Łączenie usługi Microsoft Sentinel ze źródłem danych za pomocą usługi Azure Functions

Artykuł
06/14/2024

Usługi Azure Functions można używać w połączeniu z różnymi językami kodowania, takimi jak PowerShell lub Python, aby utworzyć łącznik bezserwerowy do punktów końcowych interfejsu API REST zgodnych źródeł danych. Aplikacje funkcji platformy Azure umożliwiają następnie łączenie usługi Microsoft Sentinel z interfejsem API REST źródła danych w celu ściągnięcia dzienników.

W tym artykule opisano sposób konfigurowania usługi Microsoft Sentinel na potrzeby korzystania z aplikacji funkcji platformy Azure. Może być również konieczne skonfigurowanie systemu źródłowego i znalezienie linków do informacji specyficznych dla dostawcy i produktu na stronie każdego łącznika danych w portalu lub sekcji dotyczącej usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel.

Uwaga

Po pozyskiwaniu danych do usługi Microsoft Sentinel dane są przechowywane w lokalizacji geograficznej obszaru roboczego, w którym jest uruchomiona usługa Microsoft Sentinel.

W przypadku długoterminowego przechowywania można również przechowywać dane w typach dzienników, takich jak dzienniki pomocnicze lub dzienniki podstawowe. Aby uzyskać więcej informacji, zobacz Plany przechowywania dzienników w usłudze Microsoft Sentinel.
Użycie usługi Azure Functions do pozyskiwania danych do usługi Microsoft Sentinel może spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać więcej informacji, zobacz stronę cennika usługi Azure Functions.

Wymagania wstępne

Upewnij się, że masz następujące uprawnienia i poświadczenia przed użyciem usługi Azure Functions, aby połączyć usługę Microsoft Sentinel ze źródłem danych i ściągnąć jego dzienniki do usługi Microsoft Sentinel:

Musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.
Musisz mieć uprawnienia do odczytu do kluczy udostępnionych dla obszaru roboczego. Dowiedz się więcej o kluczach obszaru roboczego.
Aby utworzyć aplikację funkcji, musisz mieć uprawnienia do odczytu i zapisu w usłudze Azure Functions. Dowiedz się więcej o usłudze Azure Functions.
Do uzyskiwania dostępu do interfejsu API produktu będą również potrzebne poświadczenia — nazwa użytkownika i hasło, token, klucz lub inna kombinacja. Mogą być również potrzebne inne informacje o interfejsie API, takie jak identyfikator URI punktu końcowego.

Aby uzyskać więcej informacji, zobacz dokumentację usługi, z którą nawiązujesz połączenie, i sekcję dotyczącą usługi na stronie dokumentacji łączników danych usługi Microsoft Sentinel.
Zainstaluj rozwiązanie, które zawiera łącznik oparty na usłudze Azure Functions z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

Konfigurowanie i łączenie źródła danych

Uwaga

Obszar roboczy i klucze autoryzacji interfejsu API można bezpiecznie przechowywać w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Niektóre łączniki danych zależą od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami. Zobacz sekcję dotyczącą usługi na stronie dokumentacji łączników danych usługi Microsoft Sentinel, aby uzyskać linki do instrukcji dotyczących tworzenia funkcji i aliasu usługi Kusto.

Krok 1. Pobieranie poświadczeń interfejsu API systemu źródłowego

Postępuj zgodnie z instrukcjami systemu źródłowego, aby uzyskać poświadczenia interfejsu API / klucze autoryzacji / tokeny. Skopiuj i wklej je do pliku tekstowego na później.

Szczegółowe informacje na temat dokładnych potrzebnych poświadczeń oraz linki do instrukcji dotyczących znajdowania lub tworzenia produktów można znaleźć na stronie łącznika danych w portalu i w sekcji dotyczącej usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel.

Może być również konieczne skonfigurowanie rejestrowania lub innych ustawień w systemie źródłowym. Odpowiednie instrukcje znajdziesz razem z tymi w poprzednim akapicie.

Krok 2. Wdrażanie łącznika i skojarzonej aplikacji funkcji platformy Azure

Wybieranie opcji wdrożenia

Ta metoda zapewnia automatyczne wdrażanie łącznika opartego na funkcji platformy Azure przy użyciu szablonu usługi ARM.

