Recursos para criar conectores personalizados do Microsoft Azure Sentinel

O Microsoft Azure Sentinel fornece uma ampla variedade de conectores internos para serviços do Azure e soluções externas, além de oferecer suporte à ingestão de dados de algumas fontes sem um conector dedicado.

Se não for possível conectar sua fonte de dados ao Microsoft Azure Sentinel usando qualquer uma das soluções existentes disponíveis, considere criar seu próprio conector de fonte de dados.

Para obter uma lista completa dos conectores com suporte, confira a postagem do blog Microsoft Azure Sentinel: os conectores gerais (CEF, Syslog, direto, agente, personalizado e mais).

Comparar métodos de conectores personalizados

A tabela a seguir compara os detalhes essenciais sobre cada método para a criação de conectores personalizados descritos neste artigo. Selecione os links na tabela para obter mais detalhes sobre cada método.

Descrição de método	Funcionalidade	Sem servidor	Complexidade
Plataforma de conector com código (CCP) Ideal para públicos menos técnicos criar conectores SaaS usando um arquivo de configuração em vez de desenvolvimento avançado.	Dá suporte a todas as funcionalidades disponíveis com o código.	Yes	Baixa, desenvolvimento simples e com código
Agente do Log Analytics Melhor para coletar arquivos de fontes locais e de IaaS	Somente Coleta de Arquivos	No	Baixo
Logstash Melhor para fontes locais e IaaS, qualquer fonte para a qual um plug-in esteja disponível e organizações já familiarizados com o Logstash	Os plug-ins disponíveis, além do plug-in personalizado, funcionalidades fornecem uma flexibilidade significativa.	Não; requer que uma VM ou um cluster de VM seja executado	Baixa; Dá suporte a muitos cenários com plug-ins
Aplicativos Lógicos Alto custo; Evite para dados de alto volume Melhor para fontes de nuvem de baixo volume	A programação sem código permite flexibilidade limitada, não há suporte para a implementação de algoritmos. Se nenhuma ação disponível já oferecer suporte aos seus requisitos, a criação de uma ação personalizada poderá adicionar complexidade.	Sim	Baixa, desenvolvimento simples e com código
PowerShell Melhor para protótipos e carregamentos de arquivos periódicos	Suporte direto para a coleta de arquivos. O PowerShell pode ser usado para coletar mais fontes, mas exigirá codificação e configuração do script como um serviço.	No	Baixo
API do Log Analytics Melhor para os ISVs que implementam a integração e para requisitos de coleção exclusivos	Dá suporte a todas as funcionalidades disponíveis com o código.	Depende da implementação	Alto
Azure Functions Ideal para fontes de nuvem de alto volume e requisitos de coleção exclusivos	Dá suporte a todas as funcionalidades disponíveis com o código.	Sim	Alta, requer conhecimento de programação

Dica

Para comparações de uso de aplicativos lógicos e Azure Functions para o mesmo conector, consulte:

• Ingerir logs de firewall do aplicativo Web com rapidez no Microsoft Azure Sentinel
• Office 365 (Comunidade GitHub do Microsoft Azure Sentinel): conector de aplicativo lógico | Conector do Azure Function

Conectar-se com a Plataforma de Conector sem Código

A CCP (Plataforma de Conector sem Código) fornece um arquivo de configuração que pode ser usado por clientes e parceiros e, depois, implantado em seu workspace ou como uma solução para a galeria de soluções do Microsoft Sentinel.

Os conectores criados usando a CCP são integralmente SaaS, sem requisitos de instalações de serviço e também incluem monitoramento de integridade e suporte completo do Microsoft Sentinel.

Para obter mais informações, confira Criar um conector sem código para o Microsoft Sentinel.

Conectar-se com o agente de Log Analytics

Se a fonte de dados fornecer eventos em arquivos, recomendamos que você use o agente de Log Analytics de Azure Monitor para criar seu conector personalizado.

• Para obter mais informações, consulte coletando logs personalizados no Azure monitor.

• Para um exemplo deste método, consulte Coletando fontes de dados JSON personalizadas com o agente do Log Analytics para Linux no Azure Monitor.

Conectar-se ao Logstash

Se você estiver familiarizado com o Logstash, convém usar o Logstash com o plug-in de saída Logstash para o Microsoft Azure Sentinel para criar seu conector personalizado.

Com o plug-in de saída Logstash do Microsoft Azure Sentinel, você pode usar quaisquer plug-ins de entrada e filtragem do Logstash e configurar o Microsoft Azure Sentinel como a saída para um pipeline Logstash. O Logstash tem uma grande biblioteca de plug-ins que habilitam a entrada de várias fontes, como hubs de eventos, Apache Kafka, Arquivos, Bancos de Dados e serviços de Nuvem. Use os plug-ins de filtragem para analisar eventos, filtrar eventos desnecessários, ofuscar valores e muito mais.

Para obter exemplos de como usar o Logstash como um conector personalizado, consulte:

• Procurando TTPS da violação do Capital One em logs do AWS usando o Microsoft Azure Sentinel (blog)
• Guia de implementação do Microsoft Azure Sentinel Radware

Para obter exemplos de plug-ins úteis do Logstash, consulte:

• Plug-in de entrada CloudWatch
• Exemplos de Hubs de Eventos do Azure
• Plug-in de entrada do Google Cloud Storage
• Plug-in de entrada Google_pubsub

Dica

O Logstash também habilita a coleta de dados dimensionada usando um cluster. Para obter mais informações, consulte usando uma VM Logstash com balanceamento de carga em escala.

Conectar-se aos Aplicativos Lógicos

Use os Aplicativos Lógicos do Azure para criar um conector personalizado sem servidor para o Microsoft Azure Sentinel.

Observação

Embora a criação de conectores sem servidor usando Aplicativos Lógicos possa ser conveniente, o uso de Aplicativos Lógicos para seus conectores pode ser dispendioso para grandes volumes de dados.

É recomendável que você use esse método somente para fontes de dados de volume baixo ou enriquecendo os carregamentos de dados.

1. Use um dos seguintes gatilhos para iniciar seus aplicativos lógicos:

   Gatilho	Descrição
   Uma tarefa recorrente	Por exemplo, agende seu aplicativo lógico para recuperar dados regularmente de arquivos específicos, bancos de dados ou APIs externas. Para obter mais informações, consulte Cria, agendar e executar tarefas e fluxos de trabalho recorrentes com os Aplicativos Lógicos do Azure.
   Gatilho sob demanda	Execute seu aplicativo lógico sob demanda para a coleta e teste manuais de dados. Para obter mais informações, confira Chamar, acionar ou aninhar aplicativos lógicos usando pontos de extremidade HTTPS.
   Ponto de extremidade HTTP/S	Recomendado para streaming e se o sistema de origem puder iniciar a transferência de dados. Para obter mais informações, consulte chamar pontos de extremidade de serviço por HTTP ou HTTPS.

2. Use qualquer um dos conectores de Aplicativos Lógicos que lêem informações para obter seus eventos. Por exemplo:

   • Conectar-se a uma API REST
   • Conectar a um SQL Server
   • Conectar-se a um sistema de arquivos

   Dica

   Os conectores personalizados para APIs REST, SQL Servers e sistemas de arquivos também oferecem suporte à recuperação de dados de fontes de dados locais. Para obter mais informações, consulte Instalar a documentação do gateway de dados local.

3. Prepare as informações que você deseja recuperar.

   Por exemplo, use a ação analisar JSON para acessar propriedades no conteúdo JSON, permitindo que você selecione essas propriedades na lista de conteúdo dinâmico quando especificar entradas para seu aplicativo lógico.

   Para obter mais informações, consulte executar operações de dados em Aplicativos Lógicos do Azure.

4. Grave os dados em log Analytics.

   Para obter mais informações, consulte a documentação do coletor de dados do Azure log Analytics.

Para obter exemplos de como você pode criar um conector personalizado para o Microsoft Azure Sentinel usando Aplicativos Lógicos do Azure, confira:

• Criar um pipeline de dados com a API do Coletor de Dados
• Conector de aplicativos lógicos do Palo Alto Prisma usando um webhook (Comunidade GitHub do Microsoft Azure Sentinel)
• Proteja suas chamadas do Microsoft Teams com a ativação agendada (blog)
• Ingerir indicadores de ameaça do AlienVault OTX no Microsoft Azure Sentinel (blog)

Conectar-se com o PowerShell

O script do PowerShell Upload-AzMonitorLog permite que você use o PowerShell para transmitir eventos ou informações de contexto para o Microsoft Azure Sentinel na linha de comando. Esse streaming cria efetivamente um conector personalizado entre sua fonte de dados e o Microsoft Azure Sentinel.

Por exemplo, o script a seguir carrega um arquivo CSV para o Microsoft Azure Sentinel:

Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"

O script de script do PowerShell upload-AzMonitorLog usa os seguintes parâmetros:

Parâmetro	Descrição
espaços de trabalhoId	Sua ID do workspace do Microsoft Azure Sentinel, onde você armazenará seus dados. Encontre sua ID do espaços de trabalho e a chave.
WorkspaceKey	A chave primária ou secundária para o workspace do Microsoft Azure Sentinel em que você armazenará seus dados. Encontre sua ID do espaços de trabalho e a chave.
LogTypeName	O nome da tabela de registro personalizada em que você quer armazenar os dados. Um sufixo de _CL será adicionado automaticamente ao final do nome da tabela.
AddComputerName	Quando esse parâmetro existe, o script adiciona o nome do computador atual a cada registro de log, em um campo chamado computador.
TaggedAzureResourceId	Quando esse parâmetro existe, o script associa todos os registros de log carregados ao recurso do Azure especificado. Essa associação habilita os registros de log carregados para consultas de contexto de recurso e adere ao controle de acesso baseado em função e centrado em recursos.
AdditionalDataTaggingName	Quando esse parâmetro existe, o script adiciona outro campo a cada registro de log, com o nome configurado e o valor configurado para o parâmetro AdditionalDataTaggingValue. Nesse caso, AdditionalDataTaggingValue não deve estar vazio.
AdditionalDataTaggingValue	Quando esse parâmetro existe, o script adiciona outro campo a cada registro de log, com o valor configurado e o nome configurado para o parâmetro AdditionalDataTaggingName. Se o parâmetro AdditionalDataTaggingName estiver vazio, mas um valor for configurado, o nome do campo padrão será DataTagging.

Encontre sua ID do espaço de trabalho e a chave

Encontre os detalhes dos parâmetros WorkspaceID e WorkspaceKey no Microsoft Azure Sentinel:

1. No Microsoft Azure Sentinel, selecione Configurações à esquerda e depois a guia Configurações do workspace.

2. Em Introdução ao log Analytics>1 conectar uma fonte de dados, selecione Gerenciamento de agentes do Windows e Linux.

3. Localize a ID do espaço de trabalho, a chave primária e a chave secundária nas guias servidores do Windows.

Conectar-se com a API de Log Analytics

Você pode transmitir eventos para o Microsoft Azure Sentinel usando a API do coletor de dados do Log Analytics para chamar um ponto de extremidade RESTful diretamente.

Embora chamar um ponto de extremidade RESTful diretamente exija mais programação, ele também fornece mais flexibilidade.

Para obter mais informações, consulte a API do coletor de dados log Analytics, especialmente os exemplos a seguir:

• C#
• Python

Conecte-se com o Azure Functions

Use Azure Functions junto com uma API RESTful e várias linguagens de codificação, como o PowerShell, para criar um conector personalizado sem servidor.

Para obter exemplos desse método, consulte:

• Conectar o VMware Carbon Black Cloud Endpoint Standard ao Microsoft Azure Sentinel com o Azure Function
• Conectar o logon único do Okta ao Microsoft Azure Sentinel com o Azure Function
• Conectar o Proofpoint TAP ao Microsoft Azure Sentinel com o Azure Function
• Conectar o Qualys VM ao Microsoft Azure Sentinel com o Azure Function
• Ingerindo XML, CSV ou outros formatos de dados
• Monitorar o zoom com o Microsoft Azure Sentinel (blog)
• Implantar um aplicativo de funções para obter dados da API de Gerenciamento do Office 365 no Microsoft Azure Sentinel (Comunidade GitHub do Microsoft Azure Sentinel)

Analisar os dados do conector personalizado

Para aproveitar os dados coletados com seu conector personalizado, desenvolva analisadores de SIEM (Modelo de Informações de Segurança Avançado) para trabalhar com seu conector. O uso do ASIM permite que o conteúdo integrado do Microsoft Azure Sentinel use seus dados personalizados e torna mais fácil para os analistas consultarem os dados.

Se o método do conector permitir isso, você poderá implementar parte da análise como parte do conector para melhorar o desempenho da análise de tempo de consulta:

• Se você usou o Logstash, use o plug-in de filtro do compreendo para analisar seus dados.
• Se você usou uma função do Azure, analise seus dados com o código.

Você ainda precisará implementar analisadores ASIM, mas implementar parte da análise diretamente com o conector simplifica a análise e melhora o desempenho.

Próximas etapas

Usar os dados ingeridos no Microsoft Azure Sentinel para proteger seu ambiente com qualquer um dos seguintes processos:

• Obtenha visibilidade sobre os alertas
• Visualização e monitoramento dos dados
• Investigar incidentes
• Detectar ameaças
• Automatizar prevenção contra ameaças
• Procurar ameaças

Veja também um exemplo de como criar um conector personalizado para monitorar o Zoom: Monitorar o Zoom com o Microsoft Azure Sentinel.