Zasoby do tworzenia łączników niestandardowych usługi Microsoft Sentinel
Usługa Microsoft Sentinel udostępnia szeroką gamę wbudowanych łączników dla usług platformy Azure i rozwiązań zewnętrznych, a także obsługuje pozyskiwanie danych z niektórych źródeł bez dedykowanego łącznika.
Jeśli nie możesz połączyć źródła danych z usługą Microsoft Sentinel przy użyciu dowolnego z dostępnych rozwiązań, rozważ utworzenie własnego łącznika źródła danych.
Aby uzyskać pełną listę obsługiwanych łączników, zobacz wpis w blogu Microsoft Sentinel: łączniki grand (CEF, Syslog, Direct, Agent, Custom i inne).
Porównanie niestandardowych metod łącznika
W poniższej tabeli porównano podstawowe informacje o każdej metodzie tworzenia łączników niestandardowych opisanych w tym artykule. Wybierz linki w tabeli, aby uzyskać więcej szczegółów na temat każdej metody.
| Opis metody | Możliwość | Praca bezserwerowa | Złożoności |
|---|---|---|---|
| Platforma łącznika bez kodu (KPCH) Najlepiej, aby mniej odbiorców technicznych tworzyć łączniki SaaS przy użyciu pliku konfiguracji zamiast zaawansowanego programowania. |
Obsługuje wszystkie możliwości dostępne w kodzie. | Tak | Niski; proste, bez kodu programowanie |
| Log Analytics Agent Najlepsze rozwiązanie do zbierania plików ze źródeł lokalnych i IaaS |
Tylko kolekcja plików | Nie. | Niski |
| Usługa Logstash Najlepsze w przypadku źródeł lokalnych i IaaS, dowolnego źródła, dla którego jest dostępna wtyczka, a organizacje znają już usługę Logstash |
Dostępne wtyczki oraz niestandardowe wtyczki zapewniają znaczną elastyczność. | Nie; wymaga uruchomienia maszyny wirtualnej lub klastra maszyny wirtualnej | Niski; obsługuje wiele scenariuszy z wtyczkami |
| Logic Apps Wysoki koszt; unikanie dużych ilości danych Najlepsze w przypadku źródeł chmury o małym woluminie |
Programowanie bez kodu pozwala na ograniczoną elastyczność bez obsługi implementowania algorytmów. Jeśli żadna dostępna akcja nie spełnia już wymagań, utworzenie akcji niestandardowej może zwiększyć złożoność. |
Tak | Niski; proste, bez kodu programowanie |
| Program PowerShell Najlepsze rozwiązanie do tworzenia prototypów i okresowych przekazywania plików |
Bezpośrednia obsługa zbierania plików. Program PowerShell może służyć do zbierania większej liczby źródeł, ale wymaga kodowania i konfigurowania skryptu jako usługi. |
Nie. | Niski |
| Log Analytics API Najlepsze w przypadku niezależnych dostawców oprogramowania wdrażających integrację i w przypadku unikatowych wymagań dotyczących kolekcji |
Obsługuje wszystkie możliwości dostępne w kodzie. | Zależy od implementacji | Wys. |
| Azure Functions Najlepsze dla źródeł w chmurze o dużej ilości i w przypadku unikatowych wymagań dotyczących kolekcji |
Obsługuje wszystkie możliwości dostępne w kodzie. | Tak | Wysoki; wymaga wiedzy programistycznej |
Napiwek
Aby uzyskać porównania użycia usług Logic Apps i Azure Functions dla tego samego łącznika, zobacz:
- Szybkie pozyskiwanie dzienników zapory aplikacji internetowej w usłudze Microsoft Sentinel
- Office 365 (społeczność usługi GitHub usługi Microsoft Sentinel): łącznik usługi Logic Łącznik aplikacji | Azure Function
Nawiązywanie połączenia za pomocą platformy łącznika bez kodu
Platforma łącznika bez kodu (KPCH) udostępnia plik konfiguracji, który może być używany zarówno przez klientów, jak i partnerów, a następnie wdrożony we własnym obszarze roboczym lub jako rozwiązanie w galerii rozwiązania usługi Microsoft Sentinel.
Łączniki utworzone przy użyciu protokołu KPCH są w pełni SaaS, bez żadnych wymagań dotyczących instalacji usług, a także obejmują monitorowanie kondycji i pełną obsługę usługi Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Tworzenie łącznika bez kodu dla usługi Microsoft Sentinel.
Nawiązywanie połączenia z agentem usługi Log Analytics
Jeśli źródło danych dostarcza zdarzenia w plikach, zalecamy użycie agenta usługi Log Analytics usługi Azure Monitor do utworzenia łącznika niestandardowego.
Aby uzyskać więcej informacji, zobacz Zbieranie dzienników niestandardowych w usłudze Azure Monitor.
Aby zapoznać się z przykładem tej metody, zobacz Zbieranie niestandardowych źródeł danych JSON za pomocą agenta usługi Log Analytics dla systemu Linux w usłudze Azure Monitor.
Nawiązywanie połączenia z usługą Logstash
Jeśli znasz usługę Logstash, możesz użyć usługi Logstash z wtyczką danych wyjściowych usługi Logstash dla usługi Microsoft Sentinel w celu utworzenia łącznika niestandardowego.
Za pomocą wtyczki danych wyjściowych usługi Logstash usługi Microsoft Sentinel można użyć dowolnych wtyczek wejściowych i filtrujących usługi Logstash oraz skonfigurować usługę Microsoft Sentinel jako dane wyjściowe potoku usługi Logstash. Usługa Logstash ma dużą bibliotekę wtyczek, które umożliwiają wprowadzanie danych wejściowych z różnych źródeł, takich jak Event Hubs, Apache Kafka, Pliki, Bazy danych i Usługi w chmurze. Użyj wtyczek filtrowania, aby analizować zdarzenia, filtrować niepotrzebne zdarzenia, zaciemniać wartości i nie tylko.
Przykłady użycia usługi Logstash jako łącznika niestandardowego można znaleźć w temacie:
- Wyszukiwanie zagrożeń dla dzienników TTPs zabezpieczeń capital One w dziennikach platformy AWS przy użyciu usługi Microsoft Sentinel (blog)
- Przewodnik implementacji rozwiązania Radware Microsoft Sentinel
Przykłady przydatnych wtyczek usługi Logstash można znaleźć w temacie:
- Wtyczka wejściowa cloudwatch
- Wtyczka usługi Azure Event Hubs
- Wtyczka wejściowa usługi Google Cloud Storage
- wtyczka wejściowa Google_pubsub
Napiwek
Usługa Logstash umożliwia również skalowanie zbierania danych przy użyciu klastra. Aby uzyskać więcej informacji, zobacz Using a load-balanced Logstash VM at scale (Używanie maszyny wirtualnej usługi Logstash o zrównoważonym obciążeniu na dużą skalę).
Nawiązywanie połączenia z usługą Logic Apps
Użyj usługi Azure Logic Apps , aby utworzyć bezserwerowy, niestandardowy łącznik dla usługi Microsoft Sentinel.
Uwaga
Chociaż tworzenie łączników bezserwerowych przy użyciu usługi Logic Apps może być wygodne, użycie usługi Logic Apps dla łączników może być kosztowne w przypadku dużych ilości danych.
Zalecamy użycie tej metody tylko w przypadku źródeł danych o małej ilości lub wzbogacania danych.
Użyj jednego z następujących wyzwalaczy, aby uruchomić usługę Logic Apps:
Wyzwalacz opis Zadanie cykliczne Zaplanuj na przykład aplikację logiki, aby regularnie pobierała dane z określonych plików, baz danych lub zewnętrznych interfejsów API.
Aby uzyskać więcej informacji, zobacz Tworzenie, planowanie i uruchamianie cyklicznych zadań i przepływów pracy w usłudze Azure Logic Apps.Wyzwalanie na żądanie Uruchom aplikację logiki na żądanie w celu ręcznego zbierania i testowania danych.
Aby uzyskać więcej informacji, zobacz Wywoływanie, wyzwalanie lub zagnieżdżanie aplikacji logiki przy użyciu punktów końcowych HTTPS.Punkt końcowy HTTP/S Zalecane do przesyłania strumieniowego i jeśli system źródłowy może uruchomić transfer danych.
Aby uzyskać więcej informacji, zobacz Wywoływanie punktów końcowych usługi za pośrednictwem protokołu HTTP lub protokołu HTTPs.Użyj dowolnego Łącznik aplikacji logiki, który odczytuje informacje, aby pobrać zdarzenia. Na przykład:
- Nawiązywanie połączenia z interfejsem API REST
- Nawiązywanie połączenia z programem SQL Server
- Nawiązywanie połączenia z systemem plików
Napiwek
Łączniki niestandardowe do interfejsów API REST, serwerów SQL i systemów plików obsługują również pobieranie danych z lokalnych źródeł danych. Aby uzyskać więcej informacji, zobacz Instalowanie lokalnej bramy danych w dokumentacji.
Przygotuj informacje, które chcesz pobrać.
Na przykład użyj akcji analizowania kodu JSON, aby uzyskać dostęp do właściwości w zawartości JSON, umożliwiając wybranie tych właściwości z listy zawartości dynamicznej podczas określania danych wejściowych dla aplikacji logiki.
Aby uzyskać więcej informacji, zobacz Wykonywanie operacji na danych w usłudze Azure Logic Apps.
Zapisz dane w usłudze Log Analytics.
Aby uzyskać więcej informacji, zobacz dokumentację modułu zbierającego dane usługi Azure Log Analytics.
Aby zapoznać się z przykładami tworzenia łącznika niestandardowego dla usługi Microsoft Sentinel przy użyciu usługi Logic Apps, zobacz:
- Tworzenie potoku danych przy użyciu interfejsu API modułu zbierającego dane
- Palo Alto Prisma Logic Łącznik aplikacji przy użyciu elementu webhook (społeczność usługi GitHub usługi Microsoft Sentinel)
- Zabezpieczanie wywołań usługi Microsoft Teams za pomocą zaplanowanej aktywacji (blog)
- Pozyskiwanie wskaźników zagrożeń AlienVault OTX do usługi Microsoft Sentinel (blog)
Łączenie się z programem PowerShell
Skrypt Upload-AzMonitorLog programu PowerShell umożliwia przesyłanie strumieniowe zdarzeń lub informacji kontekstowych do usługi Microsoft Sentinel z wiersza polecenia za pomocą programu PowerShell. To przesyłanie strumieniowe skutecznie tworzy łącznik niestandardowy między źródłem danych a usługą Microsoft Sentinel.
Na przykład następujący skrypt przekazuje plik CSV do usługi Microsoft Sentinel:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
Skrypt skryptu Upload-AzMonitorLog programu PowerShell używa następujących parametrów:
| Parametr | Opis |
|---|---|
| Identyfikator obszaru roboczego | Identyfikator obszaru roboczego usługi Microsoft Sentinel, w którym będą przechowywane dane. Znajdź identyfikator i klucz obszaru roboczego. |
| Klucz obszaru roboczego | Klucz podstawowy lub pomocniczy dla obszaru roboczego usługi Microsoft Sentinel, w którym będą przechowywane dane. Znajdź identyfikator i klucz obszaru roboczego. |
| LogTypeName | Nazwa niestandardowej tabeli dzienników, w której chcesz przechowywać dane. Sufiks _CL zostanie automatycznie dodany na końcu nazwy tabeli. |
| AddComputerName | Gdy ten parametr istnieje, skrypt dodaje bieżącą nazwę komputera do każdego rekordu dziennika w polu o nazwie Komputer. |
| TagAzureResourceId | Gdy ten parametr istnieje, skrypt kojarzy wszystkie przekazane rekordy dziennika z określonym zasobem platformy Azure. To skojarzenie umożliwia przekazywanie rekordów dziennika dla zapytań kontekstowych zasobów i jest zgodne z kontrolą dostępu opartą na zasobach. |
| AdditionalDataTaggingName | Gdy ten parametr istnieje, skrypt dodaje kolejne pole do każdego rekordu dziennika z skonfigurowaną nazwą i wartością skonfigurowaną dla parametru AdditionalDataTaggingValue . W takim przypadku wartość AdditionalDataTaggingValue nie może być pusta. |
| AdditionalDataTaggingValue | Gdy ten parametr istnieje, skrypt dodaje kolejne pole do każdego rekordu dziennika z skonfigurowaną wartością i nazwę pola skonfigurowanego dla parametru AdditionalDataTaggingName . Jeśli parametr AdditionalDataTaggingName jest pusty, ale skonfigurowano wartość, domyślną nazwą pola jest DataTagging. |
Znajdowanie identyfikatora i klucza obszaru roboczego
Znajdź szczegóły parametrów WorkspaceID i WorkspaceKey w usłudze Microsoft Sentinel:
W usłudze Microsoft Sentinel wybierz pozycję Ustawienia po lewej stronie, a następnie wybierz kartę Ustawienia obszaru roboczego.
W obszarze Wprowadzenie do usługi Log Analytics>1 Połącz źródło danych wybierz pozycję Zarządzanie agentami systemu Windows i Linux.
Znajdź identyfikator obszaru roboczego, klucz podstawowy i klucz pomocniczy na kartach Serwerów z systemem Windows.
Nawiązywanie połączenia z interfejsem API usługi Log Analytics
Zdarzenia można przesyłać strumieniowo do usługi Microsoft Sentinel przy użyciu interfejsu API modułu zbierającego dane usługi Log Analytics w celu bezpośredniego wywołania punktu końcowego RESTful.
Wywołanie punktu końcowego RESTful wymaga bezpośredniego programowania, ale zapewnia również większą elastyczność.
Aby uzyskać więcej informacji, zobacz interfejs API modułu zbierającego dane usługi Log Analytics, szczególnie w następujących przykładach:
Nawiązywanie połączenia za pomocą usługi Azure Functions
Użyj usługi Azure Functions razem z interfejsem API RESTful i różnymi językami kodowania, takimi jak program PowerShell, aby utworzyć bezserwerowy łącznik niestandardowy.
Aby zapoznać się z przykładami tej metody, zobacz:
- Łączenie programu VMware Carbon Black Cloud Endpoint Standard z usługą Microsoft Sentinel przy użyciu funkcji platformy Azure
- Łączenie logowania jednokrotnego usługi Okta z usługą Microsoft Sentinel przy użyciu funkcji platformy Azure
- Łączenie aplikacji Proofpoint TAP z usługą Microsoft Sentinel przy użyciu funkcji platformy Azure
- Łączenie maszyny wirtualnej Qualys z usługą Microsoft Sentinel przy użyciu funkcji platformy Azure
- Pozyskiwanie danych XML, CSV lub innych formatów danych
- Monitorowanie aplikacji Zoom za pomocą usługi Microsoft Sentinel (blog)
- Wdrażanie aplikacji funkcji na potrzeby pobierania danych interfejsu API zarządzania usługą Office 365 w usłudze Microsoft Sentinel (społeczność usługi GitHub usługi Microsoft Sentinel )
Analizowanie danych łącznika niestandardowego
Aby korzystać z danych zebranych za pomocą łącznika niestandardowego, utwórz analizatory advanced Security Information Model (ASIM) do pracy z łącznikiem. Użycie karty ASIM umożliwia wbudowanym zawartości usługi Microsoft Sentinel korzystanie z danych niestandardowych i ułatwia analitykom wykonywanie zapytań o dane.
Jeśli metoda łącznika pozwala na to, możesz zaimplementować część analizowania jako część łącznika, aby poprawić wydajność analizowania czasu zapytania:
- Jeśli użyto usługi Logstash, użyj wtyczki filtru Grok , aby przeanalizować dane.
- Jeśli używasz funkcji platformy Azure, przeanalizuj dane przy użyciu kodu.
Nadal trzeba będzie zaimplementować analizatory ASIM, ale implementacja części analizowania bezpośrednio za pomocą łącznika upraszcza analizowanie i poprawia wydajność.
Następne kroki
Użyj danych pozyskanych do usługi Microsoft Sentinel, aby zabezpieczyć środowisko przy użyciu dowolnego z następujących procesów:
- Uzyskiwanie wglądu w alerty
- Wizualizowanie i monitorowanie danych
- Badanie zdarzeń
- Wykrywanie zagrożeń
- Automatyzowanie ochrony przed zagrożeniami
- Wyszukiwanie zagrożeń
Zapoznaj się również z jednym z przykładów tworzenia łącznika niestandardowego do monitorowania funkcji Zoom: Monitorowanie powiększenia za pomocą usługi Microsoft Sentinel.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla