使用 Azure Functions 將Microsoft Sentinel 連線至您的數據源

您可以使用 Azure Functions 搭配各種程式代碼語言，例如 PowerShell 或 Python，來建立相容數據源 REST API 端點的無伺服器連接器。 然後，Azure Function Apps 可讓您將Microsoft Sentinel 連線至數據源的 REST API，以提取記錄。

本文說明如何使用 Azure Function Apps 設定Microsoft Sentinel。 您可能也需要設定來源系統，而且您可以在入口網站中每個數據連接器頁面中找到廠商和產品特定資訊連結，或在 Microsoft Sentinel 數據連接器參考頁面中尋找服務的區段。

注意

• 一旦內嵌至 Microsoft Sentinel，數據會儲存在您執行Microsoft Sentinel 工作區的地理位置。

  針對長期保留，您可能也想要將數據儲存在封存記錄類型中，例如 基本記錄。 如需詳細資訊，請參閱 Azure 監視器記錄中的數據保留和封存。

• 使用 Azure Functions 將數據內嵌至 Microsoft Sentinel 可能會導致額外的數據擷取成本。 如需詳細資訊，請參閱 Azure Functions 價格頁面。

必要條件

請先確定您有下列許可權和認證，再使用 Azure Functions 將 sentinel 連線至數據源Microsoft，並將其記錄提取至 Microsoft Sentinel：

• 您必須具備 Microsoft Sentinel 工作區的讀取和寫入權限。

• 您必須具有工作區共用金鑰的讀取許可權。 深入瞭解工作區金鑰。

• 您必須擁有 Azure Functions 的讀取和寫入許可權，才能建立函式應用程式。 深入瞭解 Azure Functions。

• 您也需要認證來存取產品的 API - 使用者名稱和密碼、令牌、金鑰或其他組合。 您可能也需要其他 API 資訊，例如端點 URI。

  如需詳細資訊，請參閱您所連線之服務 的檔，以及在 Microsoft Sentinel 數據連接器參考 頁面中的服務一節。

• 從 Sentinel 中 Microsoft 的內容中樞安裝包含 Azure Functions 型連接器的解決方案。 如需詳細資訊，請參閱 探索和管理Microsoft Sentinel 現用內容。

設定及連線數據源

注意

• 您可以在 Azure 金鑰保存庫 中安全地儲存工作區和 API 授權金鑰或令牌。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。

• 某些數據連接器相依於以 Kusto 函式為基礎的剖析器，才能如預期般運作。 如需建立 Kusto 函式和別名指示的連結，請參閱 Microsoft Sentinel 數據連接器參考頁面中的服務一節。

步驟 1：取得來源系統的 API 認證

依照來源系統的指示取得其 API 認證/授權金鑰/令牌。 複製並貼到文本檔以供稍後使用。

您可以在入口網站的 [數據連接器] 頁面上 ，以及在 [Microsoft Sentinel 數據連接器參考 ] 頁面，找到所需認證的詳細數據，以及您產品尋找或建立它們的指示連結。

您可能也需要在來源系統上設定記錄或其他設定。 您會在上述段落中找到相關指示。

步驟 2：部署連接器和相關聯的 Azure 函式應用程式

選擇部署選項

Azure Resource Manager (ARM 範本)

此方法會使用ARM範本，提供 Azure 函式連接器的自動化部署。

1. 在 Microsoft Sentinel 入口網站中，選取 [數據連接器]。 從清單中選取您的 Azure Functions 型連接器，然後 開啟連接器頁面。

2. 在 [設定] 底下，複製 Microsoft Sentinel 工作區標識符和主鍵，並將它們貼到一邊。

3. 選取 [部署到 Azure]。 （您可能必須向下捲動以尋找按鈕。

4. [ 自定義部署] 畫面隨即出現。

   • 選取要 在其中部署函式應用程式的訂用帳戶、 資源群組和 區域 。

   • 輸入您在上述步驟 1 中儲存的 API 認證/授權金鑰/令牌。

   • 輸入您複製並放在一邊的Microsoft Sentinel 工作區標識碼 和 工作區密鑰 （主鍵）。

     注意

     如果使用上述任何值的 Azure 金鑰保存庫 秘密，請使用@Microsoft.KeyVault(SecretUri={Security Identifier})架構來取代字串值。 如需進一步的詳細資料，請參閱 Key Vault 參考文件。

   • 在 [自定義部署] 畫面的窗體中完成任何其他欄位。 在入口網站中查看您的數據連接器頁面，或 Microsoft Sentinel 數據連接器參考頁面中的服務區段。

   • 選取 [檢閱 + 建立]。 當驗證完成時，選取 [建立]。

使用 PowerShell 手動部署

使用下列逐步指示，手動部署使用PowerShell函式的 Azure Functions 型連接器。

1. 在 Microsoft Sentinel 入口網站中，選取 [數據連接器]。 從清單中選取您的 Azure Functions 型連接器，然後 開啟連接器頁面。

2. 在 [設定] 底下，複製 Microsoft Sentinel 工作區標識符和主鍵，並將它們貼到一邊。

3. 建立函式應用程式

   1. 從 Azure 入口網站 搜尋並選取 [函式應用程式]。

   2. 在 [函數應用程式] 頁面中，選取 [建立]。 [ 建立函式應用程式 精靈] 隨即開啟。

   3. 在 [基本] 索引標籤中：

      • 選取訂用 帳戶 和資源 群組。
      • 為您的函式應用程式命名。
      • 將運行時間堆疊設定為 PowerShell Core。
      • 選取適當的版本號碼。
      • 選取您要部署的區域，然後選取 [下一步：裝載]。

   4. 在 [ 裝載] 索引標籤中：

      • 選擇您想要使用的記憶體帳戶，或建立新的帳戶。
      • 選取 [ 取用][無伺服器] 作為您的 方案類型。

   5. 進行您需要的任何其他設定變更，然後選取 [ 檢閱 + 建立]。

   6. 等候「已通過驗證」訊息，然後選取 [ 建立]。

   7. 完成部署後，選取 [前往資源]。

4. 匯入函式應用程式程式代碼

   1. 在新建立的函式應用程式中，從導覽功能表中選取 [函式 ]。

   2. 在 [ 函式] 頁面中，選取 [+ 新增]。

   3. 在 [ 新增函式 ] 面板中，選取 [定時器] 觸發程式 。

   4. 輸入函式的唯一 名稱，然後輸入cron 運算式以指定排程。 默認間隔為每 5 分鐘一次。

   5. 建立函式之後，請選取 左窗格上的 [程序代碼 + 測試 ]。

   6. 下載來源系統廠商提供的函式應用程式程式代碼，並將它複製並貼到 函式應用程式run.ps1 編輯器中，並取代默認的內容。 您可以在連接器頁面上，或在 Microsoft Sentinel 數據連接器參考頁面的服務區段中找到下載連結。

   7. 選取 [儲存]。

5. 設定函式應用程式

   1. 在函式應用程式的頁面中，選取導覽功能表中 [設定] 底下的 [組態]。

   2. 在 [應用程式設定] 索引標籤中，選取 [+ 新應用程式設定]。

   3. 使用個別區分大小寫的字串值，個別新增您產品的指定應用程式設定。 請參閱 Microsoft Sentinel 數據連接器參考頁面中的服務一節中的數據連接器頁面或產品區段。

      提示

      如果適用，請使用 logAnalyticsUri 應用程式設定來覆寫使用專用雲端的記錄分析 API 端點。 因此，例如，如果您使用公用雲端，請將值保留空白;針對 Azure GovUS 雲端環境，請以下列格式指定值： https://<CustomerId>.ods.opinsights.azure.us。

使用 Python 手動部署

使用下列逐步指示，手動部署使用 Python 函式的 Azure Functions 型連接器。 這種部署需要Visual StudioCode。

1. 在 Microsoft Sentinel 入口網站中，選取 [數據連接器]。 從清單中選取您的 Azure Functions 型連接器，然後 開啟連接器頁面。

2. 在 [設定] 底下，複製 Microsoft Sentinel 工作區標識符和主鍵，並將它們貼到一邊。

3. 部署函式應用程式

   注意

   您必須準備 Visual Studio Code （VS Code） 以進行 Azure 函式開發。

   1. 使用數據連接器頁面上提供的連結，以及 Microsoft Sentinel 數據連接器參考頁面中的服務區段中，下載 Azure 函式應用程式檔案。 將封存解壓縮到本機開發計算機。

   2. 啟動 VS Code。 從功能表欄，選取 [ 檔案 > 開啟資料夾...]。

   3. 從從封存擷取的檔案選取最上層資料夾。

   4. 選擇 VS Code 活動列中的 Azure 圖示（左側）。 然後，在 [Azure： Functions ] 區域中，選擇 [ 部署至函式應用程式 ] 按鈕。

      注意

      如果您尚未登入，請選擇 [活動] 列中的 Azure 圖示。 然後，在 [Azure： Functions ] 區域中，選擇 [登入 Azure]。
      如果已登入，請移至下一個步驟。

   5. 提示中會提供下列資訊：

      • 選取資料夾：從工作區選擇資料夾，或流覽至包含函式應用程式的資料夾。
      • [選取訂閱]：選擇要使用的訂閱。
      • 選取 [在 Azure 中建立新的函式應用程式]。 （不要選擇 進階 選項。）
      • 輸入函式應用程式的全域唯一名稱：為函式應用程式提供URL路徑中有效的名稱。 您選擇的名稱將會經過驗證，以確保其在整個 Azure Functions 中是唯一的。
      • 選取運行時間：選擇 Python 3.8。

   6. 部署即將開始。 建立函式應用程式並套用部署套件之後，即會顯示通知。

   7. 返回函式應用程式的頁面以進行設定。

4. 設定函式應用程式

   1. 在函式應用程式的頁面中，選取導覽功能表中 [設定] 底下的 [組態]。

   2. 在 [應用程式設定] 索引標籤中，選取 [+ 新應用程式設定]。

   3. 使用個別區分大小寫的字串值，個別新增您產品的指定應用程式設定。 如需要新增的應用程式設定，請參閱 Microsoft Sentinel 數據連接器參考頁面中的服務數據連接器頁面或區段。

      • 如果適用，請使用 logAnalyticsUri 應用程式設定來覆寫使用專用雲端的記錄分析 API 端點。 因此，例如，如果您使用公用雲端，請將值保留空白;針對 Azure GovUS 雲端環境，請以下列格式指定值： https://<CustomerId>.ods.opinsights.azure.us。

尋找資料

建立成功連線之後，數據會出現在 [CustomLogs] 底下的 [記錄] 中，列於 [Microsoft Sentinel 數據連接器參考] 頁面中服務區段中所列的數據表中。

若要查詢數據，請在查詢視窗中輸入其中一個數據表名稱，或相關的 Kusto 函式別名。

如需一些實用的範例查詢，請參閱連接器頁面中的 [後續步驟] 索引標籤。

驗證連線能力

最多可能需要 20 分鐘的時間，您的記錄才會開始出現在 Log Analytics 中。

下一步

在本檔中，您已瞭解如何使用 Azure Functions 型連接器將Microsoft Sentinel 連線到數據源。 若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 學習如何洞察資料及潛在威脅。
• 開始 使用 Microsoft Sentinel 來偵測威脅。
• 使用活頁簿監視資料。