使用 Azure Functions 將 Microsoft Sentinel 連線至您的資料來源

您可以使用 Azure Functions 搭配各種程式碼語言 (例如 PowerShell 或 Python)，對相容資料來源的 REST API 端點建立無伺服器連接器。 Azure Function Apps 接著可讓您將 Microsoft Sentinel 連線至資料來源的 REST API 來提取記錄。

本文描述如何使用 Azure Function Apps 設定 Microsoft Sentinel。 您可能也必須設定來源系統，可以在入口網站中每個資料連接器頁面或 Microsoft Sentinel 資料連接器參考 頁面中服務的區段，找到廠商和廠品特定的資訊連結。

注意

• 將資料擷取至 Microsoft Sentinel 之後，資料會儲存在您執行 Microsoft Sentinel 工作區的地理位置中。

  為了長期保留，您可能也想要將資料儲存在「輔助記錄」或「基本記錄」等記錄類型中。 如需詳細資訊，請參閱 Microsoft Sentinel 中的記錄保留計畫。

• 使用 Azure Functions 將資料擷取至 Microsoft Sentinel 時，可能會產生額外的資料擷取成本。 如需詳細資訊，請參閱 Azure Functions 價格頁面。

必要條件

使用 Azure Functions 將 Microsoft Sentinel 連線至資料來源並將其記錄提取至 Microsoft Sentinel 之前，請確定您有下列權限和認證：

• 您必須具備 Microsoft Sentinel 工作區的讀取和寫入權限。

• 您必須有工作區共用金鑰的讀取權限。 深入了解工作區金鑰。

• 您必須有 Azure Functions 的讀取和寫入權限，才能建立函數應用程式。 深入了解 Azure Functions。

• 您將也需要認證來存取產品的 API，例如使用者名稱和密碼、權仗、金鑰或其他組合。 您可能也需要其他 API 資訊，例如端點 URI。

  如需詳細資訊，請參閱所連線服務文件，以及 Microsoft Sentinel 資料連接器參考頁面中服務的區段。

• 從 Microsoft Sentinel 中的內容中樞 安裝包含 Azure Functions 型連接器的解決方案。 如需詳細資訊，請參閱探索和管理 Microsoft Sentinel 現成可用的內容。

設定和連線資料來源

注意

• 您可以在 Azure Key Vault 中安全儲存工作區和 API 授權金鑰或權杖。 Azure Key Vault 提供儲存和擷取金鑰值的安全機制。 遵循這些指示來搭配使用 Azure Key Vault 與 Azure Function App。

• 根據 Kusto 函數，某些資料連接器會相依於剖析器，才能如預期般運作。 如需連結，請參閱 Microsoft Sentinel 資料連接器參考頁面中服務的區段，來建立 Kusto 函數和別名。

步驟 1 - 取得來源系統的 API 認證

遵循來源系統的指示來取得其 API 認證/驗證金鑰/權杖。 複製並將其貼到文字檔以供稍後使用。

您可以在入口網站的資料連接器頁面和 Microsoft Sentinel 資料連接器參考頁面中服務的區段，找到所需認證的詳細資料，以及產品指示的連結。

您可能也必須設定來源系統上的記錄或其他設定。 您將在上述段落中找到與其相關的指示。

步驟 2 - 部署連接器和相關聯 Azure 函數應用程式

選擇部署選項

Azure Resource Manager (ARM 範本)

此方法會使用 ARM 範本來提供 Azure 函數型連接器的自動化部署。

1. 在 Microsoft Sentinel 入口網站中，選取 [資料連接器]。 自清單中選取 Azure Functions 型連接器，然後選取 [開啟連接器頁面]。

2. 在 [設定]，複製 Microsoft Sentinel 工作區識別碼和主要金鑰，然後將其貼到一旁。

3. 選取 [部署到 Azure]。 (您可能必須向下捲動以找到按鈕。)

