Recursos para criar conectores personalizados do Microsoft Sentinel
O Microsoft Sentinel fornece uma ampla gama de conectores prontos para uso para serviços do Azure e soluções externas e também oferece suporte à ingestão de dados de algumas fontes sem um conector dedicado.
Se você não conseguir conectar sua fonte de dados ao Microsoft Sentinel usando qualquer uma das soluções existentes disponíveis, considere criar seu próprio conector de fonte de dados.
Para obter uma lista completa dos conectores suportados, consulte Localizar o conector de dados do Microsoft Sentinel).
Comparar métodos de conector personalizados
A tabela a seguir compara detalhes essenciais sobre cada método de criação de conectores personalizados descrito neste artigo. Selecione os links na tabela para obter mais detalhes sobre cada método.
| Descrição do método | Funcionalidade | Sem servidor | Complexidade |
|---|---|---|---|
| Plataforma de conector sem código (CCP) Melhor para públicos menos técnicos para criar conectores SaaS usando um arquivo de configuração em vez de desenvolvimento avançado. |
Suporta todos os recursos disponíveis com o código. | Sim | Baixa; desenvolvimento simples e sem código |
| Azure Monitor Agent Ideal para coletar arquivos de fontes locais e IaaS |
Recolha de ficheiros, transformação de dados | Não | Baixo |
| Logstash Ideal para fontes locais e IaaS, qualquer fonte para a qual um plug-in esteja disponível e organizações já familiarizadas com o Logstash |
Suporta todos os recursos do Azure Monitor Agent | Não; requer a execução de uma VM ou cluster de VM | Baixa; suporta muitos cenários com plugins |
| Aplicações Lógicas Alto custo; evitar para dados de grande volume Ideal para fontes de nuvem de baixo volume |
A programação sem código permite uma flexibilidade limitada, sem suporte para a implementação de algoritmos. Se nenhuma ação disponível já suportar seus requisitos, criar uma ação personalizada pode adicionar complexidade. |
Sim | Baixa; desenvolvimento simples e sem código |
| API de ingestão de log no Azure Monitor Ideal para ISVs implementando integração e para requisitos de coleta exclusivos |
Suporta todos os recursos disponíveis com o código. | Depende da implementação | Alto |
| Funções do Azure Ideal para fontes de nuvem de alto volume e para requisitos exclusivos de coleta |
Suporta todos os recursos disponíveis com o código. | Sim | Alta; requer conhecimentos de programação |
Gorjeta
Para comparações do uso de Aplicativos Lógicos e Azure Functions para o mesmo conector, consulte:
- O Ingest Fastly Web Application Firewall inicia sessão no Microsoft Sentinel
- Office 365 (comunidade do Microsoft Sentinel GitHub): conector do aplicativo | lógico Conector da função do Azure
Conecte-se com a plataforma Codeless Connector
A CCP (Codeless Connector Platform) fornece um arquivo de configuração que pode ser usado por clientes e parceiros e, em seguida, implantado em seu próprio espaço de trabalho ou como uma solução para o hub de conteúdo do Microsoft Sentinel.
Os conectores criados usando a CCP são totalmente SaaS, sem quaisquer requisitos para instalações de serviço, e também incluem monitoramento de integridade e suporte total do Microsoft Sentinel.
Para obter mais informações, consulte Criar um conector sem código para o Microsoft Sentinel.
Conecte-se com o Azure Monitor Agent
Se sua fonte de dados entregar eventos em arquivos de texto, recomendamos que você use o Azure Monitor Agent para criar seu conector personalizado.
Para obter mais informações, consulte Coletar logs de um arquivo de texto com o Azure Monitor Agent.
Para obter um exemplo desse método, consulte Coletar logs de um arquivo JSON com o Azure Monitor Agent.
Conecte-se com o Logstash
Se você estiver familiarizado com o Logstash, convém usar o Logstash com o plug-in de saída Logstash para o Microsoft Sentinel para criar seu conector personalizado.
Com o plug-in Microsoft Sentinel Logstash Output, você pode usar qualquer entrada Logstash e plug-ins de filtragem e configurar o Microsoft Sentinel como a saída para um pipeline Logstash. O Logstash tem uma grande biblioteca de plugins que permitem a entrada de várias fontes, como Hubs de Eventos, Apache Kafka, Arquivos, Bancos de Dados e Serviços de Nuvem. Use plug-ins de filtragem para analisar eventos, filtrar eventos desnecessários, ofuscar valores e muito mais.
Para obter exemplos de como usar o Logstash como um conector personalizado, consulte:
- Caça a TTPs de violação do Capital One em logs da AWS usando o Microsoft Sentinel (blog)
- Guia de implementação do Radware Microsoft Sentinel
Para obter exemplos de plugins Logstash úteis, consulte:
- Plug-in de entrada do Cloudwatch
- Plug-in dos Hubs de Eventos do Azure
- Plug-in de entrada do Google Cloud Storage
- Google_pubsub plugin de entrada
Gorjeta
O Logstash também permite a coleta de dados dimensionados usando um cluster. Para obter mais informações, consulte Usando uma VM Logstash com balanceamento de carga em escala.
Conecte-se com aplicativos lógicos
Use os Aplicativos Lógicos do Azure para criar um conector personalizado sem servidor para o Microsoft Sentinel.
Nota
Embora a criação de conectores sem servidor usando aplicativos lógicos possa ser conveniente, usar aplicativos lógicos para seus conectores pode ser caro para grandes volumes de dados.
Recomendamos que você use esse método apenas para fontes de dados de baixo volume ou para enriquecer seus carregamentos de dados.
Use um dos seguintes gatilhos para iniciar seus aplicativos lógicos:
Acionador Description Uma tarefa recorrente Por exemplo, agende seu Aplicativo Lógico para recuperar dados regularmente de arquivos, bancos de dados ou APIs externas específicos.
Para obter mais informações, consulte Criar, agendar e executar tarefas e fluxos de trabalho recorrentes nos Aplicativos Lógicos do Azure.Acionamento sob demanda Execute seu aplicativo lógico sob demanda para coleta e teste manual de dados.
Para obter mais informações, consulte Chamar, acionar ou aninhar aplicativos lógicos usando pontos de extremidade HTTPS.Ponto de extremidade HTTP/S Recomendado para streaming e se o sistema de origem pode iniciar a transferência de dados.
Para obter mais informações, consulte Pontos de extremidade de serviço de chamada sobre HTTP ou HTTPs.Use qualquer um dos conectores do Aplicativo Lógico que leem informações para obter seus eventos. Por exemplo:
Gorjeta
Conectores personalizados para APIs REST, SQL Servers e sistemas de arquivos também oferecem suporte à recuperação de dados de fontes de dados locais. Para obter mais informações, consulte Instalar a documentação do gateway de dados local.
Prepare as informações que deseja recuperar.
Por exemplo, use a ação analisar JSON para acessar propriedades no conteúdo JSON, permitindo que você selecione essas propriedades na lista de conteúdo dinâmico ao especificar entradas para seu Aplicativo Lógico.
Para obter mais informações, consulte Executar operações de dados em Aplicativos Lógicos do Azure.
Escreva os dados no Log Analytics.
Para obter mais informações, consulte a documentação do Azure Log Analytics Data Collector .
Para obter exemplos de como você pode criar um conector personalizado para o Microsoft Sentinel usando aplicativos lógicos, consulte:
- Criar um pipeline de dados com a API do coletor de dados
- Conector Palo Alto Prisma Logic App usando um webhook (comunidade Microsoft Sentinel GitHub)
- Proteja suas chamadas do Microsoft Teams com ativação agendada (blog)
- Ingerir indicadores de ameaça OTX do AlienVault no Microsoft Sentinel (blog)
Conecte-se com a API de ingestão de log
Você pode transmitir eventos para o Microsoft Sentinel usando a API do Coletor de Dados do Log Analytics para chamar um ponto de extremidade RESTful diretamente.
Embora chamar um ponto de extremidade RESTful diretamente exija mais programação, ele também fornece mais flexibilidade.
Para obter mais informações, consulte os seguintes artigos:
- API de ingestão de log no Azure Monitor.
- Código de exemplo para enviar dados para o Azure Monitor usando a API de ingestão de Logs.
Conecte-se com o Azure Functions
Use o Azure Functions junto com uma API RESTful e várias linguagens de codificação, como o PowerShell, para criar um conector personalizado sem servidor.
Para exemplos deste método, consulte:
- Conecte seu VMware Carbon Black Cloud Endpoint Standard ao Microsoft Sentinel com o Azure Function
- Conecte seu logon único Okta ao Microsoft Sentinel com o Azure Function
- Conecte seu Proofpoint TAP ao Microsoft Sentinel com o Azure Function
- Conecte sua VM do Qualys ao Microsoft Sentinel com o Azure Function
- Ingerir XML, CSV ou outros formatos de dados
- Monitorando o Zoom com o Microsoft Sentinel (blog)
- Implantar um aplicativo de função para obter dados da API de gerenciamento do Office 365 no Microsoft Sentinel (comunidade do Microsoft Sentinel GitHub)
Analise os dados do conector personalizado
Para aproveitar os dados coletados com seu conector personalizado, desenvolva analisadores ASIM (Advanced Security Information Model) para trabalhar com seu conector. O uso do ASIM permite que o conteúdo interno do Microsoft Sentinel use seus dados personalizados e facilita a consulta dos dados pelos analistas.
Se o método do conector permitir, você poderá implementar parte da análise como parte do conector para melhorar o desempenho da análise do tempo de consulta:
- Se você usou o Logstash, use o plug-in de filtro Grok para analisar seus dados.
- Se você usou uma função do Azure, analise seus dados com código.
Você ainda precisará implementar analisadores ASIM, mas implementar parte da análise diretamente com o conector simplifica a análise e melhora o desempenho.
Próximos passos
Use os dados ingeridos no Microsoft Sentinel para proteger seu ambiente com qualquer um dos seguintes processos: