Resources voor het maken van aangepaste Microsoft Sentinel-connectors
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
Microsoft Sentinel biedt een breed scala aan ingebouwde connectors voor Azure-servicesen externe oplossingen en ondersteunt ook het opnemen van gegevens uit sommige bronnen zonder een toegewezen connector.
Als u uw gegevensbron niet kunt verbinden met Microsoft Sentinel met behulp van een van de bestaande oplossingen die beschikbaar zijn, kunt u overwegen om uw eigen gegevensbronconnector te maken.
Zie de blogpost Microsoft Sentinel: The connectors grand (CEF, Syslog, Direct, Agent, Custom en meer) voor een volledige lijst met ondersteunde connectors.
Aangepaste connectormethoden vergelijken
De volgende tabel vergelijkt essentiële details over elke methode voor het maken van aangepaste connectors die in dit artikel worden beschreven. Selecteer de koppelingen in de tabel voor meer informatie over elke methode.
| Beschrijving van de methode | Mogelijkheid | Serverloos | Complexiteit |
|---|---|---|---|
| Log Analytics-agent Het beste voor het verzamelen van bestanden van on-premises en IaaS-bronnen |
Alleen bestandsverzameling | No | Beperkt |
| Logstash Het beste is voor on-premises en IaaS-bronnen, elke bron waarvoor een invoeg-app beschikbaar is en organisaties die al bekend zijn met Logstash |
Beschikbare invoegfuncties, plus aangepaste invoegfuncties, bieden aanzienlijke flexibiliteit. | Nee; vereist dat een VM of VM-cluster wordt uitgevoerd | Laag; ondersteunt veel scenario's met invoegvoegingen |
| Logic Apps Hoge kosten; vermijd voor gegevens met een hoog volume Het beste voor cloudbronnen met een laag volume |
Programmeren zonder code biedt beperkte flexibiliteit, zonder ondersteuning voor het implementeren van algoritmen. Als uw vereisten nog niet door een beschikbare actie worden ondersteund, kan het maken van een aangepaste actie complexiteit toevoegen. |
Yes | Laag; eenvoudige ontwikkeling zonder code |
| PowerShell Het beste voor het maken van prototypen en periodieke bestanduploads |
Directe ondersteuning voor bestandsverzameling. PowerShell kan worden gebruikt voor het verzamelen van meer bronnen, maar vereist codering en configuratie van het script als een service. |
No | Beperkt |
| Log Analytics-API Het beste voor ISV's die integratie implementeren en voor unieke verzamelingsvereisten |
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. | Afhankelijk van de implementatie | Hoog |
| Azure Functions Het beste voor cloudbronnen met grote volumes en voor unieke verzamelingsvereisten | Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. | Yes | Hoog; programmeerkennis vereist |
Tip
Voor vergelijkingen van het gebruik Logic Apps en Azure Functions voor dezelfde connector, zie:
- Fastly-logboeken Web Application Firewall in Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub community): Logic App-connector | Azure Function-connector
Verbinding maken met de Log Analytics-agent
Als uw gegevensbron gebeurtenissen in bestanden levert, raden we u aan de Azure Monitor Log Analytics-agent te gebruiken om uw aangepaste connector te maken.
Zie Aangepaste logboeken verzamelen in Azure Monitor voor meer Azure Monitor.
Zie Aangepaste JSON-gegevensbronnen verzamelen met de Log Analytics-agentvoor Linux in Azure Monitor voor een voorbeeld van deze methode.
Verbinding maken met Logstash
Als u bekend bent met Logstash,kunt u logstash gebruiken met de logstash-uitvoer-in plug-in voor Microsoft Sentinel om uw aangepaste connector te maken.
Met de invoegvoeging Microsoft Sentinel Logstash Output kunt u alle logstashinvoegingen voor invoer en filtering gebruiken en Microsoft Sentinel configureren als de uitvoer voor een Logstash-pijplijn. Logstash heeft een grote bibliotheek met invoegingen waarmee invoer uit verschillende bronnen kan worden ingevoerd, zoals Event Hubs, Apache Kafka, bestanden, databases en cloudservices. Gebruik filterin plug-ins om gebeurtenissen te parseren, onnodige gebeurtenissen te filteren, waarden te verduineren en meer.
Zie voor voorbeelden van het gebruik van Logstash als een aangepaste connector:
- Hunting for Capital One Breach TTPs in AWS-logboeken met behulp van Microsoft Sentinel (blog)
- Implementatiehandleiding voor Radware Microsoft Sentinel
Zie voor voorbeelden van nuttige Logstash-invoegvoegingen:
- Invoegingsinvoeging voor Cloudwatch-invoer
- Azure Event Hubs invoeging
- Google Cloud Storage-invoerinvoeging
- Google_pubsub invoegingsinvoegapparaat
Tip
Logstash maakt ook het verzamelen van geschaalde gegevens mogelijk met behulp van een cluster. Zie Using a load-balanced Logstash VM at scale (Een logstash-VMmet load balanced gebruiken op schaal) voor meer informatie.
Verbinding maken met Logic Apps
Gebruik Azure Logic Apps om een serverloze, aangepaste connector voor Microsoft Sentinel te maken.
Notitie
Hoewel het maken van serverloze connectors Logic Apps handig kan zijn, kan Logic Apps voor uw connectors kostbaar zijn voor grote hoeveelheden gegevens.
U wordt aangeraden deze methode alleen te gebruiken voor gegevensbronnen met een laag volume of om uw gegevensuploads te verrijken.
Gebruik een van de volgende triggers om uw Logic Apps:
Trigger Description Een terugkerende taak U kunt uw logische app bijvoorbeeld plannen om regelmatig gegevens op te halen uit specifieke bestanden, databases of externe API's.
Zie Terugkerende taken en werkstromen maken, plannen en uitvoeren in Azure Logic Apps.Triggering op aanvraag Voer uw logische app op aanvraag uit voor handmatige gegevensverzameling en -tests.
Zie Logische apps aanroepen, activeren of nesten met HTTPS-eindpunten voor meer informatie.HTTP/S-eindpunt Aanbevolen voor streaming en als het bronsysteem de gegevensoverdracht kan starten.
Zie Service-eindpunten aanroepen via HTTP of HTTPs voor meer informatie.Gebruik een van de Logic App-connectors die informatie lezen om uw gebeurtenissen op te halen. Bijvoorbeeld:
- Verbinding maken naar een REST API
- Verbinding maken naar een SQL Server
- Verbinding maken naar een bestandssysteem
Tip
Aangepaste connectors voor REST API's, SQL Servers en bestandssystemen ondersteunen ook het ophalen van gegevens uit on-premises gegevensbronnen. Zie Documentatie over on-premises gegevensgateway installeren voor meer informatie.
Bereid de informatie voor die u wilt ophalen.
Gebruik bijvoorbeeld de actie JSON parseren om toegang te krijgen tot eigenschappen in JSON-inhoud, zodat u deze eigenschappen kunt selecteren in de lijst met dynamische inhoud wanneer u invoer voor uw logische app opgeeft.
Zie Gegevensbewerkingen uitvoeren in Azure Logic Apps voor meer informatie.
Schrijf de gegevens naar Log Analytics.
Zie de documentatie voor Azure Log Analytics-gegevensverzamelaar voor meer informatie.
Voor voorbeelden van hoe u een aangepaste connector voor Microsoft Sentinel kunt maken met behulp Logic Apps, zie:
- Een gegevenspijplijn maken met de Data Collector-API
- Palo Alto Prisma Logic App-connector met behulp van een webhook (Microsoft Sentinel GitHub community)
- Uw Microsoft Teams beveiligen met geplande activering (blog)
- TapeVault OTX-bedreigingsindicatoren opnemen in Microsoft Sentinel (blog)
Verbinding maken met PowerShell
Met Upload PowerShell-script Upload-AzMonitorLog kunt u PowerShell gebruiken om gebeurtenissen of contextinformatie naar Microsoft Sentinel te streamen vanaf de opdrachtregel. Met deze streaming wordt effectief een aangepaste connector gemaakt tussen uw gegevensbron en Microsoft Sentinel.
Met het volgende script wordt bijvoorbeeld een CSV-bestand geüpload naar Microsoft Sentinel:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
Het PowerShell-script Upload-AzMonitorLog maakt gebruik van de volgende parameters:
| Parameter | Beschrijving |
|---|---|
| WorkspaceId | Uw Microsoft Sentinel-werkruimte-id, waar u uw gegevens opslaat. Zoek uw werkruimte-id en -sleutelop. |
| WorkspaceKey | De primaire of secundaire sleutel voor de Microsoft Sentinel-werkruimte waar u uw gegevens opslaat. Zoek uw werkruimte-id en -sleutelop. |
| LogTypeName | De naam van de aangepaste logboektabel waarin u de gegevens wilt opslaan. Het achtervoegsel _CL automatisch toegevoegd aan het einde van de tabelnaam. |
| AddComputerName | Wanneer deze parameter bestaat, voegt het script de huidige computernaam toe aan elke logboekrecord, in een veld met de naam Computer. |
| GelabeldAzureResourceId | Als deze parameter bestaat, koppelt het script alle geüploade logboekrecords aan de opgegeven Azure-resource. Deze associatie maakt geüploade logboekrecords mogelijk voor query's in resourcecontext en voldoet aan op resources gericht, op rollen gebaseerd toegangsbeheer. |
| AdditionalDataTaggingName | Als deze parameter bestaat, voegt het script een ander veld toe aan elke logboekrecord, met de geconfigureerde naam en de waarde die is geconfigureerd voor de parameter AdditionalDataTaggingValue. In dit geval mag AdditionalDataTaggingValue niet leeg zijn. |
| AdditionalDataTaggingValue | Als deze parameter bestaat, voegt het script nog een veld toe aan elke logboekrecord, met de geconfigureerde waarde en de veldnaam die is geconfigureerd voor de parameter AdditionalDataTaggingName. Als de parameter AdditionalDataTaggingName leeg is, maar er een waarde is geconfigureerd, is de standaardveldnaam DataTagging. |
Uw werkruimte-id en -sleutel zoeken
Zoek de details voor de parameters WorkspaceID en WorkspaceKey in Microsoft Sentinel:
Selecteer in Microsoft Sentinel Instellingen aan de linkerkant en selecteer vervolgens het tabblad Werkruimte-instellingen.
Selecteer onder Aan de slag met Log Analytics > 1 Verbinding maken een gegevensbron en selecteer Windows en Linux-agents beheren.
Zoek uw werkruimte-id, primaire sleutel en secundaire sleutel op de tabbladen Windows servers.
Verbinding maken met de Log Analytics-API
U kunt gebeurtenissen streamen naar Microsoft Sentinel met behulp van de Log Analytics Data Collector-API om rechtstreeks een RESTful-eindpunt aan te roepen.
Hoewel het rechtstreeks aanroepen van een RESTful-eindpunt meer programmering vereist, biedt het ook meer flexibiliteit.
Zie de Log Analytics-gegevensverzamelaar-APIvoor meer informatie, met name de volgende voorbeelden:
Verbinding maken met Azure Functions
Gebruik Azure Functions samen met een RESTful-API en verschillende programmeertalen, zoals PowerShell,om een serverloze aangepaste connector te maken.
Zie voor voorbeelden van deze methode:
- Verbinding maken uw VMware Carbon Black Cloud Endpoint Standard naar Microsoft Sentinel met Azure Function
- Verbinding maken Okta Single Sign-On naar Microsoft Sentinel met Azure Function
- Verbinding maken Proofpoint TAP aan Microsoft Sentinel met Azure Function
- Verbinding maken Qualys-VM aan Microsoft Sentinel met Azure Function
- XML-, CSV- of andere indelingen van gegevens opnemen
- Zoom bewaken met Microsoft Sentinel (blog)
- Een functie-app implementeren voor het Office 365 Beheer API van gegevens in Microsoft Sentinel (Microsoft Sentinel GitHub community)
Uw aangepaste connectorgegevens parseren
U kunt de ingebouwde parseringstechniek van uw aangepaste connector gebruiken om de relevante informatie te extraheren en de relevante velden in Microsoft Sentinel in te vullen.
Bijvoorbeeld:
- Als u Logstash hebt gebruikt, gebruikt u de Grok-filterinvoeging om uw gegevens te parseren.
- Als u een Azure-functie hebt gebruikt, parseert u uw gegevens met code.
Microsoft Sentinel ondersteunt parseren tijdens het uitvoeren van query's. Parseren tijdens het uitvoeren van query's stelt u in staat om gegevens in de oorspronkelijke indeling te pushen en vervolgens op aanvraag te parseren wanneer dat nodig is.
Parseren tijdens het uitvoeren van query's betekent ook dat u de exacte structuur van uw gegevens niet van tevoren hoeft te kennen, wanneer u een aangepaste connector maakt of zelfs niet de informatie die u moet extraheren. In plaats daarvan kunt u uw gegevens op elk moment parseren, zelfs tijdens een onderzoek.
Zie Parsers voor meer informatie over parseren tijdens het uitvoeren van query's.
Notitie
Het bijwerken van uw parser is ook van toepassing op gegevens die u al hebt opgenomen in Microsoft Sentinel.
Volgende stappen
Gebruik de gegevens die zijn opgenomen in Microsoft Sentinel om uw omgeving te beveiligen met een van de volgende processen:
- Inzicht krijgen in waarschuwingen
- Uw gegevens visualiseren en bewaken
- Incidenten onderzoeken
- Bedreigingen detecteren
- Bedreigingspreventie automatiseren
- Bedreigingen opsporen
Lees ook een voorbeeld van het maken van een aangepaste connector voor het bewaken van Zoom: Zoom bewaken met Microsoft Sentinel.