A Azure Functions használata a Microsoft Sentinel adatforráshoz való csatlakoztatásához
A Azure Functions különböző kódolási nyelvekkel, például a PowerShell vagy a Python használatával kiszolgáló nélküli összekötőt hozhat létre a kompatibilis adatforrások REST API-végpontjaihoz. Az Azure Function Apps ezután lehetővé teszi a Microsoft Sentinel csatlakoztatását az adatforrás REST API-hoz naplók lekéréséhez.
Ez a cikk azt ismerteti, hogyan konfigurálhatja a Microsoft Sentinelt az Azure Function Apps használatára. Előfordulhat, hogy konfigurálnia kell a forrásrendszert is, és a portálon az egyes adatösszekötők oldalán, illetve a Microsoft Sentinel adatösszekötők referencialapján található szolgáltatás szakaszában találhat szállítói és termékspecifikus információs hivatkozásokat.
Megjegyzés
A Microsoft Sentinelbe való betöltés után az adatok annak a munkaterületnek a földrajzi helyén lesznek tárolva, ahol a Microsoft Sentinelt futtatja.
Hosszú távú megőrzés céljából érdemes lehet adatokat tárolni az Azure Data Explorer. További információ: Az Azure Data Explorer integrálása.
Ha Azure Functions használ adatokat a Microsoft Sentinelbe, az további adatbetöltési költségeket eredményezhet. További információt a Azure Functions díjszabási oldalán talál.
Előfeltételek
Győződjön meg arról, hogy rendelkezik a következő engedélyekkel és hitelesítő adatokkal, mielőtt a Azure Functions használatával csatlakoztatja a Microsoft Sentinelt az adatforráshoz, és lekéri a naplókat a Microsoft Sentinelbe:
Olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel munkaterületen.
Olvasási engedéllyel kell rendelkeznie a munkaterület megosztott kulcsaihoz. További információ a munkaterületi kulcsokról.
Függvényalkalmazás létrehozásához olvasási és írási engedéllyel kell rendelkeznie a Azure Functions. További információ a Azure Functions.
A termék API-jának eléréséhez hitelesítő adatokra is szüksége lesz – felhasználónévre és jelszóra, jogkivonatra, kulcsra vagy más kombinációra. Szükség lehet más API-információkra is, például egy végpont URI-ra.
További információt a Microsoft Sentinel adatösszekötők referenciaoldalán talál a szolgáltatás dokumentációjában és a szolgáltatáshoz tartozó szakaszban.
Telepítse a Azure Functions-alapú összekötőt tartalmazó megoldást a Microsoft Sentinel content hubjáról. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.
Az adatforrás konfigurálása és csatlakoztatása
Megjegyzés
Biztonságosan tárolhatja a munkaterületi és API-engedélyezési kulcsokat vagy jogkivonatokat az Azure Key Vault. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse ezeket az utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.
Egyes adatösszekötők egy Kusto-függvényen alapuló elemzőtől függnek, hogy a várt módon működjenek. A Kusto-függvény és -alias létrehozásához szükséges utasításokra mutató hivatkozásokat a Microsoft Sentinel adatösszekötők referenciaoldalán találja a szolgáltatáshoz tartozó szakaszban.
1. lépés: A forrásrendszer API-hitelesítő adatainak lekérése
Kövesse a forrásrendszer utasításait az API hitelesítő adatainak / engedélyezési kulcsainak / jogkivonatainak lekéréséhez. Másolja és illessze be őket egy szövegfájlba későbbi használatra.
A pontos hitelesítő adatokról, valamint a termék megkeresésére vagy létrehozására vonatkozó utasításokra mutató hivatkozásokat a portál adatösszekötő oldalán, valamint a szolgáltatáshoz tartozó szakaszban találhatja meg a Microsoft Sentinel adatösszekötők referenciaoldalán .
Előfordulhat, hogy a naplózást vagy más beállításokat is konfigurálnia kell a forrásrendszeren. A vonatkozó utasításokat az előző bekezdésben szereplőkkel együtt találja meg.
2. lépés: Az összekötő és a társított Azure-függvényalkalmazás üzembe helyezése
Üzembe helyezési lehetőség kiválasztása
- Azure Resource Manager- (ARM-) sablon
- Manuális üzembe helyezés a PowerShell-lel
- Manuális üzembe helyezés a Pythonnal
Ez a módszer az Azure-függvényalapú összekötő automatikus üzembe helyezését biztosítja ARM-sablon használatával.
A Microsoft Sentinel portálon válassza az Adatösszekötők lehetőséget. Válassza ki a Azure Functions-alapú összekötőt a listából, majd válassza az Összekötő megnyitása lapot.
A Konfiguráció területen másolja ki a Microsoft Sentinel-munkaterület azonosítóját és elsődleges kulcsát , és illessze be őket.
Válassza az Üzembe helyezés az Azure-ban lehetőséget. (Előfordulhat, hogy le kell görgetnie a gomb megkereséséhez.)
Ekkor megjelenik az Egyéni üzembe helyezés képernyő.
Válassza ki azt az előfizetést, erőforráscsoportot és régiót , amelyben üzembe szeretné helyezni a függvényalkalmazást.
Adja meg a fenti 1. lépésben mentett API-hitelesítő adatokat/ engedélyezési kulcsokat/jogkivonatokat.
Adja meg a Másolt és félretett Microsoft Sentinel-munkaterület azonosítóját és munkaterületkulcsát (elsődleges kulcsot).
Megjegyzés
Ha a fenti értékekhez Azure Key Vault titkos kódokat használ, használja a
@Microsoft.KeyVault(SecretUri={Security Identifier})
sztringértékek helyett a sémát. További részletekért tekintse meg Key Vault referenciák dokumentációját.Töltse ki az űrlap bármely más mezőjét az Egyéni üzembe helyezés képernyőn. Tekintse meg az adatösszekötő oldalát a portálon vagy a szolgáltatás szakaszában a Microsoft Sentinel adatösszekötők referenciaoldalán .
Válassza az Áttekintés + létrehozás lehetőséget. Amikor az ellenőrzés befejeződött, válassza a Létrehozás lehetőséget.
Az adatok megkeresése
A sikeres kapcsolat létrejötte után az adatok a Naplók területen, a CustomLogs területen jelennek meg a szolgáltatáshoz tartozó szakaszban, a Microsoft Sentinel adatösszekötők referenciaoldalán .
Az adatok lekérdezéséhez írja be az egyik táblanevet – vagy a megfelelő Kusto-függvény aliasát – a lekérdezési ablakban.
Néhány hasznos mintalekérdezésért tekintse meg a Következő lépések lapot az összekötő oldalán.
A kapcsolat ellenőrzése
Akár 20 percig is eltarthat, amíg a naplók megjelennek a Log Analyticsben.
Következő lépések
Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja a Microsoft Sentinelt az adatforráshoz Azure Functions-alapú összekötőkkel. A Microsoft Sentinelről az alábbi cikkekben talál további információt:
- Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
- Ismerkedés a fenyegetések Microsoft Sentinellel való észlelésével.
- Munkafüzetek használatával monitorozza az adatokat.