Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Microsoft Sentinel oferuje szeroką gamę wbudowanych łączników dla usług Azure i rozwiązań zewnętrznych, a także obsługuje pozyskiwanie danych z niektórych źródeł bez dedykowanego łącznika.
Jeśli nie możesz połączyć źródła danych z Microsoft Sentinel przy użyciu dowolnego z dostępnych rozwiązań, rozważ utworzenie własnego łącznika źródła danych.
Aby uzyskać pełną listę obsługiwanych łączników, zobacz Artykuł Znajdowanie łącznika danych Microsoft Sentinel).
Porównanie niestandardowych metod łączników
W poniższej tabeli porównaliśmy podstawowe szczegóły dotyczące każdej metody tworzenia łączników niestandardowych opisanych w tym artykule. Wybierz linki w tabeli, aby uzyskać więcej szczegółów na temat każdej metody.
| Opis metody | Możliwości | Bezserwerowe | Złożoności |
|---|---|---|---|
|
Codeless Connector Framework (CCF) Najlepsze dla mniej odbiorców technicznych do tworzenia łączników SaaS przy użyciu pliku konfiguracji zamiast zaawansowanego programowania. |
Obsługuje wszystkie możliwości dostępne z kodem. | Tak | Niskie; prosty, bezkodowy programowanie |
|
Azure monitoruj agenta Najlepsze do zbierania plików ze źródeł lokalnych i IaaS |
Zbieranie plików, przekształcanie danych | Nie | Niskie |
|
Logstash Najlepsze w przypadku źródeł lokalnych i IaaS, dowolnego źródła, dla którego jest dostępna wtyczka, oraz organizacji już zaznajomionych z usługą Logstash |
Obsługuje wszystkie możliwości agenta Azure Monitor | Nr; wymaga uruchomienia maszyny wirtualnej lub klastra maszyny wirtualnej | Niskie; obsługuje wiele scenariuszy z wtyczkami |
|
Logic Apps Wysoki koszt; unikaj danych o dużej ilości Najlepsze w przypadku źródeł chmury o małej liczbie woluminów |
Programowanie bez kodu zapewnia ograniczoną elastyczność bez obsługi implementowania algorytmów. Jeśli żadna dostępna akcja nie obsługuje już twoich wymagań, utworzenie akcji niestandardowej może dodać złożoności. |
Tak | Niskie; prosty, bezkodowy programowanie |
|
Interfejs API pozyskiwania dzienników w usłudze Azure Monitor Najlepsze w przypadku niezależnych dostawców oprogramowania implementujących integrację i dla unikatowych wymagań dotyczących zbierania |
Obsługuje wszystkie możliwości dostępne z kodem. | Zależy od implementacji | High (Wysoki) |
|
Azure Functions Najlepsze w przypadku źródeł w chmurze o dużej ilości i dla unikatowych wymagań dotyczących kolekcji |
Obsługuje wszystkie możliwości dostępne z kodem. | Tak | Wysokiej; wymaga wiedzy programistycznej |
Porada
Aby zapoznać się z porównaniami korzystania z usługi Logic Apps i Azure Functions dla tego samego łącznika, zobacz:
- Szybkie pozyskiwanie Web Application Firewall loguje się do Microsoft Sentinel
- Office 365 (społeczność usługi GitHub Microsoft Sentinel): łącznik | aplikacji logikiAzure łącznik funkcji
Nawiązywanie połączenia za pomocą struktury łączników bez kodu
Program Codeless Connector Framework (CCF) udostępnia plik konfiguracji, który może być używany zarówno przez klientów, jak i partnerów, a następnie wdrażany we własnym obszarze roboczym lub jako rozwiązanie centrum zawartości Microsoft Sentinel.
Łączniki utworzone przy użyciu ccf są w pełni SaaS, bez żadnych wymagań dotyczących instalacji usług, a także obejmują monitorowanie kondycji i pełną obsługę z Microsoft Sentinel.
Aby uzyskać więcej informacji, zobacz Tworzenie łącznika bez kodu dla Microsoft Sentinel.
Nawiązywanie połączenia z agentem monitora Azure
Jeśli źródło danych dostarcza zdarzenia w plikach tekstowych, zalecamy utworzenie łącznika niestandardowego za pomocą agenta Azure Monitor.
Aby uzyskać więcej informacji, zobacz Collect logs from a text file with Azure Monitor Agent (Zbieranie dzienników z pliku tekstowego za pomocą agenta Azure Monitor).
Przykład tej metody można znaleźć w temacie Collect logs from a JSON file with Azure Monitor Agent (Zbieranie dzienników z pliku JSON za pomocą agenta Azure Monitor).
Nawiązywanie połączenia za pomocą usługi Logstash
Jeśli znasz usługę Logstash, możesz użyć usługi Logstash z wtyczką danych wyjściowych usługi Logstash, aby Microsoft Sentinel utworzyć łącznik niestandardowy.
Za pomocą wtyczki Microsoft Sentinel Logstash Output można użyć dowolnych wtyczek wejściowych i filtrowania logstash oraz skonfigurować Microsoft Sentinel jako dane wyjściowe potoku usługi Logstash. Usługa Logstash ma dużą bibliotekę wtyczek, które umożliwiają wprowadzanie danych z różnych źródeł, takich jak event hubs, Apache Kafka, Files, bazy danych i usługi w chmurze. Użyj wtyczek filtrowania, aby przeanalizować zdarzenia, filtrować niepotrzebne zdarzenia, zaciemniać wartości i nie tylko.
Przykłady użycia usługi Logstash jako łącznika niestandardowego można znaleźć w temacie:
- Wyszukiwanie zabezpieczeń przed naruszeniami zabezpieczeń capital one w dziennikach platformy AWS przy użyciu Microsoft Sentinel (blog)
- Przewodnik implementacji programu Radware Microsoft Sentinel
Przykłady przydatnych wtyczek usługi Logstash można znaleźć w temacie:
- Wtyczka wejściowa usługi Cloudwatch
- wtyczka Azure Event Hubs
- Wtyczka wejściowa usługi Google Cloud Storage
- wtyczka wejściowa Google_pubsub
Porada
Usługa Logstash umożliwia również skalowanie zbierania danych przy użyciu klastra. Aby uzyskać więcej informacji, zobacz Using a load-balanced Logstash VM at scale (Używanie maszyny wirtualnej Logstash z równoważeniem obciążenia na dużą skalę).
Nawiązywanie połączenia z usługą Logic Apps
Użyj usługi Azure Logic Apps, aby utworzyć bezserwerowy łącznik niestandardowy dla Microsoft Sentinel.
Uwaga
Tworzenie łączników bezserwerowych przy użyciu usługi Logic Apps może być wygodne, jednak korzystanie z usługi Logic Apps dla łączników może być kosztowne w przypadku dużych ilości danych.
Zalecamy użycie tej metody tylko w przypadku źródeł danych o małej liczbie woluminów lub wzbogacenia przekazywania danych.
Użyj jednego z następujących wyzwalaczy, aby uruchomić usługę Logic Apps:
Wyzwalacz Opis Zadanie cykliczne Zaplanuj na przykład, aby aplikacja logiki regularnie pobierała dane z określonych plików, baz danych lub zewnętrznych interfejsów API.
Aby uzyskać więcej informacji, zobacz Tworzenie, planowanie i uruchamianie cyklicznych zadań i przepływów pracy w usłudze Azure Logic Apps.Wyzwalanie na żądanie Uruchom aplikację logiki na żądanie na potrzeby ręcznego zbierania i testowania danych.
Aby uzyskać więcej informacji, zobacz Wywoływanie, wyzwalanie lub zagnieżdżanie aplikacji logiki przy użyciu punktów końcowych HTTPS.Punkt końcowy HTTP/S Zalecane do przesyłania strumieniowego i jeśli system źródłowy może rozpocząć transfer danych.
Aby uzyskać więcej informacji, zobacz Wywoływanie punktów końcowych usługi za pośrednictwem protokołu HTTP lub HTTPS.Użyj dowolnego łącznika aplikacji logiki, który odczytuje informacje, aby uzyskać zdarzenia. Przykład:
- Nawiązywanie połączenia z interfejsem API REST
- Nawiązywanie połączenia z SQL Server
- Nawiązywanie połączenia z systemem plików
Porada
Łączniki niestandardowe do interfejsów API REST, serwerów SQL i systemów plików obsługują również pobieranie danych z lokalnych źródeł danych. Aby uzyskać więcej informacji, zobacz Dokumentacja instalowania lokalnej bramy danych .
Przygotuj informacje, które chcesz pobrać.
Na przykład użyj akcji analizowania kodu JSON , aby uzyskać dostęp do właściwości zawartości JSON, umożliwiając wybranie tych właściwości z listy zawartości dynamicznej podczas określania danych wejściowych dla aplikacji logiki.
Aby uzyskać więcej informacji, zobacz Wykonywanie operacji na danych w usłudze Azure Logic Apps.
Zapisz dane w usłudze Log Analytics.
Aby uzyskać więcej informacji, zobacz dokumentację modułu zbierającego dane Azure Log Analytics.
Aby zapoznać się z przykładami tworzenia łącznika niestandardowego dla Microsoft Sentinel przy użyciu usługi Logic Apps, zobacz:
- Tworzenie potoku danych przy użyciu interfejsu API modułu zbierającego dane
- Łącznik aplikacji logiki Palo Alto Prisma przy użyciu elementu webhook (Microsoft Sentinel społeczności usługi GitHub)
- Zabezpieczanie połączeń usługi Microsoft Teams za pomocą zaplanowanej aktywacji (blog)
- Pozyskiwanie wskaźników zagrożeń OTX w usłudze AlienVault do Microsoft Sentinel (blog)
Nawiązywanie połączenia za pomocą interfejsu API pozyskiwania dzienników
Zdarzenia można przesyłać strumieniowo do Microsoft Sentinel przy użyciu interfejsu API modułu zbierającego dane usługi Log Analytics w celu bezpośredniego wywołania punktu końcowego RESTful.
Wywołanie punktu końcowego RESTful wymaga bezpośrednio większego programowania, ale zapewnia również większą elastyczność.
Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:
- Interfejs API pozyskiwania dzienników w usłudze Azure Monitor.
- Przykładowy kod do wysyłania danych do usługi Azure Monitor przy użyciu interfejsu API pozyskiwania dzienników.
Nawiązywanie połączenia z Azure Functions
Użyj Azure Functions razem z interfejsem API RESTful i różnymi językami kodowania, takimi jak program PowerShell, aby utworzyć łącznik niestandardowy bezserwerowy.
Przykłady tej metody można znaleźć w temacie:
- Łączenie programu VMware Carbon Black Cloud Endpoint Standard z Microsoft Sentinel za pomocą funkcji Azure
- Łączenie pojedynczego Sign-On okta z Microsoft Sentinel za pomocą funkcji Azure
- Łączenie aplikacji Proofpoint TAP z Microsoft Sentinel za pomocą funkcji Azure
- Łączenie maszyny wirtualnej Qualys z Microsoft Sentinel za pomocą funkcji Azure
- Pozyskiwanie danych XML, CSV lub innych formatów danych
- Monitorowanie powiększenia za pomocą Microsoft Sentinel (blog)
- Wdrażanie aplikacji funkcji na potrzeby pobierania danych interfejsu API zarządzania Office 365 do Microsoft Sentinel (Microsoft Sentinel społeczności usługi GitHub)
Analizowanie danych łącznika niestandardowego
Aby skorzystać z danych zebranych za pomocą łącznika niestandardowego, opracuj analizatory zaawansowanego modelu informacji o zabezpieczeniach (ASIM) do pracy z łącznikiem. Użycie karty ASIM umożliwia wbudowanej zawartości Microsoft Sentinel korzystanie z danych niestandardowych i ułatwia analitykom wykonywanie zapytań dotyczących danych.
Jeśli metoda łącznika na to zezwala, możesz zaimplementować część analizowania jako część łącznika, aby poprawić wydajność analizowania czasu zapytań:
- Jeśli używasz usługi Logstash, przeanalizuj dane za pomocą wtyczki filtru Grok .
- Jeśli użyto funkcji Azure, przeanalizuj dane przy użyciu kodu.
Nadal trzeba będzie zaimplementować analizatory ASIM, ale implementacja części analizy bezpośrednio za pomocą łącznika upraszcza analizowanie i poprawia wydajność.
Następne kroki
Użyj danych pozyskanych do Microsoft Sentinel, aby zabezpieczyć środowisko za pomocą dowolnego z następujących procesów: