Recursos para criar conectores personalizados do Microsoft Sentinel
O Microsoft Sentinel fornece uma vasta gama de conectores incorporados para serviços do Azure e soluções externas e também suporta a ingestão de dados de algumas origens sem um conector dedicado.
Se não conseguir ligar a sua origem de dados ao Microsoft Sentinel através de qualquer uma das soluções existentes disponíveis, considere criar o seu próprio conector de origem de dados.
Para obter uma lista completa dos conectores suportados, consulte a mensagem de blogue Microsoft Sentinel: The connectors grand (CEF, Syslog, Direct, Agent, Custom, and more ).
Comparar métodos de conector personalizados
A tabela seguinte compara detalhes essenciais sobre cada método para criar conectores personalizados descritos neste artigo. Selecione as ligações na tabela para obter mais detalhes sobre cada método.
| Descrição do método | Funcionalidade | Sem servidor | Complexidade |
|---|---|---|---|
| Plataforma de Conectores Sem Código (CCP) Melhor para audiências menos técnicas para criar conectores SaaS com um ficheiro de configuração em vez de desenvolvimento avançado. |
Suporta todas as capacidades disponíveis com o código. | Yes | Baixa; desenvolvimento simples e sem código |
| Agente do Log Analytics Melhor para recolher ficheiros de origens IaaS e no local |
Apenas coleção de ficheiros | No | Baixo |
| Logstash Melhor para origens no local e IaaS, qualquer origem para a qual esteja disponível um plug-in e organizações já familiarizadas com o Logstash |
Os plug-ins disponíveis, além do plug-in personalizado, as capacidades proporcionam uma flexibilidade significativa. | Não; requer a execução de um cluster de VM ou VM | Baixa; suporta muitos cenários com plug-ins |
| Logic Apps Custo elevado; evitar dados de grande volume Melhor para origens de cloud de baixo volume |
A programação sem código permite flexibilidade limitada, sem suporte para a implementação de algoritmos. Se nenhuma ação disponível já suportar os seus requisitos, a criação de uma ação personalizada poderá acrescentar complexidade. |
Yes | Baixa; desenvolvimento simples e sem código |
| PowerShell Melhor para prototipagem e carregamentos periódicos de ficheiros |
Suporte direto para a coleção de ficheiros. O PowerShell pode ser utilizado para recolher mais origens, mas irá precisar de codificar e configurar o script como um serviço. |
No | Baixo |
| API do Log Analytics Melhor para ISVs que implementam a integração e para requisitos de coleção exclusivos |
Suporta todas as capacidades disponíveis com o código. | Depende da implementação | Alto |
| Funções do Azure Melhor para origens de cloud de grande volume e para requisitos de coleção exclusivos |
Suporta todas as capacidades disponíveis com o código. | Yes | Alto; requer conhecimentos de programação |
Dica
Para obter comparações de utilização do Logic Apps e Funções do Azure para o mesmo conector, consulte:
- Ingerir registos de Firewall de Aplicações Web rapidamente no Microsoft Sentinel
- Office 365 (comunidade do GitHub do Microsoft Sentinel): Conector deFunções do Azure do Conector | da Aplicação Lógica
Ligar à Plataforma de Conectores Sem Código
A Plataforma de Conectores Sem Código (CCP) fornece um ficheiro de configuração que pode ser utilizado por clientes e parceiros e, em seguida, implementado na sua própria área de trabalho ou como uma solução para a galeria de soluções do Microsoft Sentinel.
Os conectores criados com o CCP são Totalmente SaaS, sem quaisquer requisitos para instalações de serviço, e também incluem monitorização do estado de funcionamento e suporte total do Microsoft Sentinel.
Para obter mais informações, consulte Criar um conector sem código para o Microsoft Sentinel.
Ligar ao agente do Log Analytics
Se a sua origem de dados fornecer eventos em ficheiros, recomendamos que utilize o agente do Log Analytics do Azure Monitor para criar o conector personalizado.
Para obter mais informações, veja Recolher registos personalizados no Azure Monitor.
Para obter um exemplo deste método, veja Collecting custom JSON data sources with the Log Analytics agent for Linux in Azure Monitor (Recolher origens de dados JSON personalizadas com o agente do Log Analytics para Linux no Azure Monitor).
Ligar ao Logstash
Se estiver familiarizado com o Logstash, poderá querer utilizar o Logstash com o plug-in de saída do Logstash para o Microsoft Sentinel para criar o conector personalizado.
Com o plug-in Saída logstash do Microsoft Sentinel, pode utilizar todos os plug-ins de entrada e filtragem do Logstash e configurar o Microsoft Sentinel como saída para um pipeline logstash. O Logstash tem uma grande biblioteca de plug-ins que permite a entrada de várias origens, como Hubs de Eventos, Apache Kafka, Ficheiros, Bases de Dados e serviços Cloud. Utilize plug-ins de filtragem para analisar eventos, filtrar eventos desnecessários, remover valores e muito mais.
Para obter exemplos de utilização do Logstash como um conector personalizado, consulte:
- Hunting for Capital One Breach TTPs in AWS logs using Microsoft Sentinel (blog) (Procurar TTPs de Violação do Capital One Em Registos do AWS com o Microsoft Sentinel (blogue)
- Guia de implementação do Microsoft Sentinel
Para obter exemplos de plug-ins de Logstash úteis, consulte:
- Plug-in de entrada do Cloudwatch
- plug-in Hubs de Eventos do Azure
- Plug-in de entrada do Google Cloud Storage
- Google_pubsub plug-in de entrada
Dica
O Logstash também permite a recolha de dados dimensionadas com um cluster. Para obter mais informações, veja Utilizar uma VM logstash com balanceamento de carga em escala.
Ligar ao Logic Apps
Utilize o Azure Logic Apps para criar um conector personalizado sem servidor para o Microsoft Sentinel.
Nota
Embora a criação de conectores sem servidor com o Logic Apps possa ser conveniente, a utilização do Logic Apps para os conectores pode ser dispendiosa para grandes volumes de dados.
Recomendamos que utilize este método apenas para origens de dados de baixo volume ou melhore os carregamentos de dados.
Utilize um dos seguintes acionadores para iniciar o Logic Apps:
Acionador Description Uma tarefa periódica Por exemplo, agende a sua Aplicação Lógica para obter dados regularmente a partir de ficheiros, bases de dados ou APIs externas específicos.
Para obter mais informações, veja Criar, agendar e executar tarefas e fluxos de trabalho periódicos no Azure Logic Apps.Acionamento a pedido Execute a sua Aplicação Lógica a pedido para recolha e teste manuais de dados.
Para obter mais informações, consulte Chamar, acionar ou aninhar aplicações lógicas com pontos finais HTTPS.Ponto final HTTP/S Recomendado para transmissão em fluxo e se o sistema de origem pode iniciar a transferência de dados.
Para obter mais informações, consulte Chamar pontos finais de serviço através de HTTP ou HTTPs.Utilize qualquer um dos conectores da Aplicação Lógica que leia informações para obter os seus eventos. Por exemplo:
Dica
Os conectores personalizados para APIs REST, SQL Servers e sistemas de ficheiros também suportam a obtenção de dados de origens de dados no local. Para obter mais informações, veja Instalar a documentação do gateway de dados no local.
Prepare as informações que pretende obter.
Por exemplo, utilize a ação analisar JSON para aceder às propriedades nos conteúdos JSON, permitindo-lhe selecionar essas propriedades na lista de conteúdo dinâmico quando especificar entradas para a sua Aplicação Lógica.
Para obter mais informações, veja Executar operações de dados no Azure Logic Apps.
Escreva os dados no Log Analytics.
Para obter mais informações, veja a documentação do Recoletor de Dados do Log Analytics do Azure .
Para obter exemplos de como pode criar um conector personalizado para o Microsoft Sentinel com o Logic Apps, veja:
- Criar um pipeline de dados com a API do Recoletor de Dados
- Conector da Palo Alto Prisma Logic App com um webhook (comunidade do GitHub do Microsoft Sentinel)
- Proteger as chamadas do Microsoft Teams com ativação agendada (blogue)
- Ingerir indicadores de ameaça alienVault OTX no Microsoft Sentinel (blogue)
Ligar com o PowerShell
O script do PowerShell Upload-AzMonitorLog permite-lhe utilizar o PowerShell para transmitir eventos ou informações de contexto para o Microsoft Sentinel a partir da linha de comandos. Esta transmissão em fluxo cria efetivamente um conector personalizado entre a sua origem de dados e o Microsoft Sentinel.
Por exemplo, o script seguinte carrega um ficheiro CSV para o Microsoft Sentinel:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
O script do PowerShell Upload-AzMonitorLog utiliza os seguintes parâmetros:
| Parâmetro | Description |
|---|---|
| WorkspaceId | O ID da área de trabalho do Microsoft Sentinel, onde irá armazenar os seus dados. Localize o ID e a chave da área de trabalho. |
| Chave da Área de Trabalho | A chave primária ou secundária da área de trabalho do Microsoft Sentinel onde irá armazenar os seus dados. Localize o ID e a chave da área de trabalho. |
| LogTypeName | O nome da tabela de registos personalizada onde pretende armazenar os dados. Um sufixo de _CL será automaticamente adicionado ao final do nome da tabela. |
| AddComputerName | Quando este parâmetro existe, o script adiciona o nome do computador atual a todos os registos, num campo denominado Computador. |
| TaggedAzureResourceId | Quando este parâmetro existe, o script associa todos os registos carregados ao recurso do Azure especificado. Esta associação permite os registos carregados para consultas de contexto de recursos e cumpre o controlo de acesso baseado em funções centrado em recursos. |
| AdditionalDataTaggingName | Quando este parâmetro existe, o script adiciona outro campo a cada registo, com o nome configurado e o valor configurado para o parâmetro AdditionalDataTaggingValue . Neste caso, AdditionalDataTaggingValue não pode estar vazio. |
| AdditionalDataTaggingValue | Quando este parâmetro existe, o script adiciona outro campo a cada registo, com o valor configurado e o nome do campo configurado para o parâmetro AdditionalDataTaggingName . Se o parâmetro AdditionalDataTaggingName estiver vazio, mas um valor estiver configurado, o nome de campo predefinido será DataTagging. |
Localizar o ID e a chave da área de trabalho
Encontre os detalhes dos parâmetros WorkspaceID e WorkspaceKey no Microsoft Sentinel:
No Microsoft Sentinel, selecione Definições à esquerda e, em seguida, selecione o separador Definições da área de trabalho.
Em Introdução ao Log Analytics>1 Ligue uma origem de dados, selecione Gestão de agentes do Windows e Linux.
Localize o ID da área de trabalho, a chave primária e a chave secundária nos separadores servidores do Windows .
Ligar à API do Log Analytics
Pode transmitir eventos em fluxo para o Microsoft Sentinel com a API do Recoletor de Dados do Log Analytics para chamar diretamente um ponto final RESTful.
Embora chamar um ponto final RESTful diretamente necessite de mais programação, também proporciona mais flexibilidade.
Para obter mais informações, veja a API do Recoletor de Dados do Log Analytics, especialmente os seguintes exemplos:
Ligar com Funções do Azure
Utilize Funções do Azure juntamente com uma API RESTful e várias linguagens de codificação, como o PowerShell, para criar um conector personalizado sem servidor.
Para obter exemplos deste método, veja:
- Ligar o VMware Carbon Black Cloud Endpoint Standard ao Microsoft Sentinel com a Função do Azure
- Ligar o seu Sign-On Único okta ao Microsoft Sentinel com a Função do Azure
- Ligar o Seu Proofpoint TAP ao Microsoft Sentinel com a Função do Azure
- Ligar a VM Qualys ao Microsoft Sentinel com a Função do Azure
- Ingerir XML, CSV ou outros formatos de dados
- Monitorização do Zoom com o Microsoft Sentinel (blogue)
- Implementar uma Aplicação de Funções para obter dados da API de Gestão de Office 365 no Microsoft Sentinel (comunidade do GitHub do Microsoft Sentinel)
Analisar os dados do conector personalizado
Para tirar partido dos dados recolhidos com o conector personalizado, desenvolva analisadores do Advanced Security Information Model (ASIM) para trabalhar com o conector. A utilização do ASIM permite que os conteúdos incorporados do Microsoft Sentinel utilizem os seus dados personalizados e facilita a consulta dos dados por parte dos analistas.
Se o método do conector o permitir, pode implementar parte da análise como parte do conector para melhorar o desempenho da análise do tempo de consulta:
- Se tiver utilizado o Logstash, utilize o plug-in de filtro Grok para analisar os seus dados.
- Se tiver utilizado uma função do Azure, analise os seus dados com código.
Ainda terá de implementar parsers ASIM, mas implementar parte da análise diretamente com o conector simplifica a análise e melhora o desempenho.
Passos seguintes
Utilize os dados ingeridos no Microsoft Sentinel para proteger o seu ambiente com qualquer um dos seguintes processos:
- Obter visibilidade sobre os alertas
- Visualizar e monitorizar os seus dados
- Investigar incidentes
- Detetar ameaças
- Automatizar a prevenção de ameaças
- Investigar ameaças
Além disso, saiba mais sobre um exemplo de criação de um conector personalizado para monitorizar a Pré-visualização: Monitorização da Pré-visualização com o Microsoft Sentinel.