使用 Azure Functions 將Microsoft Sentinel 連線至您的數據源
您可以使用 Azure Functions 搭配各種程式代碼語言,例如 PowerShell 或 Python,來建立相容數據源 REST API 端點的無伺服器連接器。 然後,Azure Function Apps 可讓您將Microsoft Sentinel 連線至數據源的 REST API,以提取記錄。
本文說明如何使用 Azure Function Apps 設定Microsoft Sentinel。 您可能也需要設定來源系統,而且您可以在入口網站中每個數據連接器頁面中找到廠商和產品特定資訊連結,或在 Microsoft Sentinel 數據連接器參考頁面中尋找服務的區段。
注意
一旦內嵌至 Microsoft Sentinel,數據會儲存在您執行Microsoft Sentinel 工作區的地理位置。
針對長期保留,您可能也想要將數據儲存在封存記錄類型中,例如 基本記錄。 如需詳細資訊,請參閱 Azure 監視器記錄中的數據保留和封存。
使用 Azure Functions 將數據內嵌至 Microsoft Sentinel 可能會導致額外的數據擷取成本。 如需詳細資訊,請參閱 Azure Functions 價格頁面。
必要條件
請先確定您有下列許可權和認證,再使用 Azure Functions 將 sentinel 連線至數據源Microsoft,並將其記錄提取至 Microsoft Sentinel:
您必須具備 Microsoft Sentinel 工作區的讀取和寫入權限。
您必須具有工作區共用金鑰的讀取許可權。 深入瞭解工作區金鑰。
您必須擁有 Azure Functions 的讀取和寫入許可權,才能建立函式應用程式。 深入瞭解 Azure Functions。
您也需要認證來存取產品的 API - 使用者名稱和密碼、令牌、金鑰或其他組合。 您可能也需要其他 API 資訊,例如端點 URI。
如需詳細資訊,請參閱您所連線之服務 的檔,以及在 Microsoft Sentinel 數據連接器參考 頁面中的服務一節。
從 Sentinel 中 Microsoft 的內容中樞安裝包含 Azure Functions 型連接器的解決方案。 如需詳細資訊,請參閱 探索和管理Microsoft Sentinel 現用內容。
設定及連線數據源
注意
步驟 1:取得來源系統的 API 認證
依照來源系統的指示取得其 API 認證/授權金鑰/令牌。 複製並貼到文本檔以供稍後使用。
您可以在入口網站的 [數據連接器] 頁面上 ,以及在 [Microsoft Sentinel 數據連接器參考 ] 頁面,找到所需認證的詳細數據,以及您產品尋找或建立它們的指示連結。
您可能也需要在來源系統上設定記錄或其他設定。 您會在上述段落中找到相關指示。
步驟 2:部署連接器和相關聯的 Azure 函式應用程式
選擇部署選項
此方法會使用ARM範本,提供 Azure 函式連接器的自動化部署。
在 Microsoft Sentinel 入口網站中,選取 [數據連接器]。 從清單中選取您的 Azure Functions 型連接器,然後 開啟連接器頁面。
在 [設定] 底下,複製 Microsoft Sentinel 工作區標識符和主鍵,並將它們貼到一邊。
選取 [部署到 Azure]。 (您可能必須向下捲動以尋找按鈕。
[ 自定義部署] 畫面隨即出現。
選取要 在其中部署函式應用程式的訂用帳戶、 資源群組和 區域 。
輸入您在上述步驟 1 中儲存的 API 認證/授權金鑰/令牌。
輸入您複製並放在一邊的Microsoft Sentinel 工作區標識碼 和 工作區密鑰 (主鍵)。
注意
如果使用上述任何值的 Azure 金鑰保存庫 秘密,請使用
@Microsoft.KeyVault(SecretUri={Security Identifier})
架構來取代字串值。 如需進一步的詳細資料,請參閱 Key Vault 參考文件。在 [自定義部署] 畫面的窗體中完成任何其他欄位。 在入口網站中查看您的數據連接器頁面,或 Microsoft Sentinel 數據連接器參考頁面中的服務區段。
選取 [檢閱 + 建立]。 當驗證完成時,選取 [建立]。
尋找資料
建立成功連線之後,數據會出現在 [CustomLogs] 底下的 [記錄] 中,列於 [Microsoft Sentinel 數據連接器參考] 頁面中服務區段中所列的數據表中。
若要查詢數據,請在查詢視窗中輸入其中一個數據表名稱,或相關的 Kusto 函式別名。
如需一些實用的範例查詢,請參閱連接器頁面中的 [後續步驟] 索引標籤。
驗證連線能力
最多可能需要 20 分鐘的時間,您的記錄才會開始出現在 Log Analytics 中。
下一步
在本檔中,您已瞭解如何使用 Azure Functions 型連接器將Microsoft Sentinel 連線到數據源。 若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 學習如何洞察資料及潛在威脅。
- 開始 使用 Microsoft Sentinel 來偵測威脅。
- 使用活頁簿監視資料。