
| WorkspaceId | Uw Microsoft Sentinel-werkruimte-id, waar u uw gegevens opslaat. Zoek uw werkruimte-id en -sleutel. |
| WorkspaceKey | De primaire of secundaire sleutel voor de Microsoft Sentinel-werkruimte waar u uw gegevens opslaat. Zoek uw werkruimte-id en -sleutel. |
| LogTypeName | De naam van de aangepaste logboektabel waarin u de gegevens wilt opslaan. Er wordt automatisch een achtervoegsel van _CL toegevoegd aan het einde van de tabelnaam. |
| AddComputerName | Wanneer deze parameter bestaat, voegt het script de huidige computernaam toe aan elke logboekrecord, in een veld met de naam Computer. |
| TaggedAzureResourceId | Wanneer deze parameter bestaat, koppelt het script alle geüploade logboekrecords aan de opgegeven Azure-resource. Met deze koppeling kunnen de geüploade logboekrecords voor query's in de resourcecontext worden opgeslagen en voldoen aan resourcegericht, op rollen gebaseerd toegangsbeheer. |
| AdditionalDataTaggingName | Wanneer deze parameter bestaat, voegt het script een ander veld toe aan elke logboekrecord, met de geconfigureerde naam en de waarde die is geconfigureerd voor de parameter AdditionalDataTaggingValue . In dit geval mag AdditionalDataTaggingValue niet leeg zijn. |
| AdditionalDataTaggingValue | Wanneer deze parameter bestaat, voegt het script een ander veld toe aan elke logboekrecord, met de geconfigureerde waarde en de veldnaam die is geconfigureerd voor de parameter AdditionalDataTaggingName . Als de parameter AdditionalDataTaggingName leeg is, maar een waarde is geconfigureerd, is de standaardveldnaam DataTagging. |
Uw werkruimte-id en -sleutel zoeken
Zoek de details voor de parameters WorkspaceID en WorkspaceKey in Microsoft Sentinel:
Selecteer in Microsoft Sentinel instellingen aan de linkerkant en selecteer vervolgens het tabblad Werkruimte-instellingen.
Selecteer onder Aan de slag met Log Analytics>1 Verbinding maken met een gegevensbron de optie Beheer van Windows- en Linux-agents.
Zoek uw werkruimte-id, primaire sleutel en secundaire sleutel op de tabbladen Windows-servers .
Verbinding maken met de Log Analytics-API
U kunt gebeurtenissen streamen naar Microsoft Sentinel met behulp van de Log Analytics Data Collector-API om rechtstreeks een RESTful-eindpunt aan te roepen.
Hoewel het aanroepen van een RESTful-eindpunt rechtstreeks meer programmering vereist, biedt het ook meer flexibiliteit.
Zie de Log Analytics-gegevensverzamelaar-API voor meer informatie, met name de volgende voorbeelden:
Verbinding maken met Azure Functions
Gebruik Azure Functions samen met een RESTful-API en verschillende programmeertalen, zoals PowerShell, om een serverloze aangepaste connector te maken.
Zie voor voorbeelden van deze methode:
- Uw VMware Carbon Black Cloud Endpoint Standard verbinden met Microsoft Sentinel met Azure Function
- Uw Okta-eenmalige aanmelding verbinden met Microsoft Sentinel met Azure Function
- Uw Proofpoint TAP verbinden met Microsoft Sentinel met Azure Function
- Uw Qualys-VM verbinden met Microsoft Sentinel met Azure Function
- XML-, CSV- of andere indelingen van gegevens opnemen
- Zoom bewaken met Microsoft Sentinel (blog)
- Een functie-app implementeren voor het ophalen van Office 365 Management API-gegevens in Microsoft Sentinel (Microsoft Sentinel GitHub-community)
Uw aangepaste connectorgegevens parseren
Als u wilt profiteren van de gegevens die met uw aangepaste connector worden verzameld, ontwikkelt u ASIM-parsers (Advanced Security Information Model) om met uw connector te werken. Met behulp van ASIM kan de ingebouwde inhoud van Microsoft Sentinel uw aangepaste gegevens gebruiken en maakt het voor analisten gemakkelijker om query's uit te voeren op de gegevens.
Als uw connectormethode dit toestaat, kunt u een deel van de parsering implementeren als onderdeel van de connector om de prestaties van querytijdparsering te verbeteren:
- Als u Logstash hebt gebruikt, gebruikt u de Grok-filterinvoegtoepassing om uw gegevens te parseren.
- Als u een Azure-functie hebt gebruikt, parseert u uw gegevens met code.
U moet nog steeds ASIM-parsers implementeren, maar het rechtstreeks implementeren van een deel van de parsering met de connector vereenvoudigt het parseren en verbetert de prestaties.
Volgende stappen
Gebruik de gegevens die zijn opgenomen in Microsoft Sentinel om uw omgeving te beveiligen met een van de volgende processen:
- Inzicht krijgen in waarschuwingen
- Uw gegevens visualiseren en bewaken
- Incidenten onderzoeken
- Bedreigingen detecteren
- Bedreigingspreventie automatiseren
- Bedreigingen opsporen
Lees ook meer over een voorbeeld van het maken van een aangepaste connector voor het bewaken van Zoom: Zoom bewaken met Microsoft Sentinel.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor