Zasoby dotyczące tworzenia łączników niestandardowych usługi Microsoft Sentinel
Usługa Microsoft Sentinel udostępnia szeroką gamę wbudowanych łączników dla usług platformy Azure i rozwiązań zewnętrznych, a także obsługuje pozyskiwanie danych z niektórych źródeł bez dedykowanego łącznika.
Jeśli nie możesz połączyć źródła danych z usługą Microsoft Sentinel przy użyciu dowolnego z dostępnych rozwiązań, rozważ utworzenie własnego łącznika źródła danych.
Aby uzyskać pełną listę obsługiwanych łączników, zobacz wpis w blogu Microsoft Sentinel: łączniki grand (CEF, Syslog, Direct, Agent, Custom i nie tylko).
Porównanie metod łącznika niestandardowego
W poniższej tabeli porównano podstawowe szczegóły dotyczące każdej metody tworzenia łączników niestandardowych opisanych w tym artykule. Wybierz linki w tabeli, aby uzyskać więcej informacji na temat każdej metody.
| Opis metody | Możliwość | Praca bezserwerowa | Złożoność |
|---|---|---|---|
| Platforma łącznika bez kodu (KPCH) Najlepsze dla mniej odbiorców technicznych do tworzenia łączników SaaS przy użyciu pliku konfiguracji zamiast zaawansowanego programowania. |
Obsługuje wszystkie funkcje dostępne w kodzie. | Tak | Niskie; proste, bez kodu programowanie |
| Log Analytics Agent Najlepsze rozwiązanie do zbierania plików ze źródeł lokalnych i IaaS |
Tylko kolekcja plików | Nie | Niski |
| Logstash Najlepsze dla źródeł lokalnych i IaaS, dowolnego źródła, dla którego jest dostępna wtyczka, a organizacje już zaznajomione z usługą Logstash |
Dostępne wtyczki oraz niestandardowe wtyczki zapewniają znaczną elastyczność. | Nr; wymaga uruchomienia maszyny wirtualnej lub klastra maszyny wirtualnej | Niskie; obsługuje wiele scenariuszy z wtyczkami |
| Logic Apps Wysoki koszt; unikaj w przypadku danych o dużej ilości Najlepsze dla źródeł chmury o niskim woluminie |
Programowanie bez kodu zapewnia ograniczoną elastyczność bez obsługi implementowania algorytmów. Jeśli żadna dostępna akcja już nie obsługuje wymagań, utworzenie akcji niestandardowej może zwiększyć złożoność. |
Tak | Niskie; proste, bez kodu programowanie |
| PowerShell Najlepsze w przypadku tworzenia prototypów i okresowych przekazywania plików |
Bezpośrednia obsługa zbierania plików. Program PowerShell może służyć do zbierania większej liczby źródeł, ale wymaga kodowania i konfigurowania skryptu jako usługi. |
Nie | Niski |
| Interfejs API analizy dzienników Najlepsze dla niezależnych dostawców oprogramowania implementowania integracji i w przypadku unikatowych wymagań dotyczących kolekcji |
Obsługuje wszystkie funkcje dostępne w kodzie. | Zależy od implementacji | Wys. |
| Azure Functions Najlepsze dla źródeł chmury o dużej ilości i w przypadku unikatowych wymagań dotyczących kolekcji |
Obsługuje wszystkie funkcje dostępne w kodzie. | Tak | Wysokiej; wymaga wiedzy programistycznej |
Porada
Aby zapoznać się z porównaniem używania usługi Logic Apps i Azure Functions dla tego samego łącznika, zobacz:
- Pozyskiwanie szybko Web Application Firewall dzienników do usługi Microsoft Sentinel
- Office 365 (społeczność usługi GitHub usługi Microsoft Sentinel):Łącznik funkcji platformy Azurełącznika | aplikacji logiki
Nawiązywanie połączenia za pomocą platformy łącznika bez kodu
Platforma łącznika bez kodu (KPCH) udostępnia plik konfiguracji, który może być używany zarówno przez klientów, jak i partnerów, a następnie wdrożony we własnym obszarze roboczym lub jako rozwiązanie w galerii rozwiązania usługi Microsoft Sentinel.
Łączniki utworzone przy użyciu interfejsu KPI są w pełni SaaS, bez żadnych wymagań dotyczących instalacji usług, a także obejmują monitorowanie kondycji i pełną obsługę usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Tworzenie łącznika bez kodu dla usługi Microsoft Sentinel.
Nawiązywanie połączenia z agentem usługi Log Analytics
Jeśli źródło danych dostarcza zdarzenia w plikach, zalecamy użycie agenta usługi Log Analytics usługi Azure Monitor do utworzenia łącznika niestandardowego.
Aby uzyskać więcej informacji, zobacz Zbieranie dzienników niestandardowych w usłudze Azure Monitor.
Przykład tej metody można znaleźć w temacie Zbieranie niestandardowych źródeł danych JSON za pomocą agenta usługi Log Analytics dla systemu Linux w usłudze Azure Monitor.
Nawiązywanie połączenia z usługą Logstash
Jeśli znasz usługę Logstash, możesz użyć usługi Logstash z wtyczką danych wyjściowych usługi Logstash dla usługi Microsoft Sentinel w celu utworzenia łącznika niestandardowego.
Za pomocą wtyczki danych wyjściowych usługi Logstash usługi Microsoft Sentinel można użyć dowolnych wtyczek wejściowych i filtrujących usługi Logstash oraz skonfigurować usługę Microsoft Sentinel jako dane wyjściowe potoku usługi Logstash. Usługa Logstash ma dużą bibliotekę wtyczek, które umożliwiają wprowadzanie danych wejściowych z różnych źródeł, takich jak Event Hubs, Apache Kafka, Pliki, Bazy danych i usługi w chmurze. Użyj wtyczek filtrowania, aby analizować zdarzenia, filtrować niepotrzebne zdarzenia, zaciemniać wartości i nie tylko.
Przykłady użycia usługi Logstash jako łącznika niestandardowego można znaleźć w temacie:
- Wyszukiwanie zagrożeń dla TTPs zabezpieczeń capital One w dziennikach platformy AWS przy użyciu usługi Microsoft Sentinel (blog)
- Przewodnik implementacji aplikacji Radware Microsoft Sentinel
Aby zapoznać się z przykładami przydatnych wtyczek usługi Logstash, zobacz:
- Wtyczka wejściowa cloudwatch
- wtyczka Azure Event Hubs
- Wtyczka wejściowa usługi Google Cloud Storage
- wtyczka wejściowa Google_pubsub
Porada
Usługa Logstash umożliwia również skalowanie zbierania danych przy użyciu klastra. Aby uzyskać więcej informacji, zobacz Używanie maszyny wirtualnej usługi Logstash o zrównoważonym obciążeniu na dużą skalę.
Nawiązywanie połączenia z usługą Logic Apps
Używanie usługi Azure Logic Apps do tworzenia bezserwerowego łącznika niestandardowego dla usługi Microsoft Sentinel.
Uwaga
Chociaż tworzenie łączników bezserwerowych przy użyciu usługi Logic Apps może być wygodne, użycie usługi Logic Apps dla łączników może być kosztowne w przypadku dużych ilości danych.
Zalecamy użycie tej metody tylko w przypadku źródeł danych o małej ilości lub wzbogacania przekazywania danych.
Użyj jednego z następujących wyzwalaczy, aby uruchomić usługę Logic Apps:
Wyzwalacz Opis Zadanie cykliczne Na przykład zaplanuj aplikację logiki, aby regularnie pobierała dane z określonych plików, baz danych lub zewnętrznych interfejsów API.
Aby uzyskać więcej informacji, zobacz Tworzenie, planowanie i uruchamianie cyklicznych zadań i przepływów pracy w usłudze Azure Logic Apps.Wyzwalanie na żądanie Uruchom aplikację logiki na żądanie w celu ręcznego zbierania i testowania danych.
Aby uzyskać więcej informacji, zobacz Wywoływanie, wyzwalanie lub zagnieżdżanie aplikacji logiki przy użyciu punktów końcowych HTTPS.Punkt końcowy HTTP/S Zalecane do przesyłania strumieniowego i jeśli system źródłowy może uruchomić transfer danych.
Aby uzyskać więcej informacji, zobacz Wywoływanie punktów końcowych usługi za pośrednictwem protokołu HTTP lub protokołu HTTPs.Użyj dowolnego łącznika aplikacji logiki, który odczytuje informacje, aby uzyskać zdarzenia. Na przykład:
- Nawiązywanie połączenia z interfejsem API REST
- Nawiązywanie połączenia z SQL Server
- Nawiązywanie połączenia z systemem plików
Porada
Łączniki niestandardowe do interfejsów API REST, serwerów SQL i systemów plików obsługują również pobieranie danych z lokalnych źródeł danych. Aby uzyskać więcej informacji, zobacz Dokumentację dotyczącą instalowania lokalnej bramy danych .
Przygotuj informacje, które chcesz pobrać.
Na przykład użyj akcji analizowania kodu JSON , aby uzyskać dostęp do właściwości w zawartości JSON, umożliwiając wybranie tych właściwości z listy zawartości dynamicznej podczas określania danych wejściowych dla aplikacji logiki.
Aby uzyskać więcej informacji, zobacz Wykonywanie operacji na danych w usłudze Azure Logic Apps.
Zapisywanie danych w usłudze Log Analytics.
Aby uzyskać więcej informacji, zobacz dokumentację modułu zbierającego dane usługi Azure Log Analytics .
Aby zapoznać się z przykładami tworzenia łącznika niestandardowego dla usługi Microsoft Sentinel przy użyciu usługi Logic Apps, zobacz:
- Tworzenie potoku danych za pomocą interfejsu API modułu zbierającego dane
- Łącznik aplikacji logiki Palo Alto Prisma przy użyciu elementu webhook (społeczność usługi GitHub usługi Microsoft Sentinel)
- Zabezpieczanie wywołań usługi Microsoft Teams za pomocą zaplanowanej aktywacji (blog)
- Pozyskiwanie wskaźników zagrożeń AlienVault OTX do usługi Microsoft Sentinel (blog)
Łączenie się z programem PowerShell
Skrypt Programu PowerShell Upload-AzMonitorLog umożliwia przesyłanie strumieniowe zdarzeń lub informacji kontekstowych do usługi Microsoft Sentinel za pomocą programu PowerShell z wiersza polecenia. To przesyłanie strumieniowe skutecznie tworzy łącznik niestandardowy między źródłem danych i usługą Microsoft Sentinel.
Na przykład poniższy skrypt przekazuje plik CSV do usługi Microsoft Sentinel:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
Skrypt skryptu Upload-AzMonitorLog programu PowerShell używa następujących parametrów:
| Parametr | Opis |
|---|---|
| Identyfikator obszaru roboczego | Identyfikator obszaru roboczego usługi Microsoft Sentinel, w którym będą przechowywane dane. Znajdź identyfikator i klucz obszaru roboczego. |
| Klucz obszaru roboczego | Klucz podstawowy lub pomocniczy dla obszaru roboczego usługi Microsoft Sentinel, w którym będą przechowywane dane. Znajdź identyfikator i klucz obszaru roboczego. |
| LogTypeName | Nazwa niestandardowej tabeli dzienników, w której chcesz przechowywać dane. Sufiks _CL zostanie automatycznie dodany na końcu nazwy tabeli. |
| AddComputerName | Gdy ten parametr istnieje, skrypt dodaje bieżącą nazwę komputera do każdego rekordu dziennika w polu o nazwie Komputer. |
| TagAzureResourceId | Gdy ten parametr istnieje, skrypt kojarzy wszystkie przekazane rekordy dziennika z określonym zasobem platformy Azure. To skojarzenie umożliwia przekazywanie rekordów dziennika dla zapytań kontekstowych zasobów i jest zgodne z kontrolą dostępu skoncentrowaną na zasobach, opartą na rolach. |
| AdditionalDataTaggingName | Gdy ten parametr istnieje, skrypt dodaje kolejne pole do każdego rekordu dziennika ze skonfigurowaną nazwą oraz wartość skonfigurowaną dla parametru AdditionalDataTaggingValue . W takim przypadku wartość AdditionalDataTaggingValue nie może być pusta. |
| AdditionalDataTaggingValue | Gdy ten parametr istnieje, skrypt dodaje kolejne pole do każdego rekordu dziennika z skonfigurowaną wartością i nazwę pola skonfigurowanego dla parametru AdditionalDataTaggingName . Jeśli parametr AdditionalDataTaggingName jest pusty, ale wartość jest skonfigurowana, domyślna nazwa pola to DataTagging. |
Znajdowanie identyfikatora i klucza obszaru roboczego
Znajdź szczegóły parametrów WorkspaceID i WorkspaceKey w usłudze Microsoft Sentinel:
W usłudze Microsoft Sentinel wybierz pozycję Ustawienia po lewej stronie, a następnie wybierz kartę Ustawienia obszaru roboczego .
W obszarze Wprowadzenie do usługi Log Analytics>1 Połącz źródło danych wybierz pozycję Zarządzanie agentami systemów Windows i Linux.
Znajdź identyfikator obszaru roboczego, klucz podstawowy i klucz pomocniczy na kartach Serwery z systemem Windows.
Nawiązywanie połączenia z interfejsem API usługi Log Analytics
Zdarzenia można przesyłać strumieniowo do usługi Microsoft Sentinel przy użyciu interfejsu API modułu zbierającego dane usługi Log Analytics w celu bezpośredniego wywołania punktu końcowego RESTful.
Wywołanie punktu końcowego RESTful wymaga bezpośredniego programowania, ale zapewnia również większą elastyczność.
Aby uzyskać więcej informacji, zobacz interfejs API modułu zbierającego dane usługi Log Analytics, szczególnie w następujących przykładach:
Nawiązywanie połączenia za pomocą Azure Functions
Użyj Azure Functions razem z interfejsem API RESTful i różnymi językami kodowania, takimi jak program PowerShell, aby utworzyć bezserwerowy łącznik niestandardowy.
Aby zapoznać się z przykładami tej metody, zobacz:
- Łączenie programu VMware Carbon Black Cloud Endpoint Standard z usługą Microsoft Sentinel przy użyciu funkcji platformy Azure
- Łączenie usługi Okta Single Sign-On z usługą Microsoft Sentinel przy użyciu funkcji platformy Azure
- Łączenie narzędzia Proofpoint TAP z usługą Microsoft Sentinel przy użyciu funkcji platformy Azure
- Łączenie maszyny wirtualnej Qualys z usługą Microsoft Sentinel przy użyciu funkcji platformy Azure
- Pozyskiwanie danych XML, CSV lub innych formatów danych
- Monitorowanie zoomu za pomocą usługi Microsoft Sentinel (blog)
- Wdrażanie aplikacji funkcji na potrzeby pobierania danych interfejsu API Office 365 Management do usługi Microsoft Sentinel (społeczność usługi GitHub usługi Microsoft Sentinel)
Analizowanie danych łącznika niestandardowego
Aby korzystać z danych zebranych za pomocą łącznika niestandardowego, należy opracować analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM) do pracy z łącznikiem. Użycie karty ASIM umożliwia wbudowanym zawartości usługi Microsoft Sentinel korzystanie z danych niestandardowych i ułatwia analitykom wykonywanie zapytań o dane.
Jeśli metoda łącznika pozwala na to, możesz zaimplementować część analizy w ramach łącznika, aby poprawić wydajność analizowania czasu zapytania:
- Jeśli użyto usługi Logstash, użyj wtyczki filtru Grok , aby przeanalizować dane.
- Jeśli używasz funkcji platformy Azure, przeanalizuj dane przy użyciu kodu.
Nadal trzeba będzie zaimplementować analizatory ASIM, ale implementacja części analizy bezpośrednio za pomocą łącznika upraszcza analizowanie i poprawia wydajność.
Następne kroki
Użyj danych pozyskanych do usługi Microsoft Sentinel, aby zabezpieczyć środowisko za pomocą dowolnego z następujących procesów:
- Uzyskiwanie wglądu w alerty
- Wizualizowanie i monitorowanie danych
- Badanie zdarzeń
- Wykrywania zagrożeń
- Automatyzowanie zapobiegania zagrożeniom
- Wyszukiwanie zagrożeń
Zapoznaj się również z jednym z przykładów tworzenia łącznika niestandardowego do monitorowania zoomu: monitorowanie zoomu za pomocą usługi Microsoft Sentinel.