Łączenie usługi Microsoft Sentinel ze źródłem danych za pomocą Azure Functions

Artykuł
06/05/2023

Można użyć Azure Functions w połączeniu z różnymi językami kodowania, takimi jak PowerShell lub Python, w celu utworzenia łącznika bezserwerowego dla punktów końcowych interfejsu API REST zgodnych źródeł danych. Aplikacje funkcji platformy Azure umożliwiają następnie łączenie usługi Microsoft Sentinel z interfejsem API REST źródła danych w celu ściągnięcia dzienników.

W tym artykule opisano sposób konfigurowania usługi Microsoft Sentinel na potrzeby korzystania z aplikacji funkcji platformy Azure. Może być również konieczne skonfigurowanie systemu źródłowego i znalezienie linków informacji specyficznych dla dostawcy i produktu na stronie każdego łącznika danych w portalu lub sekcji dotyczącej usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel .

Uwaga

Po pozyskaniu do usługi Microsoft Sentinel dane są przechowywane w lokalizacji geograficznej obszaru roboczego, w którym jest uruchomiona usługa Microsoft Sentinel.

W przypadku długoterminowego przechowywania można również przechowywać dane w usłudze Azure Data Explorer. Aby uzyskać więcej informacji, zobacz Integrowanie usługi Azure Data Explorer.
Użycie Azure Functions do pozyskiwania danych do usługi Microsoft Sentinel może spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać więcej informacji, zobacz stronę cennika Azure Functions.

Wymagania wstępne

Przed użyciem Azure Functions do połączenia usługi Microsoft Sentinel ze źródłem danych i ściągnięcia jego dzienników do usługi Microsoft Sentinel upewnij się, że masz następujące uprawnienia i poświadczenia:

Musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.
Musisz mieć uprawnienia do odczytu do kluczy udostępnionych dla obszaru roboczego. Dowiedz się więcej o kluczach obszaru roboczego.
Aby utworzyć aplikację funkcji, musisz mieć uprawnienia do odczytu i zapisu w Azure Functions. Dowiedz się więcej o Azure Functions.
Do uzyskiwania dostępu do interfejsu API produktu będą również potrzebne poświadczenia — nazwa użytkownika i hasło, token, klucz lub inna kombinacja. Mogą być również potrzebne inne informacje o interfejsie API, takie jak identyfikator URI punktu końcowego.

Aby uzyskać więcej informacji, zobacz dokumentację usługi, z którą nawiązujesz połączenie, i sekcję dotyczącą usługi na stronie dokumentacji łączników danych usługi Microsoft Sentinel .
Zainstaluj rozwiązanie zawierające łącznik oparty na Azure Functions z centrum zawartości w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

Konfigurowanie i łączenie źródła danych

Uwaga

Obszar roboczy i klucze autoryzacji interfejsu API można bezpiecznie przechowywać w usłudze Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami, aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Niektóre łączniki danych zależą od analizatora opartego na funkcji Kusto do działania zgodnie z oczekiwaniami. Zapoznaj się z sekcją dotyczącą usługi na stronie dokumentacji łączników danych usługi Microsoft Sentinel, aby uzyskać linki do instrukcji dotyczących tworzenia funkcji i aliasu usługi Kusto.

Krok 1. Pobieranie poświadczeń interfejsu API systemu źródłowego

Postępuj zgodnie z instrukcjami systemu źródłowego, aby uzyskać poświadczenia interfejsu API / klucze autoryzacji / tokeny. Skopiuj i wklej je do pliku tekstowego do późniejszego użycia.

Szczegółowe informacje na temat dokładnych poświadczeń, które są potrzebne, oraz linki do instrukcji produktu dotyczących ich znajdowania lub tworzenia na stronie łącznika danych w portalu i w sekcji dotyczącej usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel .

Może być również konieczne skonfigurowanie rejestrowania lub innych ustawień w systemie źródłowym. Odpowiednie instrukcje znajdziesz razem z instrukcjami podanymi w poprzednim akapicie.

Krok 2. Wdrażanie łącznika i skojarzonej aplikacji funkcji platformy Azure

Wybierz opcję wdrożenia

Ta metoda zapewnia automatyczne wdrażanie łącznika opartego na funkcji platformy Azure przy użyciu szablonu usługi ARM.

W portalu usługi Microsoft Sentinel wybierz pozycję Łączniki danych. Wybierz łącznik oparty na Azure Functions z listy, a następnie wybierz stronę Otwórz łącznik.
W obszarze Konfiguracja skopiuj identyfikator obszaru roboczego usługi Microsoft Sentinel i klucz podstawowy i wklej je na bok.
Wybierz pozycję Wdróż na platformie Azure. (Może być konieczne przewinięcie w dół, aby znaleźć przycisk).
Zostanie wyświetlony ekran Niestandardowe wdrożenie .
- Wybierz subskrypcję, grupę zasobów i region , w którym chcesz wdrożyć aplikację funkcji.
- Wprowadź poświadczenia interfejsu API / klucze autoryzacji / tokeny zapisane w kroku 1 powyżej.
- Wprowadź identyfikator obszaru roboczego usługi Microsoft Sentinel i klucz obszaru roboczego (klucz podstawowy), który został skopiowany i odłożone.
  
  Uwaga
  
  Jeśli używasz wpisów tajnych usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj @Microsoft.KeyVault(SecretUri={Security Identifier}) schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją Key Vault dokumentacji.
- Wypełnij wszystkie inne pola w formularzu na ekranie Wdrożenie niestandardowe . Zobacz stronę łącznika danych w portalu lub sekcję dotyczącą usługi na stronie dokumentacji łączników danych usługi Microsoft Sentinel .
- Wybierz pozycję Przejrzyj i utwórz. Po zakończeniu walidacji wybierz pozycję Utwórz.

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łączniki oparte na Azure Functions korzystające z funkcji programu PowerShell.

W portalu usługi Microsoft Sentinel wybierz pozycję Łączniki danych. Wybierz łącznik oparty na Azure Functions z listy, a następnie wybierz stronę Otwórz łącznik.
W obszarze Konfiguracja skopiuj identyfikator obszaru roboczego usługi Microsoft Sentinel i klucz podstawowy i wklej je na bok.
Tworzenie aplikacji funkcji
1. W Azure Portal wyszukaj i wybierz pozycję Aplikacja funkcji.
2. Na stronie Aplikacja funkcji wybierz pozycję Utwórz. Zostanie otwarty kreator Tworzenia aplikacji funkcji .
3. Na karcie Podstawy :
  - Wybierz subskrypcję i grupę zasobów.
  - Nadaj aplikacji funkcji nazwę.
  - Ustaw stos środowiska uruchomieniowego na PowerShell Core.
  - Wybierz odpowiedni numer wersji.
  - Wybierz region , w którym chcesz wdrożyć, a następnie wybierz pozycję Dalej: Hosting.
4. Na karcie Hosting :
  - Wybierz konto magazynu , którego chcesz użyć, lub utwórz nowe.
  - Wybierz pozycję Zużycie (bezserwerowe) jako typ planu.
5. Wprowadź inne potrzebne zmiany konfiguracji, a następnie wybierz pozycję Przejrzyj i utwórz.
6. Poczekaj na komunikat "Weryfikacja przekazana", a następnie wybierz pozycję Utwórz.
7. Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.
Importowanie kodu aplikacji funkcji
1. W nowo utworzonej aplikacji funkcji wybierz pozycję Funkcje z menu nawigacji.
2. Na stronie Funkcje wybierz pozycję + Dodaj.
3. W panelu Dodawanie funkcji wybierz wyzwalacz czasomierza .
4. Wprowadź unikatową nazwę funkcji i wprowadź wyrażenie cron , aby określić harmonogram. Domyślny interwał to co 5 minut.
5. Po utworzeniu funkcji wybierz pozycję Kod i testowanie w okienku po lewej stronie.
6. Pobierz kod aplikacji funkcji dostarczony przez dostawcę systemu źródłowego i skopiuj go i wklej do edytora run.ps1aplikacji funkcji, zastępując zawartość domyślnie. Link pobierania można znaleźć na stronie łącznika lub w sekcji dotyczącej usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel .
7. Wybierz pozycję Zapisz.
Konfigurowanie aplikacji funkcji
1. Na stronie aplikacji funkcji wybierz pozycję Konfiguracja w obszarze Ustawienia w menu nawigacji.
2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
3. Dodaj określone ustawienia aplikacji dla produktu indywidualnie z odpowiednimi wartościami ciągów z uwzględnieniem wielkości liter. Zobacz stronę łącznika danych lub sekcję produktu dotyczącą usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel .
  