4. 隨即出現 [自訂部署] 畫面。

   • 選取所要部署函數應用程式的 [訂用帳戶]、[資源群組] 和 [區域]。

   • 輸入您在步驟 1 中儲存的 API 認證/授權金鑰/權杖。

   • 輸入複製並放在一旁的 Microsoft Sentinel 工作區識別碼和工作區金鑰。

     注意

     若針對任一上述值使用 Azure Key Vault 祕密，請使用 @Microsoft.KeyVault(SecretUri={Security Identifier}) 結構描述來取代字串值。 如需進一步的詳細資料，請參閱 Key Vault 參考文件。

   • 在 [自訂部署] 畫面上，完成表單中的其他欄位。 請參閱入口網站中的資料連接器頁面，或 Microsoft Sentinel 資料連接器參考頁面中服務的區段。

   • 選取 [檢閱 + 建立]。 當驗證完成時，選取 [建立]。

使用 PowerShell 手動部署

使用下列逐步指示，手動部署使用 PowerShell 函數的 Azure Functions 型連接器。

1. 在 Microsoft Sentinel 入口網站中，選取 [資料連接器]。 自清單中選取 Azure Functions 型連接器，然後選取 [開啟連接器頁面]。

2. 在 [設定]，複製 Microsoft Sentinel 工作區識別碼和主要金鑰，然後將其貼到一旁。

3. 建立函數應用程式

   1. 自 Azure 入口網站中，搜尋並選取 [函數應用程式]。

   2. 在 [函數應用程式] 頁面中，選取 [建立]。 隨即開啟 [建立函數應用程式] 精靈。

   3. 在 [基本] 索引標籤中：

      • 選取 [訂用帳戶] 和 [資源群組]。
      • 為函數應用程式命名。
      • 將 [執行階段堆疊] 設定為 [PowerShell 核心]。
      • 設定適當的版本號碼。
      • 選取所要部署的 [區域]，然後選取 [下一步：主控]。

   4. 在 [主控] 索引標籤中：

      • 選擇所要使用的 [儲存體帳戶]，或建立新的儲存體帳戶。
      • 選取 [取用 (無伺服器)] 作為 [方案類型]。

   5. 進行所需的其他設定變更，然後選取 [檢閱 + 建立]。

   6. 等候「驗證已通過」訊息出現，然後選取 [建立]。

   7. 完成部署後，選取 [前往資源]。

4. 匯入函數應用程式程式碼

   1. 在新建立的函數應用程式中，自導覽功能表中選取 [函數]。

   2. 在 [函數] 頁面中，選取 [+ 新增]。

   3. 在 [新增函數] 面板中，選取 [計時器] 觸發程序。

   4. 輸入函數的唯一名稱，然後輸入 cron 運算式來指定排程。 預設間隔為每 5 分鐘。

   5. 建立函數之後，選取左側面板上的 [程式碼 + 測試]。

   6. 下載來源系統廠商提供的函數應用程式程式碼，複製並將其貼至 函數應用程式run.ps1 編輯器，並根據預設取代原本的內容。 您可以在連接器頁面上，或 Microsoft Sentinel 資料連接器參考頁面中伺服器的區段中，找到下載連結。

   7. 選取 [儲存]。

5. 設定函數應用程式

   1. 在函數應用程式頁面的導覽功能表中，選取 [設定] 下的 [組態]。

   2. 在 [應用程式設定] 索引標籤中，選取 [+ 新應用程式設定]。

   3. 以個別區分大小寫字串值，為產品個別新增指定的應用程式設定。 請參閱資料連接器頁面，或 Microsoft Sentinel 資料連接器參考頁面中伺服器區段的產品區段。

      提示

      如果適用，請使用 logAnalyticsUri 應用程式設定來覆寫記錄分析 API 端點 (如果您使用專用雲端的話)。 例如，如果您使用公用雲端，請將值保留空白，針對 Azure GovUS 雲端環境，請以下列格式指定值：https://<CustomerId>.ods.opinsights.azure.us。

使用 Python 手動部署

使用下列逐步指示來手動部署使用 Python 函數的 Azure Functions 型連接器。 這類的部署需要 Visual Studio Code。

1. 在 Microsoft Sentinel 入口網站中，選取 [資料連接器]。 自清單中選取 Azure Functions 型連接器，然後選取 [開啟連接器頁面]。

2. 在 [設定]，複製 Microsoft Sentinel 工作區識別碼和主要金鑰，然後將其貼到一旁。

3. 部署函數應用程式

   注意

   您將必須準備 Visual Studio Code (VS Code) 以供 Azure 函數開發。

   1. 使用資料連接器頁面上提供的連結，和 Microsoft Sentinel 資料連接器參考頁面中服務區段中提供的連結，下載 Azure 函數應用程式檔案。 將封存解壓縮至本機開發電腦。

   2. 啟動 VS Code。 自功能表列中，選取 [檔案] > [開啟資料夾...]。

   3. 從封存擷取的檔案中選取最上層的資料夾。

   4. 在 VS Code 活動列 (左側)，選擇 Azure 圖示。 接著，在 [Azure：函數] 區域中，選擇 [部署至函數應用程式] 按鈕。

      注意

      如果您尚未登入，請選擇 [活動] 列中的 Azure 圖示。 接著，在 [Azure：函數] 區域中，選擇 [登入 Azure]。
      如果已登入，請移至下一個步驟。

   5. 提示中會提供下列資訊：

      • 選取資料夾：從您的工作區選擇資料夾，或瀏覽至包含您函式應用程式的資料夾。
      • [選取訂閱]：選擇要使用的訂閱。
      • 選取 [在 Azure 中建立新的函數應用程式]。 (請勿選擇 [進階] 選項。)
      • 輸入函數應用程式的全域唯一名稱：為函數應用程式提供 URL 路徑中有效的名稱。 將會驗證所選的名稱以確保在 Azure Functions 中是唯一的。
      • 選取執行階段：選擇 [Python 3.8]。

   6. 部署即將開始。 建立函式應用程式並套用部署套件之後，即會顯示通知。

   7. 傳回至函數應用程式頁面以供設定。

4. 設定函數應用程式

   1. 在函數應用程式頁面的導覽功能表中，選取 [設定] 下的 [組態]。

   2. 在 [應用程式設定] 索引標籤中，選取 [+ 新應用程式設定]。

   3. 以個別區分大小寫字串值，為產品個別新增指定的應用程式設定。 如需要新增的應用程式設定，請參閱資料連接器頁面，或 Microsoft Sentinel 資料連接器參考頁面中伺服器區段。

      • 如果適用，請使用 logAnalyticsUri 應用程式設定來覆寫記錄分析 API 端點 (如果您使用專用雲端的話)。 例如，如果您使用公用雲端，請將值保留空白，針對 Azure GovUS 雲端環境，請以下列格式指定值：https://<CustomerId>.ods.opinsights.azure.us。

尋找資料

成功建立連線後，資料會出現在 [CustomLogs] 下的 [記錄] 中，其位於 Microsoft Sentinel 資料連接器參考頁面中服務區段中所列的資料表。

若要查詢資料，請再查詢視窗中輸入其中一個資料表名稱或相關的 Kusto 函數別名。

如需一些實用的範例查詢，請參閱連接器頁面中的 [後續步驟] 索引標籤。

驗證連線能力

這最多可能需要 20 分鐘的時間，直到您的記錄開始出現在 Log Analytics 中。

下一步

在本文件中，您已了解如何使用 Azure Functions 型連接器，將 Microsoft Sentinel 連線至資料來源。 若要深入了解 Microsoft Sentinel，請參閱下列文章：

• 學習如何洞察資料及潛在威脅。
• 開始 使用 Microsoft Sentinel 來偵測威脅。
• 使用活頁簿監視資料。