Recursos para criar conectores personalizados do Microsoft Azure Sentinel
O Microsoft Sentinel fornece uma ampla variedade de conectores prontos para uso para serviços do Azure e soluções externas e também oferece suporte à ingestão de dados de algumas fontes sem um conector dedicado.
Se não for possível conectar sua fonte de dados ao Microsoft Azure Sentinel usando qualquer uma das soluções existentes disponíveis, considere criar seu próprio conector de fonte de dados.
Para obter uma lista completa de conectores suportados, veja Encontre seu conector de dados do Microsoft Sentinel).
Comparar métodos de conectores personalizados
A tabela a seguir compara os detalhes essenciais sobre cada método para a criação de conectores personalizados descritos neste artigo. Selecione os links na tabela para obter mais detalhes sobre cada método.
| Descrição de método | Funcionalidade | Sem servidor | Complexidade |
|---|---|---|---|
| Plataforma de conector com código (CCP) Ideal para públicos menos técnicos criar conectores SaaS usando um arquivo de configuração em vez de desenvolvimento avançado. |
Dá suporte a todas as funcionalidades disponíveis com o código. | Sim | Baixa, desenvolvimento simples e com código |
| Agente do Azure Monitor Melhor para coletar arquivos de fontes locais e de IaaS |
Coleção de arquivos, transformação de dados | Não | Baixo |
| Logstash Melhor para fontes locais e IaaS, qualquer fonte para a qual um plug-in esteja disponível e organizações já familiarizados com o Logstash |
Dá suporte a todos os recursos do agente do Azure Monitor | Não; requer que uma VM ou um cluster de VM seja executado | Baixa; Dá suporte a muitos cenários com plug-ins |
| Aplicativos Lógicos Alto custo; Evite para dados de alto volume Melhor para fontes de nuvem de baixo volume |
A programação sem código permite flexibilidade limitada, não há suporte para a implementação de algoritmos. Se nenhuma ação disponível já oferecer suporte aos seus requisitos, a criação de uma ação personalizada poderá adicionar complexidade. |
Sim | Baixa, desenvolvimento simples e com código |
| API de ingestão de logs no Azure Monitor Melhor para os ISVs que implementam a integração e para requisitos de coleção exclusivos |
Dá suporte a todas as funcionalidades disponíveis com o código. | Depende da implementação | Alto |
| Azure Functions Ideal para fontes de nuvem de alto volume e requisitos de coleção exclusivos |
Dá suporte a todas as funcionalidades disponíveis com o código. | Sim | Alta, requer conhecimento de programação |
Dica
Para comparações de uso de aplicativos lógicos e Azure Functions para o mesmo conector, consulte:
- Ingerir logs de firewall do aplicativo Web com rapidez no Microsoft Azure Sentinel
- Office 365 (Comunidade GitHub do Microsoft Azure Sentinel): conector de aplicativo lógico | Conector do Azure Function
Conectar-se com a Plataforma de Conector sem Código
A CCP (Plataforma de Conector sem Código) fornece um arquivo de configuração que pode ser usado por clientes e parceiros e, depois, implantado em seu workspace ou como uma solução para a galeria de soluções do Microsoft Sentinel.
Os conectores criados usando a CCP são integralmente SaaS, sem requisitos de instalações de serviço e também incluem monitoramento de integridade e suporte completo do Microsoft Sentinel.
Para obter mais informações, confira Criar um conector sem código para o Microsoft Sentinel.
Conectar-se ao agente do Azure Monitor
Se a fonte de dados fornecer eventos em arquivos de texto, é recomendável usar o agente do Azure Monitor para criar seu conector personalizado.
Para obter mais informações, consulte Coletar logs de um arquivo de texto com o agente do Azure Monitor.
Para obter um exemplo desse método, consulte Coletar logs de um arquivo JSON com o agente do Azure Monitor.
Conectar-se ao Logstash
Se você estiver familiarizado com o Logstash, convém usar o Logstash com o plug-in de saída Logstash para o Microsoft Azure Sentinel para criar seu conector personalizado.
Com o plug-in de saída Logstash do Microsoft Azure Sentinel, você pode usar quaisquer plug-ins de entrada e filtragem do Logstash e configurar o Microsoft Azure Sentinel como a saída para um pipeline Logstash. O Logstash tem uma grande biblioteca de plug-ins que habilitam a entrada de várias fontes, como hubs de eventos, Apache Kafka, Arquivos, Bancos de Dados e serviços de Nuvem. Use os plug-ins de filtragem para analisar eventos, filtrar eventos desnecessários, ofuscar valores e muito mais.
Para obter exemplos de como usar o Logstash como um conector personalizado, consulte:
- Procurando TTPS da violação do Capital One em logs do AWS usando o Microsoft Azure Sentinel (blog)
- Guia de implementação do Microsoft Azure Sentinel Radware
Para obter exemplos de plug-ins úteis do Logstash, consulte:
- Plug-in de entrada CloudWatch
- Exemplos de Hubs de Eventos do Azure
- Plug-in de entrada do Google Cloud Storage
- Plug-in de entrada Google_pubsub
Dica
O Logstash também habilita a coleta de dados dimensionada usando um cluster. Para obter mais informações, consulte usando uma VM Logstash com balanceamento de carga em escala.
Conectar-se aos Aplicativos Lógicos
Use os Aplicativos Lógicos do Azure para criar um conector personalizado sem servidor para o Microsoft Azure Sentinel.
Observação
Embora a criação de conectores sem servidor usando Aplicativos Lógicos possa ser conveniente, o uso de Aplicativos Lógicos para seus conectores pode ser dispendioso para grandes volumes de dados.
É recomendável que você use esse método somente para fontes de dados de volume baixo ou enriquecendo os carregamentos de dados.
Use um dos seguintes gatilhos para iniciar seus aplicativos lógicos:
Gatilho Descrição Uma tarefa recorrente Por exemplo, agende seu aplicativo lógico para recuperar dados regularmente de arquivos específicos, bancos de dados ou APIs externas.
Para obter mais informações, consulte Cria, agendar e executar tarefas e fluxos de trabalho recorrentes com os Aplicativos Lógicos do Azure.Gatilho sob demanda Execute seu aplicativo lógico sob demanda para a coleta e teste manuais de dados.
Para obter mais informações, confira Chamar, acionar ou aninhar aplicativos lógicos usando pontos de extremidade HTTPS.Ponto de extremidade HTTP/S Recomendado para streaming e se o sistema de origem puder iniciar a transferência de dados.
Para obter mais informações, consulte chamar pontos de extremidade de serviço por HTTP ou HTTPS.Use qualquer um dos conectores de Aplicativos Lógicos que lêem informações para obter seus eventos. Por exemplo:
Dica
Os conectores personalizados para APIs REST, SQL Servers e sistemas de arquivos também oferecem suporte à recuperação de dados de fontes de dados locais. Para obter mais informações, consulte Instalar a documentação do gateway de dados local.
Prepare as informações que você deseja recuperar.
Por exemplo, use a ação analisar JSON para acessar propriedades no conteúdo JSON, permitindo que você selecione essas propriedades na lista de conteúdo dinâmico quando especificar entradas para seu aplicativo lógico.
Para obter mais informações, consulte executar operações de dados em Aplicativos Lógicos do Azure.
Grave os dados em log Analytics.
Para obter mais informações, consulte a documentação do coletor de dados do Azure log Analytics.
Para obter exemplos de como você pode criar um conector personalizado para o Microsoft Azure Sentinel usando Aplicativos Lógicos do Azure, confira:
- Criar um pipeline de dados com a API do Coletor de Dados
- Conector de aplicativos lógicos do Palo Alto Prisma usando um webhook (Comunidade GitHub do Microsoft Azure Sentinel)
- Proteja suas chamadas do Microsoft Teams com a ativação agendada (blog)
- Ingerir indicadores de ameaça do AlienVault OTX no Microsoft Azure Sentinel (blog)
Conectar-se à API de Ingestão de Log
Você pode transmitir eventos para o Microsoft Azure Sentinel usando a API do coletor de dados do Log Analytics para chamar um ponto de extremidade RESTful diretamente.
Embora chamar um ponto de extremidade RESTful diretamente exija mais programação, ele também fornece mais flexibilidade.
Para obter mais informações, consulte os seguintes artigos:
- API de ingestão de logs no Azure Monitor.
- de to send data to Azure Monitor using Logs ingestion API.
Conecte-se com o Azure Functions
Use Azure Functions junto com uma API RESTful e várias linguagens de codificação, como o PowerShell, para criar um conector personalizado sem servidor.
Para obter exemplos desse método, consulte:
- Conectar o VMware Carbon Black Cloud Endpoint Standard ao Microsoft Azure Sentinel com o Azure Function
- Conectar o logon único do Okta ao Microsoft Azure Sentinel com o Azure Function
- Conectar o Proofpoint TAP ao Microsoft Azure Sentinel com o Azure Function
- Conectar o Qualys VM ao Microsoft Azure Sentinel com o Azure Function
- Ingerindo XML, CSV ou outros formatos de dados
- Monitorar o zoom com o Microsoft Azure Sentinel (blog)
- Implantar um aplicativo de funções para obter dados da API de Gerenciamento do Office 365 no Microsoft Azure Sentinel (Comunidade GitHub do Microsoft Azure Sentinel)
Analisar os dados do conector personalizado
Para aproveitar os dados coletados com seu conector personalizado, desenvolva analisadores de SIEM (Modelo de Informações de Segurança Avançado) para trabalhar com seu conector. O uso do ASIM permite que o conteúdo integrado do Microsoft Azure Sentinel use seus dados personalizados e torna mais fácil para os analistas consultarem os dados.
Se o método do conector permitir isso, você poderá implementar parte da análise como parte do conector para melhorar o desempenho da análise de tempo de consulta:
- Se você usou o Logstash, use o plug-in de filtro do compreendo para analisar seus dados.
- Se você usou uma função do Azure, analise seus dados com o código.
Você ainda precisará implementar analisadores ASIM, mas implementar parte da análise diretamente com o conector simplifica a análise e melhora o desempenho.
Próximas etapas
Usar os dados ingeridos no Microsoft Azure Sentinel para proteger seu ambiente com qualquer um dos seguintes processos: