用於建立 Microsoft Sentinel 自訂連接器的資源
Microsoft Sentinel 提供適用於 Azure 服務和外部解決方案的各種現成連接器,也支援從某些來源擷取數據,而不需要專用連接器。
如果您無法利用任何現有且可用的解決方案將資料來源連接到 Microsoft Sentinel,請考慮建立您自己的資料來源連接器。
如需支援連接器的完整清單,請參閱尋找您的 Microsoft Sentinel 資料連接器)。
比較自訂連接器方法
下表會比較本文中所述的各種自訂連接器建立方法的基本詳細資訊。 請選取資料表中的連結以取得各方法的詳細資訊。
| 方法描述 | 功能 | 無伺服器 | 簡化 |
|---|---|---|---|
| 無程式代碼連接器平台 (CCP) 比起進階開發,最適合較少技術經驗的使用者來設定檔來建立 SaaS 連接器。 |
支援程式碼可用的所有功能。 | Yes | 低;簡單、無程式碼的開發 |
| Azure 監視器代理程式 最適合從內部部署和 IaaS 來源收集檔案 |
檔案收集、資料轉換 | No | 低 |
| Logstash 最適合內部部署和 IaaS 來源、任何可使用外掛程式的來源,以及已經熟悉 Logstash 的組織 |
支援 Azure 監視器代理程式的所有功能 | 否,需要 VM 或 VM 叢集才能執行 | 低;支援許多外掛程式案例 |
| Logic Apps 高成本;避免使用大量資料 最適合少量雲端來源 |
無程式碼程式設計只能提供有限的彈性,而且不支援實作演算法。 如果沒有可以支援您需求的可用動作,建立自訂動作可能會更複雜。 |
Yes | 低;簡單、無程式碼的開發 |
| Azure 監視器中的記錄擷取 API 最適合 ISV 實作整合和針對特殊的集合需求 |
支援程式碼可用的所有功能。 | 取決於實作 | 高 |
| Azure Functions 最適合大量雲端來源,以及針對特殊的集合需求 |
支援程式碼可用的所有功能。 | Yes | 高;需要程式設計知識 |
提示
如需針對相同連接器使用 Logic Apps 和 Azure Functions 的比較,請參閱:
- 將快速 Web 應用程式防火牆記錄內嵌到 Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub 社群):邏輯應用程式連接器 | Azure Function 連接器
使用無程式碼連接器平台來連線
無程式代碼連接器平臺 (CCP) 提供配置檔,可供客戶和合作夥伴使用,然後部署至您自己的工作區,或作為Microsoft Sentinel 內容中樞的解決方案。
使用 CCP 所建立的連接器屬於完全的 SaaS (不需要安裝服務),並且還會包含來自 Microsoft Sentinel 的狀況監控和完整支援。
如需詳細資訊,請參閱為 Microsoft Sentinel 建立無程式碼連接器。
使用 Azure 監視器代理程式連線
如果您的數據源在文本文件中傳遞事件,建議您使用 Azure 監視器代理程式來建立自定義連接器。
如需詳細資訊,請參閱 使用 Azure 監視器代理程式從文本檔收集記錄。
如需此方法的範例,請參閱 使用 Azure 監視器代理程式從 JSON 檔案收集記錄。
使用 Logstash 來連線
如果您熟悉 Logstash,建議您使用 Logstash 中適用於 Microsoft Sentinel 的 Logstash 輸出外掛程式來建立自訂連接器。
透過 Microsoft Sentinel Logstash 輸出外掛程式,您可以使用任何 Logstash 輸入和篩選外掛程式,並將 Microsoft Sentinel 設定為 Logstash 管線的輸出。 Logstash 擁有巨大的外掛程式庫,可啟用各種來源的輸入,例如事件中樞、Apache Kafka、檔案、資料庫和雲端服務。 使用篩選外掛程式來剖析事件、篩選不必要的事件、混淆數值等等。
如需使用 Logstash 作為自訂連接器的範例,請參閱:
如需實用的 Logstash 外掛程式範例,請參閱:
提示
Logstash 也會使用叢集來啟用縮放資料收集。 如需詳細資訊,請參閱大規模使用負載平衡 Logstash VM。
使用 Logic Apps 進行連線
使用 Azure Logic Apps,為 Microsoft Sentinel 建立無伺服器的自訂連接器。
注意
雖然使用 Logic Apps 建立無伺服器連接器很方便,但在使用大量資料的狀況下,針對連接器使用 Logic Apps 的成本可能會很高。
建議您只在使用低量資料來源時使用這個方法,或擴充您的資料上傳。
使用下列觸發程序之一來啟動 Logic Apps:
觸發程序 描述 週期性工作 例如,安排邏輯應用程式定期從特定的檔案、資料庫或外部 API 中擷取資料。
如需詳細資訊,請參閱在 Azure Logic Apps 中建立、排程及執行週期性工作和工作流程。隨選觸發程序 視需要執行邏輯應用程式以進行手動資料收集和測試。
如需詳細資訊,請參閱利用 HTTP 端點呼叫、觸發或巢狀邏輯應用程式。HTTP/S 端點 建議用於串流處理,以及在來源系統可以啟動資料傳輸時使用。
如需更多資訊,請參閱透過 HTTP 或 HTTPS 呼叫服務端點。使用任何能讀取資訊的邏輯應用程式連接器來取得事件。 例如:
提示
REST API、SQL Server 和檔案系統的自訂連接器也支援從內部部署的資料來源擷取資料。 如需詳細資訊,請參閱安裝內部部署資料閘道文件。
準備您想要擷取的資訊。
例如,使用剖析 JSON 動作來存取 JSON 內容中的屬性,以便在為邏輯應用程式指定輸入時,可以從動態內容清單中選取這些屬性。
如需詳細資訊,請參閱在 Azure Logic Apps 中執行資料作業。
將資料寫入 Log Analytics。
如需詳細資訊,請參閱 Azure Log Analytics 資料收集器文件。
如需使用 Logic Apps 為 Microsoft Sentinel 建立自訂連接器的範例,請參閱:
- 使用資料收集器 API 建立資料管道
- 使用 Webhook 的 Palo Alto Prisma 邏輯應用程式連接器 (Microsoft Sentinel GitHub 社群)
- 使用排程啟用保護 Microsoft Teams 呼叫 (部落格)
- 將 AlienVault OTX 威脅指標內嵌到 Microsoft Sentinel (部落格)
使用記錄擷取 API 進行連線
您可以使用 Log Analytics 資料收集器 API 來直接呼叫 RESTful 端點,以將事件串流至 Microsoft Sentinel。
雖然直接呼叫 RESTful 端點需要更多程式設計,但這麼做可以提供更大的彈性。
如需詳細資訊,請參閱下列文章:
- Azure 監視器中的記錄擷取 API。
- 使用記錄擷取 API 將數據傳送至 Azure 監視器的範例程式代碼。
使用 Azure Functions 進行連線
搭配 RESTful API 和各種程式語言 (如 PowerShell) 來使用 Azure Functions 以建立無伺服器自訂連接器。
如需此方法的範例,請參閱:
- 使用 Azure Functions 將您的 VMware Carbon Black 雲端端點標準連線至 Microsoft Sentinel
- 使用 Azure Functions 將 Okta Single Sign-On 連線至 Microsoft Sentinel
- 使用 Azure Functions 將您的 Proofpoint TAP 連線至 Microsoft Sentinel
- 使用 Azure Function 將您的 Qualys VM 連線至 Microsoft Sentinel
- 擷取 XML、CSV 或其他資料格式
- 利用 Microsoft Sentinel 監視 Zoom (部落格)
- 將取得 Office 365 管理 API 資料的函數應用程式部署至 Microsoft Sentinel (Microsoft Sentinel GitHub 社群)
剖析您的自訂連接器資料
若要使用自訂連接器收集到的資料,請開發進階安全性資訊模型 (ASIM) 剖析器來處理您的連接器。 使用 ASIM 可讓 Microsoft Sentinel 的內建內容使用您的自訂資料,讓分析師更能輕鬆查詢資料。
如果您的連接器方法允許,您可以實作部分的剖析作為連接器的一部分,以改善查詢時間剖析的效能:
- 如果您已使用過 Logstash,請使用 Grok 篩選器外掛程式來剖析您的資料。
- 如果您已使用過 Azure 函式,請使用程式碼來剖析您的資料。
您仍然需要實作 ASIM 剖析器,但直接使用連接器來實作部分的剖析,可簡化剖析工作並改善效能。
下一步
透過以下流程使用內嵌至 Microsoft Sentinel 的資料來保護您的環境: