Använd Azure Functions för att ansluta Microsoft Sentinel till din datakälla

Du kan använda Azure Functions, tillsammans med olika kodningsspråk som PowerShell eller Python, för att skapa en serverlös anslutningsapp till REST API-slutpunkterna för dina kompatibla datakällor. Med Azure Function Apps kan du sedan ansluta Microsoft Sentinel till datakällans REST API för att hämta loggar.

I den här artikeln beskrivs hur du konfigurerar Microsoft Sentinel för användning av Azure-funktionsappar. Du kan också behöva konfigurera källsystemet och du kan hitta länkar för leverantörs- och produktspecifik information på varje dataanslutningsapps sida i portalen eller avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsappar .

Anteckning

• När data har matats in i Microsoft Sentinel lagras de på den geografiska platsen för arbetsytan där du kör Microsoft Sentinel.

  För långsiktig kvarhållning kanske du också vill lagra data i Azure Data Explorer. Mer information finns i Integrera Azure Data Explorer.

• Om du använder Azure Functions för att mata in data i Microsoft Sentinel kan det leda till ytterligare kostnader för datainmatning. Mer information finns på sidan Azure Functions prissättning.

Förutsättningar

Kontrollera att du har följande behörigheter och autentiseringsuppgifter innan du använder Azure Functions för att ansluta Microsoft Sentinel till din datakälla och hämta loggarna till Microsoft Sentinel:

• Du måste ha läs- och skrivbehörighet på Microsoft Sentinel-arbetsytan.

• Du måste ha läsbehörighet till delade nycklar för arbetsytan. Läs mer om arbetsytenycklar.

• Du måste ha läs- och skrivbehörighet på Azure Functions för att skapa en funktionsapp. Läs mer om Azure Functions.

• Du behöver också autentiseringsuppgifter för att komma åt produktens API – antingen ett användarnamn och lösenord, en token, en nyckel eller någon annan kombination. Du kan också behöva annan API-information, till exempel en slutpunkts-URI.

  Mer information finns i dokumentationen för den tjänst som du ansluter till och avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsappar .

• Installera lösningen som innehåller din Azure Functions-baserade anslutningsapp från innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera inbyggt innehåll i Microsoft Sentinel.

Konfigurera och ansluta din datakälla

Anteckning

• Du kan lagra arbetsytor och API-auktoriseringsnycklar eller token på ett säkert sätt i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna om du vill använda Azure Key Vault med en Azure-funktionsapp.

• Vissa dataanslutningar är beroende av en parser baserat på en Kusto-funktion för att fungera som förväntat. Se avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsprogram för länkar till instruktioner för att skapa Kusto-funktionen och aliaset.

Steg 1: Hämta källsystemets API-autentiseringsuppgifter

Följ källsystemets instruktioner för att hämta dess API-autentiseringsuppgifter/auktoriseringsnycklar/token. Kopiera och klistra in dem i en textfil för senare bruk.

Du hittar information om de exakta autentiseringsuppgifter du behöver och länkar till produktens instruktioner för att hitta eller skapa dem på sidan för dataanslutningsappen i portalen och i avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsprogram .

Du kan också behöva konfigurera loggning eller andra inställningar i källsystemet. Du hittar relevanta instruktioner tillsammans med dem i föregående stycke.

Steg 2: Distribuera anslutningsappen och den associerade Azure-funktionsappen

Välj ett distributionsalternativ

Azure Resource Manager (ARM)-mall

Den här metoden tillhandahåller en automatiserad distribution av din Azure-funktionsbaserade anslutningsapp med hjälp av en ARM-mall.

1. I Microsoft Sentinel-portalen väljer du Dataanslutningsprogram. Välj din Azure Functions-baserade anslutningsapp i listan och sedan sidan Öppna anslutningsapp.

2. Under Konfiguration kopierar du Arbetsyte-ID och primärnyckel för Microsoft Sentinel och klistrar in dem åt sidan.

3. Välj Distribuera till Azure. (Du kan behöva rulla ned för att hitta knappen.)

4. Skärmen Anpassad distribution visas.

   • Välj en prenumeration, resursgrupp och region där du vill distribuera funktionsappen.

   • Ange dina API-autentiseringsuppgifter/auktoriseringsnycklar/token som du sparade i steg 1 ovan.

   • Ange ditt Microsoft Sentinel-arbetsyte-ID och arbetsytenyckel (primärnyckel) som du kopierade och lade åt sidan.

     Anteckning

     Om du använder Azure Key Vault hemligheter för något av värdena ovan använder du @Microsoft.KeyVault(SecretUri={Security Identifier}) schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault referenser.

   • Fyll i andra fält i formuläret på skärmen Anpassad distribution . Se sidan för dataanslutningsappen i portalen eller avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsappar .

   • Välj Granska + skapa. När verifieringen är klar väljer du Skapa.

Manuell distribution med PowerShell

Använd följande stegvisa instruktioner för att manuellt distribuera Azure Functions-baserade anslutningsappar som använder PowerShell-funktioner.

1. I Microsoft Sentinel-portalen väljer du Dataanslutningsprogram. Välj din Azure Functions-baserade anslutningsapp i listan och sedan sidan Öppna anslutningsapp.

2. Under Konfiguration kopierar du Arbetsyte-ID och primärnyckel för Microsoft Sentinel och klistrar in dem åt sidan.

3. Skapa en funktionsapp

   1. Från Azure Portal söker du efter och väljer Funktionsapp.

   2. På sidan Funktionsapp väljer du Skapa. Guiden Skapa funktionsapp öppnas.

   3. På fliken Grundläggande inställningar:

      • Välj en prenumeration och resursgrupp.
      • Ge funktionsappen ett namn.
      • Ställ in Körningsstack påPowerShell Core.
      • Välj lämpligt versionsnummer.
      • Välj den region där du vill distribuera och välj sedan Nästa: Värd.

   4. På fliken Värd :

      • Välj det lagringskonto som du vill använda eller skapa ett nytt.
      • Välj Förbrukning (serverlös) som plantyp.

   5. Gör eventuella andra konfigurationsändringar som du behöver och välj sedan Granska + skapa.

   6. Vänta på meddelandet "Valideringen godkändes" och välj sedan Skapa.

   7. När distributionen är klar väljer du Gå till resurs.

4. Importera funktionsappkod

   1. I den nyligen skapade funktionsappen väljer du Funktioner på navigeringsmenyn.

   2. På sidan Funktioner väljer du + Lägg till.

   3. I panelen Lägg till funktion väljer du timerutlösaren .

   4. Ange ett unikt namn för funktionen och ange ett cron-uttryck för att ange schemat. Standardintervallet är var 5:e minut.

   5. När funktionen har skapats väljer du Koda + testa i den vänstra rutan.

   6. Ladda ned funktionsappkoden som tillhandahålls av källsystemets leverantör och kopiera och klistra in den i funktionsappensrun.ps1-redigeraren och ersätt det som finns där som standard. Du hittar nedladdningslänken på anslutningssidan eller i avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsappar .

   7. Välj Spara.

5. Konfigurera funktionsappen

   1. På funktionsappens sida väljer du Konfiguration under Inställningar på navigeringsmenyn.

   2. På fliken Programinställningar väljer du + Ny programinställning.

   3. Lägg till de angivna programinställningarna för produkten individuellt med respektive skiftlägeskänsliga strängvärden. Se sidan för dataanslutningsappen eller produktavsnittet i avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsappar .

      Tips

      Om det är tillämpligt använder du logAnalyticsUri-programinställningen för att åsidosätta LOG Analytics API-slutpunkten om du använder ett dedikerat moln. Om du till exempel använder det offentliga molnet lämnar du värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.

Manuell distribution med Python

Använd följande stegvisa instruktioner för att manuellt distribuera Azure Functions-baserade anslutningsappar som använder Python-funktioner. Den här typen av distribution kräver Visual Studio Code.

1. I Microsoft Sentinel-portalen väljer du Dataanslutningsprogram. Välj din Azure Functions-baserade anslutningsapp i listan och sedan sidan Öppna anslutningsapp.

2. Under Konfiguration kopierar du Arbetsyte-ID och primärnyckel för Microsoft Sentinel och klistrar in dem åt sidan.

3. Distribuera en funktionsapp

   Anteckning

   Du måste förbereda Visual Studio Code (VS Code) för azure-funktionsutveckling.

   1. Ladda ned Azure-funktionsappfilen med hjälp av länken på sidan för dataanslutningsappen och i avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsappar . Extrahera arkivet till din lokala utvecklingsdator.

   2. Starta VS Code. På menyraden väljer du Arkiv > Öppna mapp....

   3. Välj mappen på den översta nivån från filerna som extraherats från arkivet.

   4. Välj Azure-ikonen i VS Code-aktivitetsfältet (till vänster). I området Azure: Functions väljer du sedan knappen Distribuera till funktionsapp .

      Anteckning

      Om du inte redan är inloggad väljer du Azure-ikonen i aktivitetsfältet. I området Azure: Functions väljer du sedan Logga in på Azure.
      Om du redan är inloggad går du till nästa steg.

   5. Ange följande information i meddelanderutorna:

      • Välj mapp: Välj en mapp från arbetsytan eller bläddra till en mapp som innehåller din funktionsapp.
      • Välj prenumeration: Välj den prenumeration som ska användas.
      • Välj Skapa ny funktionsapp i Azure. (Välj inte alternativet Avancerat .)
      • Ange ett globalt unikt namn för funktionsappen: Ge funktionsappen ett namn som skulle vara giltigt i en URL-sökväg. Namnet du väljer verifieras för att se till att det är unikt i hela Azure Functions.
      • Välj en körning: Välj Python 3.8.

   6. Distributionen påbörjas. Ett meddelande visas när funktionsappen har skapats och distributionspaketet har tillämpats.

   7. Gå tillbaka till funktionsappens sida för konfiguration.

4. Konfigurera funktionsappen

   1. På funktionsappens sida väljer du Konfiguration under Inställningar på navigeringsmenyn.

   2. På fliken Programinställningar väljer du + Ny programinställning.

   3. Lägg till de angivna programinställningarna för produkten individuellt med respektive skiftlägeskänsliga strängvärden. Se sidan för dataanslutningsappen eller avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsprogram för de programinställningar som ska läggas till.

      • Om det är tillämpligt använder du logAnalyticsUri-programinställningen för att åsidosätta LOG Analytics API-slutpunkten om du använder ett dedikerat moln. Om du till exempel använder det offentliga molnet lämnar du värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.

Hitta dina data

När en lyckad anslutning har upprättats visas data i Loggar under CustomLogs, i tabellerna som anges i avsnittet för din tjänst på referenssidan för Microsoft Sentinel-dataanslutningsappar .

Om du vill fråga efter data anger du ett av dessa tabellnamn – eller relevant Kusto-funktionsalias – i frågefönstret.

Se fliken Nästa steg på anslutningssidan för några användbara exempelfrågor.

Validera anslutningen

Det kan ta upp till 20 minuter innan loggarna börjar visas i Log Analytics.

Nästa steg

I det här dokumentet har du lärt dig hur du ansluter Microsoft Sentinel till din datakälla med hjälp av Azure Functions-baserade anslutningsappar. Mer information om Microsoft Sentinel finns i följande artiklar:

• Lär dig hur du får insyn i dina data och potentiella hot.
• Kom igång med att identifiera hot med Microsoft Sentinel.
• Övervaka dina data med hjälp av arbetsböcker.