Ресурсы для создания пользовательских соединителей Microsoft Sentinel

Microsoft Sentinel предоставляет широкий спектр встроенных соединителей для служб Azure и внешних решений, а также поддерживает прием данных из некоторых источников без выделенного соединителя.

Если вам не удается подключить источник данных к Microsoft Sentinel с помощью любого из доступных решений, рассмотрите возможность создания собственного соединителя источника данных.

Полный список поддерживаемых соединителей см. в разделе Поиск соединителя данных Microsoft Sentinel).

Сравнение методов настраиваемых соединителей

В следующей таблице сравниваются основные сведения о каждом методе создания настраиваемых соединителей, описанных в этой статье. Щелкните ссылки в таблице, чтобы получить дополнительные сведения о каждом методе.

Описание метода	Возможность	Внесерверное	Сложности
Платформа соединителя без кода (CCF) Для меньшей технической аудитории рекомендуется создавать соединители SaaS с помощью файла конфигурации вместо расширенной разработки.	Поддерживает все возможности, доступные в коде.	Да	Низкой; простая разработка без кода
Агент мониторинга Azure Лучше всего подходит для сбора файлов из локальных источников и источников IaaS	Сбор файлов, преобразование данных	Нет	Низкая
Logstash Лучше всего подходит для локальных источников и источников IaaS, любого источника, для которого доступен подключаемый модуль, и организаций, уже знакомых с Logstash	Поддерживает все возможности агента мониторинга Azure	Нет; требуется виртуальная машина или кластер виртуальных машин для запуска	Низкой; поддерживает множество сценариев с подключаемыми модулями
Приложения логики Высокая стоимость; избегайте больших объемов данных Лучше всего подходит для небольших облачных источников	Программирование без кода обеспечивает ограниченную гибкость без поддержки реализации алгоритмов. Если доступное действие еще не поддерживает ваши требования, создание настраиваемого действия может усложнить работу.	Да	Низкой; простая разработка без кода
API приема журналов в мониторе Azure Лучше всего подходит для поставщиков программного обеспечения, реализующих интеграцию, и для уникальных требований к коллекции	Поддерживает все возможности, доступные в коде.	Зависит от реализации	Высокая
Функции Azure Лучше всего подходит для облачных источников большого объема и для уникальных требований к коллекции	Поддерживает все возможности, доступные в коде.	Да	Высокой; требует знаний в области программирования

Совет

Сравнение использования Logic Apps и Функции Azure для одного соединителя см. в следующих разделах:

• Быстрый прием журналов Брандмауэр веб-приложений в Microsoft Sentinel
• Office 365 (Microsoft Sentinel сообщество GitHub): соединитель | приложения логики Azure соединитель функции

Подключение с помощью платформы соединителя без кода

Платформа соединителя без кода (CCF) предоставляет файл конфигурации, который может использоваться как клиентами, так и партнерами, а затем развертываться в собственной рабочей области или в качестве решения для концентратора содержимого Microsoft Sentinel.

Соединители, созданные с помощью CCF, полностью являются SaaS, без каких-либо требований к установке служб, а также включают мониторинг работоспособности и полную поддержку со стороны Microsoft Sentinel.

Дополнительные сведения см. в статье Создание соединителя без кода для Microsoft Sentinel.

Подключение с помощью агента мониторинга Azure

Если источник данных предоставляет события в текстовых файлах, рекомендуется использовать агент мониторинга Azure для создания пользовательского соединителя.

• Дополнительные сведения см. в разделе Сбор журналов из текстового файла с помощью агента мониторинга Azure.

• Пример этого метода см. в разделе Сбор журналов из JSON-файла с помощью агента мониторинга Azure.

Подключение с помощью Logstash

Если вы знакомы с Logstash, вы можете использовать Logstash с подключаемым модулем вывода Logstash для Microsoft Sentinel для создания пользовательского соединителя.

С помощью подключаемого модуля вывода Microsoft Sentinel Logstash можно использовать любые подключаемые модули ввода и фильтрации Logstash, а также настроить Microsoft Sentinel в качестве выходных данных для конвейера Logstash. Logstash имеет большую библиотеку подключаемых модулей, которые обеспечивают входные данные из различных источников, таких как Центры событий, Apache Kafka, Files, базы данных и облачные службы. Используйте подключаемые модули фильтрации для анализа событий, фильтрации ненужных событий, маскировки значений и многого другого.

Примеры использования Logstash в качестве пользовательского соединителя см. в следующих разделах:

• Поиск TTP-адресов брейков capital One в журналах AWS с помощью Microsoft Sentinel (блог)
• Руководство по реализации Microsoft Sentinel Radware

Примеры полезных подключаемых модулей Logstash см. в следующих разделах:

• Подключаемый модуль ввода Cloudwatch
• подключаемый модуль Центры событий Azure
• Подключаемый модуль ввода в Облачном хранилище Google
• подключаемый модуль ввода Google_pubsub

Совет

Logstash также позволяет масштабировать сбор данных с помощью кластера. Дополнительные сведения см. в статье Использование виртуальной машины Logstash с балансировкой нагрузки в большом масштабе.

Подключение с помощью Logic Apps

Используйте Azure Logic Apps для создания бессерверного пользовательского соединителя для Microsoft Sentinel.

Примечание.

Хотя создание бессерверных соединителей с помощью Logic Apps может быть удобным, использование Logic Apps для соединителей может быть дорогостоящим для больших объемов данных.

Рекомендуется использовать этот метод только для источников данных с небольшим объемом или обогащения передаваемых данных.

1. Используйте один из следующих триггеров, чтобы запустить Logic Apps:

   Триггер	Описание
   Повторяющаяся задача	Например, запланируйте приложение логики регулярно получать данные из определенных файлов, баз данных или внешних API. Дополнительные сведения см. в статье Создание, планирование и запуск повторяющихся задач и рабочих процессов в Azure Logic Apps.
   Активация по запросу	Запустите приложение логики по запросу для сбора и тестирования данных вручную. Дополнительные сведения см. в статье Вызов, триггер или вложение приложений логики с помощью конечных точек HTTPS.
   Конечная точка HTTP/S	Рекомендуется для потоковой передачи и, если исходная система может запустить передачу данных. Дополнительные сведения см. в статье Вызов конечных точек службы по протоколу HTTP или HTTPS.

2. Используйте любой из соединителей приложения логики, которые считывают сведения для получения событий. Например, вы можете:

   • Подключение к REST API
   • Подключение к SQL Server
   • Подключение к файловой системе

   Совет

   Пользовательские соединители для REST API, серверов SQL и файловых систем также поддерживают получение данных из локальных источников данных. Дополнительные сведения см. в документации по установке локального шлюза данных .

3. Подготовьте сведения, которые требуется извлечь.

   Например, используйте действие синтаксического анализа JSON для доступа к свойствам в содержимом JSON, что позволяет выбрать эти свойства из списка динамического содержимого при указании входных данных для приложения логики.

   Дополнительные сведения см. в статье Выполнение операций с данными в Azure Logic Apps.

4. Запишите данные в Log Analytics.

   Дополнительные сведения см. в документации по сборщику данных Azure Log Analytics.

Примеры создания пользовательского соединителя для Microsoft Sentinel с помощью Logic Apps см. в следующих разделах:

• Создание конвейера данных с помощью API сборщика данных
• Соединитель Приложения логики Palo Alto Prisma с помощью веб-перехватчика (Microsoft Sentinel сообщества GitHub)
• Защита звонков Microsoft Teams с помощью запланированной активации (блог)
• Прием индикаторов угроз AlienVault OTX в Microsoft Sentinel (блог)

Подключение с помощью API приема журналов

Вы можете передавать события в Microsoft Sentinel с помощью API сборщика данных Log Analytics для прямого вызова конечной точки RESTful.

Хотя вызов конечной точки RESTful напрямую требует больше программирования, она также обеспечивает большую гибкость.

Дополнительные сведения см. в следующих статьях:

• API приема журналов в Azure Monitor.
• Пример кода для отправки данных в Azure Monitor с помощью API приема журналов.

Подключение с помощью Функции Azure

Используйте Функции Azure вместе с API RESTful и различными языками программирования, такими как PowerShell, для создания бессерверного пользовательского соединителя.

Примеры этого метода см. в следующих разделах:

• Подключение Standard облачной конечной точки VMware Carbon Black к Microsoft Sentinel с помощью функции Azure
• Подключение одного Sign-On Okta к Microsoft Sentinel с помощью функции Azure
• Подключение tap Proofpoint к Microsoft Sentinel с помощью функции Azure
• Подключение виртуальной машины Qualys к Microsoft Sentinel с помощью функции Azure
• Прием данных XML, CSV или других форматов данных
• Мониторинг масштабирования с помощью Microsoft Sentinel (блог)
• Развертывание приложения-функции для получения данных API управления Office 365 в Microsoft Sentinel (Microsoft Sentinel сообщества GitHub)

Анализ данных пользовательского соединителя

Чтобы воспользоваться преимуществами данных, собираемых с помощью пользовательского соединителя, разработайте средства синтаксического анализа расширенной модели безопасности (ASIM) для работы с соединителем. Использование ASIM позволяет встроенному содержимому Microsoft Sentinel использовать пользовательские данные и упрощает для аналитиков запросы данных.

Если метод соединителя позволяет это, можно реализовать часть синтаксического анализа как часть соединителя, чтобы повысить производительность анализа во время запроса:

• Если вы использовали Logstash, используйте подключаемый модуль фильтра Grok для анализа данных.
• Если вы использовали функцию Azure, выполните синтаксический анализ данных с помощью кода.

Вам по-прежнему потребуется реализовать средства синтаксического анализа ASIM, но реализация части синтаксического анализа непосредственно с соединителем упрощает синтаксический анализ и повышает производительность.

Дальнейшие действия

Используйте данные, передаваемые в Microsoft Sentinel, чтобы защитить среду с помощью любого из следующих процессов:

• Получение видимости оповещений
• Визуализация и мониторинг данных
• Исследование инцидентов
• Обнаруживать угрозы
• Автоматизация защиты от угроз
• Охота на угрозы