W portalu usługi Microsoft Sentinel wybierz pozycję Łączniki danych. Wybierz łącznik oparty na usłudze Azure Functions z listy, a następnie na stronie Otwórz łącznik.
W obszarze Konfiguracja skopiuj identyfikator obszaru roboczego usługi Microsoft Sentinel i klucz podstawowy i wklej je na bok.
Wybierz pozycję Wdróż na platformie Azure. (Może być konieczne przewinięcie w dół, aby znaleźć przycisk).
Zostanie wyświetlony ekran niestandardowego wdrażania .
- Wybierz subskrypcję, grupę zasobów i region, w którym chcesz wdrożyć aplikację funkcji.
- Wprowadź poświadczenia interfejsu API / klucze autoryzacji / tokeny zapisane w kroku 1 powyżej.
- Wprowadź identyfikator obszaru roboczego usługi Microsoft Sentinel i klucz obszaru roboczego (klucz podstawowy), który został skopiowany i odłożone.
  
  Uwaga
  
  Jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj @Microsoft.KeyVault(SecretUri={Security Identifier}) schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.
- Ukończ wszystkie inne pola w formularzu na ekranie wdrożenie niestandardowe. Zobacz stronę łącznika danych w portalu lub sekcję dotyczącą usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel.
- Wybierz pozycję Przejrzyj i utwórz. Po zakończeniu walidacji wybierz pozycję Utwórz.

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łączniki oparte na usłudze Azure Functions korzystające z funkcji programu PowerShell.

W portalu usługi Microsoft Sentinel wybierz pozycję Łączniki danych. Wybierz łącznik oparty na usłudze Azure Functions z listy, a następnie na stronie Otwórz łącznik.
W obszarze Konfiguracja skopiuj identyfikator obszaru roboczego usługi Microsoft Sentinel i klucz podstawowy i wklej je na bok.
Tworzenie aplikacji funkcji
1. W witrynie Azure Portal wyszukaj i wybierz pozycję Aplikacja funkcji.
2. Na stronie Aplikacja funkcji wybierz pozycję Utwórz. Zostanie otwarty kreator Tworzenie aplikacji funkcji.
3. Na karcie Podstawy :
  - Wybierz subskrypcję i grupę zasobów.
  - Nadaj aplikacji funkcji nazwę.
  - Ustaw stos środowiska uruchomieniowego na PowerShell Core.
  - Wybierz odpowiedni numer wersji.
  - Wybierz region, w którym chcesz wdrożyć, a następnie wybierz pozycję Dalej: Hosting.
4. Na karcie Hosting :
  - Wybierz konto magazynu, którego chcesz użyć, lub utwórz nowe.
  - Wybierz pozycję Zużycie (bezserwerowe) jako typ planu.
5. Wprowadź inne potrzebne zmiany konfiguracji, a następnie wybierz pozycję Przejrzyj i utwórz.
6. Zaczekaj na komunikat "Weryfikacja przekazana", a następnie wybierz pozycję Utwórz.
7. Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.
Importowanie kodu aplikacji funkcji
1. W nowo utworzonej aplikacji funkcji wybierz pozycję Funkcje z menu nawigacji.
2. Na stronie Funkcje wybierz pozycję + Dodaj.
3. W panelu Dodawanie funkcji wybierz wyzwalacz czasomierza.
4. Wprowadź unikatową nazwę funkcji i wprowadź wyrażenie cron , aby określić harmonogram. Domyślny interwał to co 5 minut.
5. Po utworzeniu funkcji wybierz pozycję Kod i testowanie w okienku po lewej stronie.
6. Pobierz kod aplikacji funkcji dostarczony przez dostawcę systemu źródłowego i skopiuj go i wklej do edytora Run.ps1 aplikacji funkcji, zastępując to, co jest domyślnie dostępne. Link pobierania można znaleźć na stronie łącznika lub w sekcji dotyczącej usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel.
7. Wybierz pozycję Zapisz.
Konfigurowanie aplikacji funkcji
1. Na stronie Aplikacji funkcji wybierz pozycję Konfiguracja w obszarze Ustawienia w menu nawigacji.
2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
3. Dodaj określone ustawienia aplikacji dla produktu indywidualnie z odpowiednimi wartościami ciągów z uwzględnieniem wielkości liter. Zobacz stronę łącznika danych lub sekcję produktu dotyczącą usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel.
  
  Napiwek
  
  Jeśli ma to zastosowanie, użyj ustawienia aplikacji logAnalyticsUri , aby zastąpić punkt końcowy interfejsu API analizy dzienników, jeśli używasz dedykowanej chmury. Na przykład jeśli używasz chmury publicznej, pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łączniki oparte na usłudze Azure Functions korzystające z funkcji języka Python. Tego rodzaju wdrożenie wymaga programu Visual Studio Code.

W portalu usługi Microsoft Sentinel wybierz pozycję Łączniki danych. Wybierz łącznik oparty na usłudze Azure Functions z listy, a następnie na stronie Otwórz łącznik.
W obszarze Konfiguracja skopiuj identyfikator obszaru roboczego usługi Microsoft Sentinel i klucz podstawowy i wklej je na bok.
Wdrażanie aplikacji funkcji

Uwaga

Musisz przygotować program Visual Studio Code (VS Code) do tworzenia funkcji platformy Azure.
1. Pobierz plik aplikacji funkcji platformy Azure przy użyciu linku podanego na stronie łącznika danych i w sekcji dotyczącej usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel. Wyodrębnij archiwum na lokalny komputer deweloperów.
2. Uruchom program VS Code. Na pasku menu wybierz pozycję Plik > Otwórz folder....
3. Wybierz folder najwyższego poziomu z plików wyodrębnionych z archiwum.
4. Wybierz ikonę platformy Azure na pasku działań programu VS Code (po lewej stronie). Następnie w obszarze Azure: Functions wybierz przycisk Wdróż w aplikacji funkcji.
  
  Uwaga
  
  Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działania. Następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure.
  Jeśli już się zalogowałeś, przejdź do następnego kroku.
5. Podaj następujące informacje po wyświetleniu monitów:
  - Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.
  - Wybierz subskrypcję: wybierz subskrypcję do użycia.
  - Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure. (Nie wybieraj Opcja zaawansowana ).
  - Wprowadź globalnie unikatową nazwę aplikacji funkcji: nadaj aplikacji funkcji nazwę prawidłową w ścieżce adresu URL. Wybrana nazwa zostanie zweryfikowana, aby upewnić się, że jest ona unikatowa w usłudze Azure Functions.
  - Wybierz środowisko uruchomieniowe: wybierz język Python 3.8.
6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.
7. Wróć do strony aplikacji funkcji, aby uzyskać informacje o konfiguracji.
Konfigurowanie aplikacji funkcji
1. Na stronie Aplikacji funkcji wybierz pozycję Konfiguracja w obszarze Ustawienia w menu nawigacji.
2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
3. Dodaj określone ustawienia aplikacji dla produktu indywidualnie z odpowiednimi wartościami ciągów z uwzględnieniem wielkości liter. Zobacz stronę łącznika danych lub sekcję dotyczącą usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel, aby dodać ustawienia aplikacji.
  - Jeśli ma to zastosowanie, użyj ustawienia aplikacji logAnalyticsUri , aby zastąpić punkt końcowy interfejsu API analizy dzienników, jeśli używasz dedykowanej chmury. Na przykład jeśli używasz chmury publicznej, pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.

Znajdowanie danych

Po pomyślnym nawiązaniu połączenia dane są wyświetlane w obszarze Dzienniki w obszarze CustomLogs w tabelach wymienionych w sekcji dotyczącej usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel.

Aby wykonywać zapytania dotyczące danych, wprowadź jedną z tych nazw tabel — lub odpowiedni alias funkcji Kusto — w oknie zapytania.

Zobacz kartę Następne kroki na stronie łącznika, aby zapoznać się z przydatnymi przykładowymi zapytaniami.

Weryfikowanie łączności

Wyświetlenie dzienników w usłudze Log Analytics może potrwać do 20 minut.

Następne kroki

W tym dokumencie przedstawiono sposób łączenia usługi Microsoft Sentinel ze źródłem danych przy użyciu łączników opartych na usłudze Azure Functions. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
Monitorowanie danych za pomocą skoroszytów .

Udostępnij za pośrednictwem