Microsoft Sentinel 提供多種開箱即用的連接器,用於 Azure 服務及外部解決方案,並支援從部分來源擷取資料,無需專用連接器。
如果你無法用現有解決方案將資料來源連接到 Microsoft Sentinel,可以考慮自行建立資料來源連接器。
欲了解支援連接器的完整清單,請參閱「尋找您的Microsoft Sentinel資料連接器) 。
比較自訂連接器方法
下表比較了本文所述每種自訂連接器製作方法的重要細節。 請選擇表格中的連結以獲取各種方法的更多細節。
| 方法說明 | 功能 | 無伺服器 | 複雜度 |
|---|---|---|---|
|
CCF) (無碼連接器框架 對於技術較少的族群來說,最好用設定檔來建立 SaaS 連接器,而不是進階開發。 |
支援程式碼中所有可用的功能。 | 是 | 低成本;簡單、無程式碼的開發 |
|
Azure Monitor Agent 最適合從本地端及 IaaS 來源收集檔案 |
檔案收集與資料轉換 | 否 | 低 |
|
Logstash 最適合本地部署和 IaaS 來源,任何有外掛可用來源,以及已經熟悉 Logstash 的組織 |
支援 Azure Monitor Agent 的所有功能 | 不;需要虛擬機或虛擬機叢集才能執行 | 低;支援多種使用外掛的情境 |
|
邏輯應用程式 高成本;避免處理大量資料 最適合低流量雲源 |
無碼程式設計的彈性有限,且不支援實作演算法。 如果目前沒有任何可用的動作支援你的需求,建立自訂動作可能會增加複雜度。 |
是 | 低成本;簡單、無程式碼的開發 |
|
Log Ingestion API in Azure Monitor 最適合實施整合的 ISV 以及獨特的收藏需求 |
支援程式碼中所有可用的功能。 | 這取決於實作方式 | 高 |
|
Azure Functions 最適合高流量的雲端來源,以及獨特的蒐集需求 |
支援程式碼中所有可用的功能。 | 是 | 高;需要程式設計知識 |
提示
關於使用 Logic Apps 與 Azure Functions 用於同一連接器的比較,請參見:
- 將 Fastly Web 應用程式防火牆登入 Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub 社群) :Logic App 連接器 | Azure函式連接器
連結無碼連接器框架
CCF) (Codeless Connector Framework 提供一個設定檔,客戶與合作夥伴皆可使用,並部署至您自己的工作空間,或作為 Microsoft Sentinel 內容中心的解決方案。
使用 CCF 建立的連接器為完全 SaaS,無需服務安裝,且包含健康監控及 Microsoft Sentinel 的完整支援。
欲了解更多資訊,請參閱「為 Microsoft Sentinel 建立無程式碼連接器」。
連接 Azure Monitor 代理
如果您的資料來源以文字檔形式傳送事件,我們建議您使用 Azure Monitor 代理程式來建立自訂連接器。
欲了解更多資訊,請參閱使用 Azure Monitor Agent 從文字檔收集日誌。
此方法範例請參見使用 Azure Monitor Agent 從 JSON 檔案收集日誌。
與 Logstash 聯繫
如果你熟悉 Logstash,建議你可以使用 Logstash 搭配 Microsoft Sentinel 的 Logstash 輸出外掛,建立自訂連接器。
使用 Microsoft Sentinel Logstash Output 外掛,您可以使用任何 Logstash 輸入與過濾外掛,並將 Microsoft Sentinel 設定為 Logstash 管線的輸出。 Logstash 擁有龐大的外掛庫,能從多個來源輸入,例如 Event Hubs、Apache Kafka、Files、Databases 和 Cloud Services。 使用過濾外掛來解析事件、過濾不必要的事件、混淆數值等等。
關於使用 Logstash 作為自訂連接器的範例,請參見:
- 利用 Microsoft Sentinel (部落格) 搜尋 AWS 日誌中的 Capital One 洩漏 TTP
- Radware Microsoft Sentinel implementation guide
有關有用的 Logstash 外掛範例,請參見:
提示
Logstash 也支援利用叢集進行規模化的資料收集。 更多資訊請參見 大規模使用負載平衡的 Logstash 虛擬機。
連結 Logic Apps
使用 Azure Logic Apps 建立一個無伺服器、自訂的 Microsoft Sentinel 連接器。
注意事項
雖然使用 Logic Apps 建立無伺服器連接器很方便,但使用 Logic Apps 來管理連接器,對於大量資料來說可能會造成高昂成本。
我們建議您僅在低流量資料來源或豐富資料上傳時使用此方法。
請使用以下其中一個觸發器來啟動你的 Logic 應用程式:
觸發程序 描述 一個反覆出現的任務 例如,排程你的 Logic App 定期從特定檔案、資料庫或外部 API 檢索資料。
欲了解更多資訊,請參閱 Azure Logic Apps 中的「建立、排程及執行重複任務與工作流程」。隨選觸發 按需執行你的 Logic 應用程式,進行手動資料收集與測試。
欲了解更多資訊,請參閱 使用 HTTPS 端點的呼叫、觸發或巢狀邏輯應用。HTTP/S 端點 建議用於串流,以及來源系統是否能啟動資料傳輸。
欲了解更多資訊,請參閱 透過 HTTP 或 HTTPS 呼叫服務端點。使用任何 Logic App 的讀取資訊連接器來取得你的事件。 例如:
提示
自訂連接 REST API、SQL Server 及檔案系統的連接器也支援從本地資料來源擷取資料。 欲了解更多資訊,請參閱 安裝本地資料閘道 文件。
準備好你想要取得的資訊。
例如,使用 parse JSON 動作 來存取 JSON 內容中的屬性,這樣你在為 Logic App 指定輸入時,就能從動態內容清單中選擇這些屬性。
欲了解更多資訊,請參閱 Azure 邏輯應用中的執行資料操作。
把資料寫入 Log Analytics。
欲了解更多資訊,請參閱 Azure Log Analytics Data Collector 文件。
關於如何利用 Logic Apps 為 Microsoft Sentinel 建立自訂連接器的範例,請參見:
- 使用 Data Collector API 建立資料管線
- Palo Alto Prisma Logic 應用程式連接器,使用 webhook (Microsoft Sentinel GitHub 社群)
- 透過排程啟用 (部落格) 保護您的 Teams 通話Microsoft
- 將 AlienVault OTX 威脅指標導入Microsoft Sentinel (部落格)
連接日誌擷取 API
你可以透過使用 Log Analytics Data Collector API 直接呼叫 RESTful 端點,將事件串流到 Microsoft Sentinel。
雖然直接呼叫 RESTful 端點需要更多程式設計,但同時也提供更多彈性。
如需詳細資訊,請參閱下列文章:
Connect with Azure Functions
使用 Azure Functions 搭配 RESTful API 及多種程式語言(如 PowerShell),建立一個無伺服器的自訂連接器。
此方法範例請參見:
- 用 Azure Function 連接你的 VMware Carbon Black Cloud Endpoint Standard 到 Microsoft Sentinel
- 用 Azure 功能將你的 Okta 單 Sign-On 連接到 Microsoft Sentinel
- Connect your Proofpoint TAP to Microsoft Sentinel with Azure Function
- Connect your Qualys VM to Microsoft Sentinel with Azure Function
- 擷取 XML、CSV 或其他格式的資料
- 用Microsoft Sentinel ( 部落格監控 Zoom)
- 部署一個函數應用程式,將 Office 365 管理 API 資料匯入 Microsoft Sentinel (Microsoft Sentinel GitHub 社群)
解析你的自訂連接器資料
為了善用自訂連接器收集的資料, 開發先進安全資訊模型 (ASIM) 解析器 ,以配合連接器運作。 使用 ASIM 讓 Microsoft Sentinel 內建內容能使用您的自訂資料,並讓分析師更容易查詢資料。
如果你的連接器方法允許,你可以將部分解析功能實作於連接器中,以提升查詢時間解析效能:
- 如果你用過 Logstash,可以用 Grok 濾波器外掛來解析你的資料。
- 如果你用過 Azure 函式,請用程式碼解析你的資料。
你仍然需要實作 ASIM 解析器,但直接用連接器實作部分解析,可以簡化解析並提升效能。
後續步驟
利用匯入 Microsoft Sentinel 的資料,透過以下任一流程來保護您的環境安全: