Zdroje informací pro vytváření vlastních konektorů Sentinel společnosti Microsoft
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Microsoft Sentinel poskytuje široké spektrum integrovaných konektorů pro služby Azure a externí řešenía také podporuje příjem dat z některých zdrojů bez vyhrazeného konektoru.
Pokud se zdroji dat nemůžete připojit ke službě Microsoft Sentinel pomocí některého z dostupných stávajících řešení, zvažte vytvoření vlastního konektoru zdroje dat.
Úplný seznam podporovaných konektorů najdete v blogovém příspěvku Microsoft Sentinel: konektory Grand Connectors (CEF, syslog, Direct, agent, Custom atd.) .
Porovnání metod vlastních konektorů
Následující tabulka porovnává základní podrobnosti o jednotlivých metodách pro vytváření vlastních konektorů popsaných v tomto článku. Kliknutím na odkazy v tabulce zobrazíte další podrobnosti o jednotlivých metodách.
| Popis metody | Schopnost | Bez serveru | Složitost |
|---|---|---|---|
| Agent Log Analytics Nejlepší pro shromažďování souborů z místních a IaaS zdrojů |
Pouze kolekce souborů | No | Nízká |
| Logstash Nejlepší pro místní a IaaS zdroje, jakýkoli zdroj, pro který je k dispozici modul plug-in a organizace, které jsou už obeznámené s Logstash |
Dostupné moduly plug-in a vlastní modul plug-in poskytují značnou flexibilitu. | Žádné vyžaduje spuštění virtuálního počítače nebo clusteru virtuálních počítačů. | Slab podporuje mnoho scénářů s moduly plug-in |
| Logic Apps Vysoké náklady; Nepoužívejte pro data s vysokým objemem dat Nejlepší pro cloudové zdroje s nízkým objemem |
Programování bez kódu umožňuje omezená flexibilitu bez podpory implementace algoritmů. Pokud vaše požadavky už žádné dostupné akce nepodporují, může vytvoření vlastní akce přidat složitost. |
Yes | Slab jednoduchý a bezkódový vývoj |
| PowerShell Nejlepší pro vytváření prototypů a periodické nahrávání souborů |
Přímá podpora pro kolekci souborů. PowerShell se dá použít ke shromažďování dalších zdrojů, ale vyžaduje kódování a konfiguraci skriptu jako služby. |
No | Nízká |
| Rozhraní API pro Log Analytics Nejlepší pro implementaci integrace nezávislého výrobce softwaru a pro jedinečné požadavky na kolekci |
Podporuje všechny možnosti, které jsou k dispozici v kódu. | Závisí na implementaci | Vysoká |
| Azure Functions Nejvhodnější pro zdroje cloudu s vysokým objemem a pro jedinečné požadavky na kolekci | Podporuje všechny možnosti, které jsou k dispozici v kódu. | Yes | Maximální vyžaduje znalosti programování. |
Tip
Porovnání použití Logic Apps a Azure Functions pro stejný konektor naleznete zde:
- Rychlé ingestování protokolů firewallu webových aplikací do Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub community): Logic Konektor aplikace | konektor Azure functions
Připojení s agentem Log Analytics
Pokud váš zdroj dat doručuje události do souborů, doporučujeme, abyste k vytvoření vlastního konektoru použili agenta Azure Monitor Log Analytics.
Další informace najdete v tématu shromažďování vlastních protokolů v Azure monitor.
Příklad této metody najdete v tématu shromažďování vlastních zdrojů dat JSON s agentem Log Analytics pro Linux v Azure monitor.
Připojení s Logstash
Pokud jste obeznámeni s Logstash, možná budete chtít použít Logstash s modulem plug-in Logstash Output pro Microsoft Sentinel a vytvořit vlastní konektor.
S modulem plug-in Microsoft Sentinel Logstash můžete používat libovolné moduly plug-in Logstash Input a Filtering a jako výstup pro kanál Logstash nakonfigurovat Microsoft Sentinel. Logstash má rozsáhlou knihovnu modulů plug-in, které umožňují vstup z různých zdrojů, jako jsou Event Hubs, Apache Kafka, soubory, databáze a cloudové služby. Použijte filtrování modulů plug-in k analýze událostí, filtrování zbytečných událostí, zazmatení hodnot a dalších.
Příklady použití Logstash jako vlastního konektoru najdete v tématech:
- Lov po jedno porušení TTPs v protokolech AWS pomocí Microsoft Sentinel (blog)
- Průvodce implementací Microsoft Sentinel Radware
Příklady užitečných modulů plug-in Logstash najdete v těchto tématech:
- Vstupní modul plug-in CloudWatch
- Modul plug-in Azure Event Hubs
- modul plug-in Google Cloud Storage input
- Vstupní modul plug-in Google_pubsub
Tip
Logstash také umožňuje shromažďování dat škálované pomocí clusteru. Další informace najdete v tématu použití virtuálního počítače s Logstash s vyrovnáváním zatížení ve velkém měřítku.
Připojení s Logic Apps
pomocí Azure Logic Apps vytvořit bez serveru vlastní konektor pro Microsoft Sentinel.
Poznámka
Při vytváření konektorů bez serveru s využitím Logic Apps může být užitečné, použití Logic Apps pro vaše konektory může být nákladné pro velké objemy dat.
Tuto metodu doporučujeme použít jenom pro zdroje dat s nízkým objemem nebo rozšíření pro nahrávání dat.
Pomocí jedné z následujících triggerů spusťte Logic Apps:
Trigger Description Opakovaný úkol Můžete například naplánovat, aby aplikace logiky načetla data pravidelně ze specifických souborů, databází nebo externích rozhraní API.
Další informace najdete v tématu vytváření, plánování a spouštění opakujících se úloh a pracovních postupů v Azure Logic Apps.Aktivace na vyžádání Spusťte aplikaci logiky na vyžádání pro ruční shromažďování a testování dat.
Další informace najdete v tématu volání, triggery nebo vnořené aplikace logiky pomocí koncových bodů https.Koncový bod HTTP/S Doporučuje se pro streamování a pokud zdrojový systém může spustit přenos dat.
Další informace najdete v tématu koncové body služby volání přes protokol HTTP nebo https.K získání událostí použijte libovolný konektor aplikace logiky, který čte informace. Například:
Tip
vlastní konektory pro rozhraní REST api, SQL servery a systémy souborů také podporují načítání dat z místních zdrojů dat. Další informace najdete v tématu Instalace místní dokumentace pro bránu dat .
Připravte informace, které chcete načíst.
Například použijte akci analyzovat JSON pro přístup k vlastnostem v obsahu JSON, který vám umožní vybrat tyto vlastnosti ze seznamu dynamického obsahu při zadávání vstupů pro vaši aplikaci logiky.
Další informace najdete v tématu provádění operací s daty v Azure Logic Apps.
Zapište data do Log Analytics.
Další informace najdete v dokumentaci ke službě Azure Log Analytics data collector .
Příklady, jak můžete vytvořit vlastní konektor pro Microsoft Sentinel pomocí Logic Apps, najdete v těchto tématech:
- Vytvoření datového kanálu pomocí rozhraní API kolekce dat
- Palo Alto Prisma Logic Konektor aplikace s použitím webhooku (Microsoft Sentinel GitHub community)
- zabezpečení volání Microsoft Teams s naplánovanou aktivací (blog)
- Ingestování indikátorů hrozeb ALIENVAULT otx do služby Microsoft Sentinel (blog)
Připojení přes PowerShell
powershellový skript Upload-AzMonitorLog umožňuje použít powershell ke streamování událostí nebo kontextových informací do služby Microsoft Sentinel z příkazového řádku. Tento Stream efektivně vytvoří vlastní konektor mezi zdrojem dat a Microsoft Sentinel.
Například následující skript nahraje soubor CSV do programu Microsoft Sentinel:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
skript skriptu powershellu Upload-AzMonitorLog používá následující parametry:
| Parametr | Popis |
|---|---|
| ID pracovního prostoru | Vaše ID pracovního prostoru Microsoft Sentinel, kam budete ukládat svá data. Vyhledejte ID a klíč vašeho pracovního prostoru. |
| WorkspaceKey | Primární nebo sekundární klíč pro pracovní prostor Microsoft Sentinel, kam budete ukládat data. Vyhledejte ID a klíč vašeho pracovního prostoru. |
| LogTypeName | Název vlastní tabulky protokolu, do které chcete ukládat data. Přípona _CL bude automaticky přidána na konec názvu tabulky. |
| AddComputerName | Pokud tento parametr existuje, skript přidá aktuální název počítače do každého záznamu protokolu v poli s názvem Computer. |
| TaggedAzureResourceId | Pokud tento parametr existuje, připojí skript všechny záznamy odeslaných protokolů se zadaným prostředkem Azure. Toto přidružení umožňuje nahrané záznamy protokolů pro dotazy v kontextu prostředků a řídí řízení přístupu na základě role, které je zaměřené na role. |
| AdditionalDataTaggingName | Pokud tento parametr existuje, skript přidá do každého záznamu protokolu další pole s nakonfigurovaným názvem a hodnotou, která je nakonfigurovaná pro parametr AdditionalDataTaggingValue . V takovém případě nesmí být AdditionalDataTaggingValue prázdné. |
| AdditionalDataTaggingValue | Pokud tento parametr existuje, skript přidá do každého záznamu protokolu další pole s konfigurovanou hodnotou a název pole nakonfigurovaný pro parametr AdditionalDataTaggingName . Pokud je parametr AdditionalDataTaggingName prázdný, ale je nakonfigurovaná hodnota, výchozí název pole je datatagování. |
Najít ID a klíč vašeho pracovního prostoru
Podrobnosti o parametrech ID pracovního prostoru a WorkspaceKey najdete v části Microsoft Sentinel:
v nástroji Microsoft Sentinel vyberte na levé straně Nastavení a pak vyberte kartu nastavení pracovního prostoru .
v části začínáme s Log Analytics > 1 Připojení zdroji dat vyberte správa agentů Windows a Linux.
na kartách servery Windows vyhledejte ID vašeho pracovního prostoru, primární klíč a sekundární klíč.
Připojení s rozhraním API Log Analytics
Události můžete streamovat do Microsoft Sentinel pomocí Log Analytics rozhraní API kolekce dat k přímému volání koncového bodu RESTful.
Při volání koncového bodu RESTful přímo vyžaduje více programování, poskytuje také větší flexibilitu.
Další informace najdete v tématu Log Analytics rozhraní API kolekce dat, zejména v následujících příkladech:
Připojení s Azure Functions
Pomocí Azure Functions společně s rozhraním API RESTful a různými jazyky kódování, jako je PowerShell, můžete vytvořit vlastní konektor bez serveru.
Příklady této metody najdete v těchto tématech:
- Připojení svého cloudového koncového bodu VMware uhlí Black Standard na Microsoft Sentinel s funkcí Azure functions
- pomocí funkce Azure functions můžete Připojení Okta Single Sign-On na Microsoft Sentinel.
- Připojení Proofpoint klepnutím na Microsoft Sentinel s funkcí Azure functions
- Připojení virtuálního počítače s Qualys na Microsoft Sentinel pomocí funkce Azure functions
- Ingestování souborů XML, CSV nebo jiných formátů dat
- Monitorování přiblížení pomocí Microsoft Sentinel (blog)
- nasazení Function App pro získání dat rozhraní API pro správu Office 365 do Microsoft sentinel (microsoft sentinel GitHub community)
Analýza dat vlastního konektoru
K extrakci relevantních informací a naplnění příslušných polí v nástroji Microsoft Sentinel můžete použít integrovanou techniku vlastního konektoru.
Například:
- Pokud jste používali Logstash, analyzujte data pomocí modulu plug-in grok Filter.
- Pokud jste použili funkci Azure Functions, analyzujte data pomocí kódu.
Microsoft Sentinel podporuje analýzu v době dotazu. Analýza v době dotazu vám umožní zapsat data v původním formátu a v případě potřeby analyzovat na vyžádání.
Analýza v době dotazu také znamená, že nemusíte znát přesnou strukturu vašich dat, když vytvoříte vlastní konektor, nebo dokonce i informace, které budete potřebovat k extrakci. Místo toho Analyzujte data kdykoli, i během šetření.
Další informace o analýze v době dotazu najdete v tématu analyzátory.
Poznámka
Aktualizace vašeho analyzátoru platí také pro data, která jste již do programu Microsoft Sentinel přihlásili.
Další kroky
Data ingestovaná do programu Microsoft Sentinel slouží k zabezpečení prostředí pomocí některého z následujících postupů:
- Získání přehledu o upozorněních
- Vizualizace a monitorování dat
- Šetření incidentů
- Detekce hrozeb
- Automatizace prevence hrozeb
- Proaktivní vyhledávání hrozeb
Seznamte se také s jedním příkladem vytvoření vlastního konektoru pro sledování lupy: monitorování přiblížení pomocí programu Microsoft Sentinel.