Microsoft Sentinel'i veri kaynağınıza bağlamak için Azure İşlevleri kullanma

Makale
06/05/2023

uyumlu veri kaynaklarınızın REST API uç noktalarına sunucusuz bağlayıcı oluşturmak için Azure İşlevleri PowerShell veya Python gibi çeşitli kodlama dilleriyle birlikte kullanabilirsiniz. Ardından Azure İşlev Uygulamaları, günlükleri çekmek için Microsoft Sentinel'i veri kaynağınızın REST API'sine bağlamanıza olanak tanır.

Bu makalede, Microsoft Sentinel'in Azure İşlev Uygulamaları'nı kullanmak üzere nasıl yapılandırıldığı açıklanır. Ayrıca kaynak sisteminizi yapılandırmanız gerekebilir ve portaldaki her veri bağlayıcısının sayfasında satıcıya ve ürüne özgü bilgi bağlantılarını veya Microsoft Sentinel veri bağlayıcıları başvuru sayfasında hizmetinizin bölümünü bulabilirsiniz.

Not

Microsoft Sentinel'e alındıktan sonra veriler, Microsoft Sentinel'i çalıştırdığınız çalışma alanının coğrafi konumunda depolanır.

Uzun süreli saklama için verileri Temel günlükler gibi arşiv günlük türlerinde depolamak da isteyebilirsiniz. Daha fazla bilgi için bkz . Azure İzleyici Günlüklerinde veri saklama ve arşiv.
Microsoft Sentinel'e veri almak için Azure İşlevleri kullanılması ek veri alımı maliyetlerine neden olabilir. Daha fazla bilgi için Azure İşlevleri fiyatlandırma sayfasına bakın.

Önkoşullar

Microsoft Sentinel'i veri kaynağınıza bağlamak ve günlüklerini Microsoft Sentinel'e çekmek için Azure İşlevleri kullanmadan önce aşağıdaki izinlere ve kimlik bilgilerine sahip olduğunuzdan emin olun:

Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.
Çalışma alanı için paylaşılan anahtarlar için okuma izinleriniz olmalıdır. Çalışma alanı anahtarları hakkında daha fazla bilgi edinin.
İşlev Uygulaması oluşturmak için Azure İşlevleri üzerinde okuma ve yazma izinleriniz olmalıdır. Azure İşlevleri hakkında daha fazla bilgi edinin.
Ürünün API'sine erişmek için kullanıcı adı ve parola, belirteç, anahtar veya başka bir bileşim gibi kimlik bilgilerine de ihtiyacınız olacaktır. Uç nokta URI'si gibi diğer API bilgilerine de ihtiyacınız olabilir.

Daha fazla bilgi için, bağlanmakta olduğunuz hizmetin belgelerine ve Microsoft Sentinel veri bağlayıcıları başvuru sayfasındaki hizmetinizin bölümüne bakın.
Microsoft Sentinel'de İçerik Hub'ından Azure İşlevleri tabanlı bağlayıcınızı içeren çözümü yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

Veri kaynağınızı yapılandırma ve bağlama

Not

Azure Key Vault'ta çalışma alanını ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayabilirsiniz. Azure Key Vault, anahtar değerlerini depolamak ve almak için güvenli bir mekanizma sağlar. Azure Key Vault'u bir Azure İşlev Uygulaması ile kullanmak için bu yönergeleri izleyin.
Bazı veri bağlayıcıları, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Kusto işlevini ve diğer adını oluşturma yönergelerinin bağlantıları için Microsoft Sentinel veri bağlayıcıları başvuru sayfasındaki hizmetinizin bölümüne bakın.

1. Adım: Kaynak sisteminizin API kimlik bilgilerini alma

API kimlik bilgilerini / yetkilendirme anahtarlarını / belirteçlerini almak için kaynak sisteminizin yönergelerini izleyin. Bunları kopyalayıp daha sonra bir metin dosyasına yapıştırın.

İhtiyacınız olan tam kimlik bilgileriyle ilgili ayrıntıları ve ürününüzü bulma veya oluşturma yönergelerinin bağlantılarını portaldaki veri bağlayıcısı sayfasında ve Microsoft Sentinel veri bağlayıcıları başvuru sayfasındaki hizmetinizin bölümünde bulabilirsiniz.

Kaynak sisteminizde günlüğe kaydetmeyi veya diğer ayarları da yapılandırmanız gerekebilir. İlgili yönergeleri önceki paragraftaki yönergelerle birlikte bulabilirsiniz.

2. Adım: Bağlayıcıyı ve ilişkili Azure İşlev Uygulamasını dağıtma

Bir dağıtım seçeneği belirleme

Bu yöntem, ARM şablonu kullanarak Azure İşlevi tabanlı bağlayıcınızın otomatik dağıtımını sağlar.

Microsoft Sentinel portalında Veri bağlayıcıları'nı seçin. Listeden Azure İşlevleri tabanlı bağlayıcınızı ve ardından Bağlayıcıyı aç sayfasını seçin.
Yapılandırma'nın altında Microsoft Sentinel çalışma alanı kimliğini ve birincil anahtarı kopyalayıp bir kenara yapıştırın.
Azure'a Dağıt'ı seçin. (Düğmeyi bulmak için aşağı kaydırmanız gerekebilir.)
Özel dağıtım ekranı görüntülenir.
- İşlev Uygulamanızın dağıtılacağı aboneliği, kaynak grubunu ve bölgeyi seçin.
- Yukarıdaki 1. Adımda kaydettiğiniz API kimlik bilgilerinizi / yetkilendirme anahtarlarınızı / belirteçlerinizi girin.
- Kopyalayıp bir kenara koyduğunuz Microsoft Sentinel Çalışma Alanı Kimliğinizi ve Çalışma Alanı Anahtarınızı (birincil anahtar) girin.
  
  Not
  
  Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın @Microsoft.KeyVault(SecretUri={Security Identifier}) . Diğer ayrıntılar için Key Vault başvuru belgelerine bakın.
- Özel dağıtım ekranında formdaki diğer tüm alanları doldurun. Portaldaki veri bağlayıcısı sayfanıza veya Microsoft Sentinel veri bağlayıcıları başvuru sayfasında hizmetinizin bölümüne bakın.
- Gözden geçir ve oluştur’u seçin. Doğrulama tamamlandığında Oluştur'u seçin.

PowerShell işlevlerini kullanan Azure İşlevleri tabanlı bağlayıcıları el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

Microsoft Sentinel portalında Veri bağlayıcıları'nı seçin. Listeden Azure İşlevleri tabanlı bağlayıcınızı ve ardından Bağlayıcıyı aç sayfasını seçin.
Yapılandırma'nın altında Microsoft Sentinel çalışma alanı kimliğini ve birincil anahtarı kopyalayıp bir kenara yapıştırın.
İşlev Uygulaması Oluşturma
1. Azure portalında İşlev Uygulaması'nı arayın ve seçin.
2. İşlev Uygulaması sayfasında Oluştur'u seçin. İşlev Uygulaması Oluştur sihirbazı açılır.
3. Temel Bilgiler sekmesinde:
  - Bir abonelik ve kaynak grubu seçin.
  - İşlev uygulamanıza bir ad verin.
  - Çalışma zamanı yığınını PowerShell Core olarak ayarlayın.
  - Uygun sürüm numarasını seçin.
  - Dağıtmak istediğiniz bölgeyi seçin ve ardından İleri : Barındırma'yı seçin.
4. Barındırma sekmesinde:
  - Kullanmak istediğiniz Depolama hesabını seçin veya yeni bir hesap oluşturun.
  - Plan türünüz olarak Tüketim (Sunucusuz) seçeneğini belirleyin.
5. İhtiyacınız olan diğer yapılandırma değişikliklerini yapın, ardından Gözden geçir ve oluştur'u seçin.
6. "Doğrulama başarılı oldu" iletisini bekleyin ve Oluştur'u seçin.
7. Dağıtım tamamlandığında Kaynağa git'i seçin.
İşlev Uygulama Kodunu İçeri Aktar
1. Yeni oluşturulan İşlev Uygulamasında gezinti menüsünden İşlevler'i seçin.
2. İşlevler sayfasında + Ekle'yi seçin.
3. İşlev ekle panelinde Zamanlayıcı tetikleyicisini seçin.
4. İşleviniz için benzersiz bir ad girin ve zamanlamayı belirtmek için bir cron ifadesi girin. Varsayılan aralık 5 dakikada birdir.
5. İşlev oluşturulduğunda, sol bölmede Kod + Test'i seçin.
6. Kaynak sisteminizin satıcısı tarafından sağlanan İşlev Uygulama Kodunu indirin ve varsayılan olarak bu kodun yerine function App run.ps1 düzenleyicisine kopyalayıp yapıştırın. İndirme bağlantısını bağlayıcı sayfasında veya hizmetinizin bölümünde Microsoft Sentinel veri bağlayıcıları başvuru sayfasında bulabilirsiniz.
7. Kaydet'i seçin.
İşlev Uygulamasını Yapılandırma
1. İşlev Uygulamanızın sayfasında, gezinti menüsündeki Ayarlar'ın altında Yapılandırma'yı seçin.
2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
3. Ürününüz için belirtilen uygulama ayarlarını, ilgili büyük/küçük harfe duyarlı dize değerleriyle tek tek ekleyin. Microsoft Sentinel veri bağlayıcıları başvuru sayfasında veri bağlayıcısı sayfasına veya hizmetinizin bölümünün ürün bölümüne bakın.
  
  İpucu
  
  Varsa, ayrılmış bir bulut kullanıyorsanız log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri uygulama ayarını kullanın. Örneğin genel bulutu kullanıyorsanız değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

Python işlevlerini kullanan Azure İşlevleri tabanlı bağlayıcıları el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın. Bu tür bir dağıtım için Visual Studio Code gerekir.

Microsoft Sentinel portalında Veri bağlayıcıları'nı seçin. Listeden Azure İşlevleri tabanlı bağlayıcınızı ve ardından Bağlayıcıyı aç sayfasını seçin.
Yapılandırma'nın altında Microsoft Sentinel çalışma alanı kimliğini ve birincil anahtarı kopyalayıp bir kenara yapıştırın.
İşlev Uygulaması Dağıtma

Not

Visual Studio Code'un (VS Code) Azure İşlevi geliştirmesi için hazırlanması gerekir.
1. Veri bağlayıcısı sayfasında ve Microsoft Sentinel veri bağlayıcıları başvuru sayfasındaki hizmetinizin bölümünde sağlanan bağlantıyı kullanarak Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.
2. VS Code’u başlatın. Menü çubuğundan Dosya > Klasör Aç... öğesini seçin.
3. Arşivden ayıklanan dosyalardan en üst düzey klasörü seçin.
4. VS Code Etkinlik çubuğunda (solda) Azure simgesini seçin. Ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin.
  
  Not
  
  Henüz oturum açmadıysanız Etkinlik çubuğunda Azure simgesini seçin. Ardından Azure: İşlevler alanında Azure'da oturum aç'ı seçin.
  Zaten oturum açtıysanız sonraki adıma geçin.
5. İstemlerde aşağıdaki bilgileri sağlayın:
  - Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren bir klasöre göz atın.
  - Aboneliği seçin: Kullanılacak aboneliği seçin.
  - Azure'da yeni İşlev Uygulaması oluştur'u seçin. (Şu seçeneği seçmeyin: Gelişmiş seçenek.)
  - İşlev uygulaması için genel olarak benzersiz bir ad girin: İşlev uygulamanıza URL yolunda geçerli olacak bir ad verin. Seçtiğiniz ad, Azure İşlevleri boyunca benzersiz olduğundan emin olmak için doğrulanır.
  - Çalışma zamanı seçin: Python 3.8'i seçin.
6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan sonra bir bildirim görüntülenir ve dağıtım paketi uygulanır.
7. Yapılandırma için İşlev Uygulamanızın sayfasına dönün.
İşlev Uygulamasını Yapılandırma
1. İşlev Uygulamanızın sayfasında, gezinti menüsündeki Ayarlar'ın altında Yapılandırma'yı seçin.
2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.
3. Ürününüz için belirtilen uygulama ayarlarını, ilgili büyük/küçük harfe duyarlı dize değerleriyle tek tek ekleyin. Eklenecek uygulama ayarları için Microsoft Sentinel veri bağlayıcıları başvuru sayfasında veri bağlayıcısı sayfasına veya hizmetinizin bölümüne bakın.
  - Varsa, ayrılmış bir bulut kullanıyorsanız log analytics API uç noktasını geçersiz kılmak için logAnalyticsUri uygulama ayarını kullanın. Örneğin genel bulutu kullanıyorsanız değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

Verilerinizi bulma

Başarılı bir bağlantı kurulduktan sonra veriler, Microsoft Sentinel veri bağlayıcıları başvuru sayfasındaki hizmetiniz için bölümünde listelenen tablolarda CustomLogs altındaki Günlükler'de görünür.

Verileri sorgulamak için sorgu penceresine bu tablo adlarından birini (veya ilgili Kusto işlev diğer adını) girin.

Bazı yararlı örnek sorgular için bağlayıcı sayfasındaki Sonraki adımlar sekmesine bakın.

Bağlantıyı doğrulama

Günlüklerinizin Log Analytics'te görünmeye başlaması 20 dakika kadar sürebilir.

Sonraki adımlar

Bu belgede, Azure İşlevleri tabanlı bağlayıcıları kullanarak Microsoft Sentinel'i veri kaynağınıza bağlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

Verilerinize ve olası tehditlere nasıl görünürlük elde etmeyi öğrenin.
Microsoft Sentinel ile tehditleri algılamaya başlayın.
Verilerinizi izlemek için çalışma kitaplarını kullanın.

Aracılığıyla paylaş