  Porada
  
  Jeśli ma to zastosowanie, użyj ustawienia aplikacji logAnalyticsUri , aby zastąpić punkt końcowy interfejsu API analizy dzienników, jeśli używasz dedykowanej chmury. Jeśli na przykład używasz chmury publicznej, pozostaw wartość pustą; Dla środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łączniki oparte na Azure Functions korzystające z funkcji języka Python. Tego rodzaju wdrożenie wymaga Visual Studio Code.

W portalu usługi Microsoft Sentinel wybierz pozycję Łączniki danych. Wybierz łącznik oparty na Azure Functions z listy, a następnie na stronie Otwórz łącznik.
W obszarze Konfiguracja skopiuj identyfikator obszaru roboczego usługi Microsoft Sentinel i klucz podstawowy i wklej je na bok.
Wdrażanie aplikacji funkcji

Uwaga

Musisz przygotować Visual Studio Code (VS Code) na potrzeby tworzenia funkcji platformy Azure.
1. Pobierz plik aplikacji funkcji platformy Azure przy użyciu linku podanego na stronie łącznika danych i w sekcji dotyczącej usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel . Wyodrębnij archiwum na komputer deweloperów lokalnych.
2. Uruchom program VS Code. Na pasku menu wybierz pozycję Plik > Otwórz folder....
3. Wybierz folder najwyższego poziomu z plików wyodrębnionych z archiwum.
4. Wybierz ikonę platformy Azure na pasku działań programu VS Code (po lewej stronie). Następnie w obszarze Azure: Functions wybierz przycisk Wdróż w aplikacji funkcji .
  
  Uwaga
  
  Jeśli jeszcze nie zalogowaliśmy się, wybierz ikonę platformy Azure na pasku działania. Następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure.
  Jeśli już się zalogowałeś, przejdź do następnego kroku.
5. Podaj następujące informacje po wyświetleniu monitów:
  - Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.
  - Wybierz subskrypcję: wybierz subskrypcję do użycia.
  - Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure. (Nie wybieraj opcji Zaawansowane ).
  - Wprowadź globalnie unikatową nazwę aplikacji funkcji: nadaj aplikacji funkcji nazwę prawidłową w ścieżce adresu URL. Wybrana nazwa zostanie zweryfikowana, aby upewnić się, że jest unikatowa w całym Azure Functions.
  - Wybierz środowisko uruchomieniowe: wybierz pozycję Python 3.8.
6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.
7. Wróć do strony aplikacji funkcji w celu skonfigurowania.
Konfigurowanie aplikacji funkcji
1. Na stronie Aplikacji funkcji wybierz pozycję Konfiguracja w obszarze Ustawienia w menu nawigacji.
2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
3. Dodaj określone ustawienia aplikacji dla produktu indywidualnie z odpowiednimi wartościami ciągów z uwzględnieniem wielkości liter. Zobacz stronę łącznika danych lub sekcję dotyczącą usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel , aby dodać ustawienia aplikacji.
  - Jeśli ma to zastosowanie, użyj ustawienia aplikacji logAnalyticsUri , aby zastąpić punkt końcowy interfejsu API analizy dzienników, jeśli używasz dedykowanej chmury. Jeśli na przykład używasz chmury publicznej, pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.

Znajdowanie danych

Po nawiązaniu pomyślnego połączenia dane są wyświetlane w obszarze Dzienniki w obszarze Dzienniki niestandardowe w tabelach wymienionych w sekcji dotyczącej usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel .

Aby wykonywać zapytania dotyczące danych, wprowadź jedną z tych nazw tabel — lub odpowiedni alias funkcji Kusto — w oknie zapytania.

Zobacz kartę Następne kroki na stronie łącznika, aby zapoznać się z przydatnymi przykładowymi zapytaniami.

Weryfikowanie łączności

Wyświetlenie dzienników w usłudze Log Analytics może potrwać do 20 minut.

Następne kroki

W tym dokumencie przedstawiono sposób łączenia usługi Microsoft Sentinel ze źródłem danych przy użyciu łączników opartych na Azure Functions. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
Monitorowanie danych za pomocą skoroszytów .