Resurser för att skapa anpassade Anslutningsprogram för Microsoft Sentinel
Microsoft Sentinel tillhandahåller ett brett utbud av färdiga anslutningsappar för Azure-tjänster och externa lösningar och stöder även inmatning av data från vissa källor utan en dedikerad anslutningsapp.
Om du inte kan ansluta datakällan till Microsoft Sentinel med någon av de befintliga tillgängliga lösningarna kan du överväga att skapa en egen anslutningsapp för datakällan.
En fullständig lista över anslutningsappar som stöds finns i Hitta din Microsoft Sentinel-dataanslutning).
Jämföra anpassade anslutningsmetoder
I följande tabell jämförs viktig information om varje metod för att skapa anpassade anslutningsappar som beskrivs i den här artikeln. Välj länkarna i tabellen för mer information om varje metod.
| Metodbeskrivning | Kapacitet | Utan server | Komplexitet |
|---|---|---|---|
| Codeless Connector Platform (CCP) Bäst för mindre tekniska målgrupper att skapa SaaS-anslutningsappar med hjälp av en konfigurationsfil i stället för avancerad utveckling. |
Stöder alla funktioner som är tillgängliga med koden. | Ja | Låg; enkel, kodlös utveckling |
| Azure Monitor-agent Bäst för att samla in filer från lokala källor och IaaS-källor |
Filinsamling, datatransformering | Nej | Låg |
| Logstash Bäst för lokala källor och IaaS-källor, alla källor som ett plugin-program är tillgängligt för och organisationer som redan är bekanta med Logstash |
Stöder alla funktioner i Azure Monitor-agenten | Nej; kräver att ett virtuellt dator- eller VM-kluster körs | Låg; stöder många scenarier med plugin-program |
| Logiska appar Hög kostnad; undvika för data med stora volymer Bäst för molnkällor med låg volym |
Kodlös programmering ger begränsad flexibilitet, utan stöd för implementering av algoritmer. Om ingen tillgänglig åtgärd redan stöder dina krav kan det öka komplexiteten att skapa en anpassad åtgärd. |
Ja | Låg; enkel, kodlös utveckling |
| API för logginmatning i Azure Monitor Bäst för ISV:er som implementerar integrering och för unika insamlingskrav |
Stöder alla funktioner som är tillgängliga med koden. | Beror på implementeringen | Högt |
| Azure Functions Bäst för molnkällor med stora volymer och för unika insamlingskrav |
Stöder alla funktioner som är tillgängliga med koden. | Ja | Hög; kräver programmeringskunskap |
Dricks
Jämförelser av hur du använder Logic Apps och Azure Functions för samma anslutningsapp finns i:
- Mata in loggar för snabb brandvägg för webbprogram i Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub-community): Logic Anslutningsverktyg | Azure Function Connector
Ansluta med den kodlösa anslutningsplattformen
Codeless Connector Platform (CCP) tillhandahåller en konfigurationsfil som kan användas av både kunder och partner och sedan distribueras till din egen arbetsyta eller som en lösning på Microsoft Sentinels innehållshubb.
Anslutningsappar som skapats med hjälp av CCP är helt SaaS, utan några krav för tjänstinstallationer, och inkluderar även hälsoövervakning och fullständigt stöd från Microsoft Sentinel.
Mer information finns i Skapa en kodlös anslutningsapp för Microsoft Sentinel.
Ansluta med Azure Monitor-agenten
Om din datakälla levererar händelser i textfiler rekommenderar vi att du använder Azure Monitor-agenten för att skapa din anpassade anslutningsapp.
Mer information finns i Samla in loggar från en textfil med Azure Monitor Agent.
Ett exempel på den här metoden finns i Samla in loggar från en JSON-fil med Azure Monitor Agent.
Ansluta med Logstash
Om du är bekant med Logstash kanske du vill använda Logstash med Logstash-utdata-plugin-programmet för Microsoft Sentinel för att skapa din anpassade anslutningsapp.
Med plugin-programmet Microsoft Sentinel Logstash-utdata kan du använda logstash-plugin-program för indata och filtrering och konfigurera Microsoft Sentinel som utdata för en Logstash-pipeline. Logstash har ett stort bibliotek med plugin-program som aktiverar indata från olika källor, till exempel Event Hubs, Apache Kafka, Filer, Databaser och molntjänster. Använd plugin-program för filtrering för att parsa händelser, filtrera onödiga händelser, dölja värden med mera.
Exempel på hur du använder Logstash som en anpassad anslutningsapp finns i:
- Jakt på Capital One Breach TTPs i AWS-loggar med hjälp av Microsoft Sentinel (blogg)
- Implementeringsguide för Radware Microsoft Sentinel
Exempel på användbara Logstash-plugin-program finns i:
- Plugin-program för Cloudwatch-indata
- Plugin-program för Azure Event Hubs
- Plugin-program för Google Cloud Storage-indata
- Google_pubsub plugin-program för indata
Dricks
Logstash möjliggör även skalbar datainsamling med hjälp av ett kluster. Mer information finns i Använda en belastningsbalanserad virtuell Logstash-dator i stor skala.
Ansluta med Logic Apps
Använd Azure Logic Apps för att skapa en serverlös, anpassad anslutningsapp för Microsoft Sentinel.
Kommentar
Det kan vara praktiskt att skapa serverlösa anslutningsappar med Logic Apps, men det kan vara dyrt att använda Logic Apps för dina anslutningsappar för stora mängder data.
Vi rekommenderar att du endast använder den här metoden för datakällor med låg volym eller utökar dina datauppladdningar.
Använd någon av följande utlösare för att starta logic apps:
Utlösare beskrivning En återkommande aktivitet Schemalägg till exempel logikappen så att den hämtar data regelbundet från specifika filer, databaser eller externa API:er.
Mer information finns i Skapa, schemalägga och köra återkommande uppgifter och arbetsflöden i Azure Logic Apps.Utlösande på begäran Kör logikappen på begäran för manuell datainsamling och testning.
Mer information finns i Anropa, utlösa eller kapsla logikappar med HTTPS-slutpunkter.HTTP/S-slutpunkt Rekommenderas för direktuppspelning och om källsystemet kan starta dataöverföringen.
Mer information finns i Anropa tjänstslutpunkter via HTTP- eller HTTP:er.Använd någon av logic Anslutningsverktyg s som läser information för att hämta dina händelser. Till exempel:
Dricks
Anpassade anslutningsappar till REST-API:er, SQL-servrar och filsystem stöder också hämtning av data från lokala datakällor. Mer information finns i Installera dokumentation om lokal datagateway .
Förbered den information som du vill hämta.
Använd till exempel åtgärden parsa JSON för att komma åt egenskaper i JSON-innehåll, så att du kan välja dessa egenskaper från listan med dynamiskt innehåll när du anger indata för logikappen.
Mer information finns i Utföra dataåtgärder i Azure Logic Apps.
Skriv data till Log Analytics.
Mer information finns i dokumentationen om Azure Log Analytics Data Collector .
Exempel på hur du kan skapa en anpassad anslutningsapp för Microsoft Sentinel med hjälp av Logic Apps finns i:
- Skapa en datapipeline med API:et datainsamlare
- Palo Alto Prisma Logic Anslutningsverktyg med hjälp av en webhook (Microsoft Sentinel GitHub-community)
- Skydda dina Microsoft Teams-samtal med schemalagd aktivering (blogg)
- Mata in AlienVault OTX-hotindikatorer i Microsoft Sentinel (blogg)
Ansluta med API:et för logginmatning
Du kan strömma händelser till Microsoft Sentinel med hjälp av Log Analytics Data Collector-API:et för att anropa en RESTful-slutpunkt direkt.
Även om det krävs mer programmering för att anropa en RESTful-slutpunkt direkt, ger det också mer flexibilitet.
Mer information finns i följande artiklar:
- Api för logginmatning i Azure Monitor.
- Exempelkod för att skicka data till Azure Monitor med hjälp av API för logginmatning.
Ansluta med Azure Functions
Använd Azure Functions tillsammans med ett RESTful-API och olika kodningsspråk, till exempel PowerShell, för att skapa en serverlös anpassad anslutningsapp.
Exempel på den här metoden finns i:
- Ansluta VMware Carbon Black Cloud Endpoint Standard till Microsoft Sentinel med Azure Function
- Ansluta din okta-enkel inloggning till Microsoft Sentinel med Azure-funktionen
- Ansluta proofpoint TAP till Microsoft Sentinel med Azure Function
- Ansluta din virtuella Qualys-dator till Microsoft Sentinel med Azure Function
- Mata in XML, CSV eller andra dataformat
- Övervaka zoomning med Microsoft Sentinel (blogg)
- Distribuera en funktionsapp för att hämta Office 365 Management API-data till Microsoft Sentinel (Microsoft Sentinel GitHub-community)
Parsa dina anpassade anslutningsdata
Om du vill dra nytta av de data som samlas in med din anpassade anslutningsapp utvecklar du ASIM-parsare (Advanced Security Information Model) för att arbeta med din anslutningsapp. Med ASIM kan Microsoft Sentinels inbyggda innehåll använda dina anpassade data och göra det enklare för analytiker att fråga efter data.
Om anslutningsmetoden tillåter det kan du implementera en del av parsningen som en del av anslutningsappen för att förbättra frågetidsparsningsprestanda:
- Om du har använt Logstash använder du plugin-programmet för Grok-filtret för att parsa dina data.
- Om du har använt en Azure-funktion parsar du dina data med kod.
Du måste fortfarande implementera ASIM-parsers, men genom att implementera en del av parsningen direkt med anslutningsappen förenklas parsningen och prestandan förbättras.
Nästa steg
Använd data som matas in i Microsoft Sentinel för att skydda din miljö med någon av följande processer: