Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Sentinel tillhandahåller ett brett utbud av färdiga anslutningsappar för Azure tjänster och externa lösningar, och har även stöd för inmatning av data från vissa källor utan en dedikerad anslutningsapp.
Om du inte kan ansluta datakällan till Microsoft Sentinel med någon av de befintliga tillgängliga lösningarna kan du skapa en egen anslutningsapp för datakällan.
En fullständig lista över anslutningsappar som stöds finns i Hitta din Microsoft Sentinel dataanslutning).
Jämföra metoder för anpassade anslutningsappar
I följande tabell jämförs viktig information om varje metod för att skapa anpassade anslutningsappar som beskrivs i den här artikeln. Välj länkarna i tabellen för mer information om varje metod.
| Metodbeskrivning | Funktion | Serverlös | Komplexitet |
|---|---|---|---|
|
Codeless Connector Framework (CCF) Bäst för mindre tekniska målgrupper att skapa SaaS-anslutningsappar med hjälp av en konfigurationsfil i stället för avancerad utveckling. |
Stöder alla funktioner som är tillgängliga med koden. | Ja | Låg; enkel, kodlös utveckling |
|
Azure Monitor-agent Bäst för att samla in filer från lokala källor och IaaS-källor |
Filinsamling, datatransformering | Nej | Låg |
|
Logstash Bäst för lokala källor och IaaS-källor, alla källor som ett plugin-program är tillgängligt för och organisationer som redan är bekanta med Logstash |
Stöder alla funktioner i Azure Monitor-agenten | Nej; kräver att en virtuell dator eller ett virtuellt datorkluster körs | Låg; stöder många scenarier med plugin-program |
|
Logic Apps Hög kostnad; undvika för data med stora volymer Bäst för molnkällor med låg volym |
Kodlös programmering ger begränsad flexibilitet, utan stöd för implementering av algoritmer. Om ingen tillgänglig åtgärd redan stöder dina krav kan det öka komplexiteten genom att skapa en anpassad åtgärd. |
Ja | Låg; enkel, kodlös utveckling |
|
API för logginmatning i Azure Monitor Bäst för ISV:er som implementerar integrering och för krav på unik samling |
Stöder alla funktioner som är tillgängliga med koden. | Beror på implementeringen | Högsta |
|
Azure Functions Bäst för molnkällor med stora volymer och för unika insamlingskrav |
Stöder alla funktioner som är tillgängliga med koden. | Ja | Hög; kräver programmeringskunskap |
Tips
Jämförelser av hur du använder Logic Apps och Azure Functions för samma anslutningsapp finns i:
- Mata in snabbt Web Application Firewall loggar till Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub Community): Logic App Connector | Azure Function Connector
Ansluta med Codeless Connector Framework
Codeless Connector Framework (CCF) innehåller en konfigurationsfil som kan användas av både kunder och partner och sedan distribueras till din egen arbetsyta eller som en lösning på Microsoft Sentinel innehållshubben.
Anslutningsappar som skapats med CCF är helt SaaS, utan några krav för tjänstinstallationer, och omfattar även hälsoövervakning och fullständigt stöd från Microsoft Sentinel.
Mer information finns i Skapa en kodlös anslutningsapp för Microsoft Sentinel.
Ansluta med Azure Monitor-agenten
Om datakällan levererar händelser i textfiler rekommenderar vi att du använder Azure Monitor Agent för att skapa din anpassade anslutningsapp.
Mer information finns i Samla in loggar från en textfil med Azure Monitor Agent.
Ett exempel på den här metoden finns i Samla in loggar från en JSON-fil med Azure Monitor Agent.
Ansluta med Logstash
Om du är bekant med Logstash kanske du vill använda Logstash med logstash-utdata-plugin-programmet för Microsoft Sentinel för att skapa din anpassade anslutningsapp.
Med plugin-programmet Microsoft Sentinel Logstash Output kan du använda alla Logstash-plugin-program för indata och filtrering och konfigurera Microsoft Sentinel som utdata för en Logstash-pipeline. Logstash har ett stort bibliotek med plugin-program som aktiverar indata från olika källor, till exempel Event Hubs, Apache Kafka, Files, Databaser och molntjänster. Använd plugin-program för filtrering för att parsa händelser, filtrera onödiga händelser, dölja värden med mera.
Exempel på hur du använder Logstash som en anpassad anslutningsapp finns i:
- Jakt på TTP:er för Capital One Breach i AWS-loggar med hjälp av Microsoft Sentinel (blogg)
- Implementeringsguide för Radware Microsoft Sentinel
Exempel på användbara Logstash-plugin-program finns i:
- Plugin-program för Cloudwatch-indata
- Azure Event Hubs plugin-program
- Plugin-program för Google Cloud Storage-indata
- Google_pubsub plugin-program för indata
Tips
Logstash möjliggör även skalbar datainsamling med hjälp av ett kluster. Mer information finns i Använda en belastningsbalanserad virtuell Logstash-dator i stor skala.
Ansluta med Logic Apps
Använd Azure Logic Apps för att skapa en serverlös, anpassad anslutningsapp för Microsoft Sentinel.
Obs!
Det kan vara praktiskt att skapa serverlösa anslutningsappar med Logic Apps, men det kan vara dyrt att använda Logic Apps för dina anslutningsappar för stora datavolymer.
Vi rekommenderar att du endast använder den här metoden för datakällor med låg volym eller berikar dina datauppladdningar.
Använd någon av följande utlösare för att starta Logic Apps:
Utlösa Beskrivning En återkommande aktivitet Schemalägg till exempel logikappen så att den regelbundet hämtar data från specifika filer, databaser eller externa API:er.
Mer information finns i Skapa, schemalägga och köra återkommande uppgifter och arbetsflöden i Azure Logic Apps.Utlösande på begäran Kör logikappen på begäran för manuell datainsamling och testning.
Mer information finns i Anropa, utlösa eller kapsla logikappar med HTTPS-slutpunkter.HTTP/S-slutpunkt Rekommenderas för direktuppspelning och om källsystemet kan starta dataöverföringen.
Mer information finns i Anropa tjänstslutpunkter via HTTP eller HTTPS.Använd någon av logic app-anslutningsapparna som läser information för att hämta dina händelser. Till exempel:
Tips
Anpassade anslutningsappar till REST-API:er, SQL-servrar och filsystem stöder också hämtning av data från lokala datakällor. Mer information finns i Installera lokal datagatewaydokumentation .
Förbered den information som du vill hämta.
Använd till exempel åtgärden parsa JSON för att komma åt egenskaper i JSON-innehåll, så att du kan välja dessa egenskaper från listan med dynamiskt innehåll när du anger indata för logikappen.
Mer information finns i Utföra dataåtgärder i Azure Logic Apps.
Skriv data till Log Analytics.
Mer information finns i dokumentationen Azure Log Analytics Data Collector.
Exempel på hur du kan skapa en anpassad anslutningsapp för Microsoft Sentinel med hjälp av Logic Apps finns i:
- Skapa en datapipeline med API:et för datainsamlare
- Palo Alto Prisma Logic App-anslutningsprogram med hjälp av en webhook (Microsoft Sentinel GitHub-community)
- Skydda dina Microsoft Teams-samtal med schemalagd aktivering (blogg)
- Mata in AlienVault OTX-hotindikatorer i Microsoft Sentinel (blogg)
Ansluta med API:et för logginmatning
Du kan strömma händelser till Microsoft Sentinel med hjälp av Log Analytics-API:et för datainsamlare för att anropa en RESTful-slutpunkt direkt.
Även om det krävs mer programmering för att anropa en RESTful-slutpunkt direkt, ger det också större flexibilitet.
Mer information finns i följande artiklar:
- API för logginmatning i Azure Monitor.
- Exempelkod för att skicka data till Azure Monitor med hjälp av LOGS-inmatnings-API.
Ansluta med Azure Functions
Använd Azure Functions tillsammans med ett RESTful-API och olika kodningsspråk, till exempel PowerShell, för att skapa en serverlös anpassad anslutningsapp.
Exempel på den här metoden finns i:
- Anslut VMware Carbon Black Cloud Endpoint Standard för att Microsoft Sentinel med Azure-funktionen
- Ansluta din Okta Single-Sign-On till Microsoft Sentinel med Azure-funktionen
- Ansluta proofpoint TAP till Microsoft Sentinel med Azure-funktionen
- Ansluta din virtuella Qualys-dator till Microsoft Sentinel med funktionen Azure
- Mata in XML, CSV eller andra dataformat
- Övervaka Zoom med Microsoft Sentinel (blogg)
- Distribuera en funktionsapp för att hämta Office 365 Management API-data till Microsoft Sentinel (Microsoft Sentinel GitHub-communityn)
Parsa dina anpassade anslutningsdata
Om du vill dra nytta av de data som samlas in med din anpassade anslutningsapp utvecklar du ASIM-parsers (Advanced Security Information Model) för att arbeta med din anslutningsapp. Med ASIM kan Microsoft Sentinel inbyggt innehåll använda dina anpassade data och göra det enklare för analytiker att fråga efter data.
Om anslutningsmetoden tillåter det kan du implementera en del av parsningen som en del av anslutningsappen för att förbättra frågetidens parsningsprestanda:
- Om du har använt Logstash använder du plugin-programmet för Grok-filtret för att parsa dina data.
- Om du har använt en Azure-funktion parsar du dina data med kod.
Du måste fortfarande implementera ASIM-parsers, men genom att implementera en del av parsningen direkt med anslutningsappen förenklas parsningen och prestandan förbättras.
Nästa steg
Använd de data som matas in i Microsoft Sentinel för att skydda din miljö med någon av följande processer: