Utilizar as Funções do Azure para ligar o Microsoft Sentinel à origem de dados

Pode utilizar as Funções do Azure, em conjunto com várias linguagens de codificação, como o PowerShell ou o Python, para criar um conector sem servidor para os pontos finais da API REST das suas origens de dados compatíveis. Em seguida, as Aplicações de Funções do Azure permitem-lhe ligar o Microsoft Sentinel à API REST da sua origem de dados para obter registos.

Este artigo descreve como configurar o Microsoft Sentinel para utilizar as Aplicações de Funções do Azure. Também poderá ter de configurar o seu sistema de origem e pode encontrar ligações de informações específicas do fornecedor e do produto na página de cada conector de dados no portal ou na secção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel .

Nota

• Depois de ingeridos no Microsoft Sentinel, os dados são armazenados na localização geográfica da área de trabalho na qual está a executar o Microsoft Sentinel.

  Para retenção de longo prazo, também pode querer armazenar dados no Azure Data Explorer. Para obter mais informações, veja Integrar o Azure Data Explorer.

• A utilização das Funções do Azure para ingerir dados no Microsoft Sentinel pode resultar em custos adicionais de ingestão de dados. Para obter mais informações, veja a página de preços das Funções do Azure .

Pré-requisitos

Certifique-se de que tem as seguintes permissões e credenciais antes de utilizar as Funções do Azure para ligar o Microsoft Sentinel à sua origem de dados e solicitar os respetivos registos para o Microsoft Sentinel:

• Tem de ter permissões de leitura e escrita na área de trabalho do Microsoft Sentinel.

• Tem de ter permissões de leitura para chaves partilhadas para a área de trabalho. Saiba mais sobre as chaves da área de trabalho.

• Tem de ter permissões de leitura e escrita nas Funções do Azure para criar uma Aplicação de Funções. Saiba mais sobre as Funções do Azure.

• Também precisará de credenciais para aceder à API do produto: um nome de utilizador e palavra-passe, um token, uma chave ou outra combinação. Também poderá precisar de outras informações da API, como um URI de ponto final.

  Para obter mais informações, consulte a documentação do serviço ao qual se está a ligar e a secção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel .

• Instale a solução que contém o conector baseado em Funções do Azure a partir do Hub de Conteúdos no Microsoft Sentinel. Para obter mais informações, consulte Detetar e gerir conteúdos de configuração inicial do Microsoft Sentinel.

Configurar e ligar a origem de dados

Nota

• Pode armazenar chaves ou tokens de autorização de API e área de trabalho em segurança no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e obter valores de chave. Siga estas instruções para utilizar o Azure Key Vault com uma Aplicação de Funções do Azure.

• Alguns conectores de dados dependem de um analisador baseado numa Função Kusto para funcionar conforme esperado. Consulte a secção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel para obter ligações para instruções para criar a função e o alias do Kusto.

Passo 1: obter as credenciais da API do sistema de origem

Siga as instruções do sistema de origem para obter as respetivas credenciais de API/chaves de autorização/tokens. Copie e cole-os num ficheiro de texto para mais tarde.

Pode encontrar detalhes sobre as credenciais exatas de que irá precisar e ligações para as instruções do produto para encontrá-las ou criá-las, na página do conector de dados no portal e na secção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel .

Também poderá ter de configurar o registo ou outras definições no seu sistema de origem. Encontrará as instruções relevantes juntamente com as do parágrafo anterior.

Passo 2: implementar o conector e a Aplicação de Funções do Azure associada

Escolher uma opção de implementação

Modelo do Azure Resource Manager (ARM)

Este método fornece uma implementação automatizada do conector baseado em Funções do Azure com um modelo do ARM.

1. No portal do Microsoft Sentinel, selecione Conectores de dados. Selecione o conector baseado em Funções do Azure na lista e, em seguida, abra a página Do conector.

2. Em Configuração, copie o ID da área de trabalho e a chave primária do Microsoft Sentinel e cole-os de lado.

3. Selecione Implementar no Azure. (Poderá ter de se deslocar para baixo para encontrar o botão.)

4. Será apresentado o ecrã Implementação personalizada .

   • Selecione uma subscrição, um grupo de recursos e uma região na qual pretende implementar a Aplicação de Funções.

   • Introduza as credenciais/chaves de autorização/tokens da API que guardou no Passo 1 acima.

   • Introduza o ID da Área de Trabalho do Microsoft Sentinel e a Chave de Área de Trabalho (chave primária) que copiou e pôs de lado.

     Nota

     Se utilizar segredos do Azure Key Vault para qualquer um dos valores acima, utilize o @Microsoft.KeyVault(SecretUri={Security Identifier}) esquema em vez dos valores da cadeia. Veja a documentação de referências do Key Vault para obter mais detalhes.

   • Preencha quaisquer outros campos no formulário no ecrã Implementação personalizada . Veja a página do conector de dados no portal ou na secção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel .

   • Selecione Rever + criar. Quando a validação estiver concluída, selecione Criar.

Implementação manual com o PowerShell

Utilize as seguintes instruções passo a passo para implementar manualmente conectores baseados em Funções do Azure que utilizam funções do PowerShell.

1. No portal do Microsoft Sentinel, selecione Conectores de dados. Selecione o conector baseado em Funções do Azure na lista e, em seguida, abra a página Do conector.

2. Em Configuração, copie o ID da área de trabalho e a chave primária do Microsoft Sentinel e cole-os de lado.

3. Criar uma Aplicação de Funções

   1. No portal do Azure, procure e selecione Aplicação de Funções.

   2. Na página Aplicação de Funções , selecione Criar. O assistente Criar Aplicação de Funções será aberto.

   3. No separador Noções Básicas :

      • Selecione uma subscrição e um grupo de recursos.
      • Atribua um nome à sua aplicação de funções.
      • Defina a pilha de Runtime como PowerShell Core.
      • Selecione o número de versão adequado.
      • Selecione a região na qual pretende implementar e, em seguida, selecione Seguinte: Alojamento.

   4. No separador Alojamento :

      • Selecione a Conta de armazenamento que pretende utilizar ou crie uma nova.
      • Selecione Consumo (Sem Servidor) como o seu tipo de Plano.

   5. Efetue quaisquer outras alterações de configuração necessárias e, em seguida, selecione Rever + criar.

   6. Aguarde pela mensagem "Validação transmitida" e, em seguida, selecione Criar.

   7. Quando a implementação estiver concluída, selecione Ir para recurso.

4. Importar Código da Aplicação de Funções

   1. Na Aplicação de Funções recém-criada, selecione Funções no menu de navegação.

   2. Na página Funções , selecione + Adicionar.

   3. No painel Adicionar função , selecione o acionador Temporizador .

   4. Introduza um nome exclusivo para a função e introduza uma expressão cron para especificar a agenda. O intervalo predefinido é a cada 5 minutos.

   5. Quando a função tiver sido criada, selecione Código + Teste no painel esquerdo.

   6. Transfira o Código da Aplicação de Funções fornecido pelo fornecedor do sistema de origem e copie-o e cole-o no editor de run.ps1 da Aplicação de Funções, substituindo o que está lá por predefinição. Pode encontrar a ligação de transferência na página do conector ou na secção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel .

   7. Selecione Guardar.

5. Configurar a Aplicação de Funções

   1. Na página da Aplicação de Funções, selecione Configuração em Definições no menu de navegação.

   2. No separador Definições da aplicação, selecione + Nova definição de aplicação.

   3. Adicione as definições de aplicação prescritas para o seu produto individualmente, com os respetivos valores de cadeia sensíveis às maiúsculas e minúsculas. Veja a página do conector de dados ou a secção do produto da secção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel .

      Dica

      Se aplicável, utilize a definição da aplicação logAnalyticsUri para substituir o ponto final da API de análise de registos se estiver a utilizar uma cloud dedicada. Por exemplo, se estiver a utilizar a cloud pública, deixe o valor vazio; para o ambiente de cloud do Azure GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us.

Implementação manual com Python

Utilize as seguintes instruções passo a passo para implementar manualmente conectores baseados em Funções do Azure que utilizam funções python. Este tipo de implementação requer o Visual Studio Code.

1. No portal do Microsoft Sentinel, selecione Conectores de dados. Selecione o conector baseado em Funções do Azure na lista e, em seguida, abra a página do conector.

2. Em Configuração, copie o ID da área de trabalho e a chave primária do Microsoft Sentinel e cole-os de lado.

3. Implementar uma Aplicação de Funções

   Nota

   Terá de preparar o Visual Studio Code (VS Code) para o desenvolvimento de Funções do Azure.

   1. Transfira o ficheiro da Aplicação de Funções do Azure com a ligação fornecida na página do conector de dados e na secção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel . Extraia o arquivo para o computador de desenvolvimento local.

   2. Inicie o VS Code. Na barra de menus, selecione Pasta Abrir Ficheiro > ....

   3. Selecione a pasta de nível superior a partir dos ficheiros extraídos do arquivo.

   4. Selecione o ícone do Azure na Barra de Atividade do VS Code (à esquerda). Em seguida, na área Azure: Funções , selecione o botão Implementar na aplicação de funções .

      Nota

      Se ainda não tiver sessão iniciada, selecione o ícone do Azure na Barra de atividade. Em seguida, na área Azure: Funções , selecione Iniciar sessão no Azure.
      Se já tiver sessão iniciada, avance para o passo seguinte.

   5. Forneça as seguintes informações nos pedidos:

      • Selecionar pasta: selecione uma pasta a partir da área de trabalho ou navegue para uma pasta que contenha a sua aplicação de funções.
      • Selecione subscrição: selecione a subscrição a utilizar.
      • Selecione Criar nova Aplicação de Funções no Azure. (Não escolha a opção Avançadas .)
      • Introduza um nome globalmente exclusivo para a aplicação de funções: atribua à sua aplicação de funções um nome que seja válido num caminho de URL. O nome que escolher será validado para se certificar de que é exclusivo em todas as Funções do Azure.
      • Selecione um runtime: selecionePython 3.8.

   6. A implementação será iniciada. Depois de criar a aplicação de funções, é apresentada uma notificação e o pacote de implementação é aplicado.

   7. Regresse à página da Aplicação de Funções para configuração.

4. Configurar a Aplicação de Funções

   1. Na página da Aplicação de Funções, selecione Configuração em Definições no menu de navegação.

   2. No separador Definições da aplicação, selecione + Nova definição da aplicação.

   3. Adicione as definições de aplicação prescritas para o seu produto individualmente, com os respetivos valores de cadeia sensíveis às maiúsculas e minúsculas. Veja a página do conector de dados ou a secção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel para as definições da aplicação a adicionar.

      • Se aplicável, utilize a definição da aplicação logAnalyticsUri para substituir o ponto final da API de análise de registos se estiver a utilizar uma cloud dedicada. Por exemplo, se estiver a utilizar a cloud pública, deixe o valor vazio; para o ambiente de cloud do Azure GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us.

Localizar os seus dados

Depois de estabelecida uma ligação com êxito, os dados são apresentados em Registos em CustomLogs, nas tabelas listadas na secção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel .

Para consultar dados, introduza um desses nomes de tabela ( ou o alias de função Kusto relevante ) na janela de consulta.

Veja o separador Passos seguintes na página do conector para obter algumas consultas de exemplo úteis.

Validar a conectividade

Pode demorar até 20 minutos até que os registos comecem a aparecer no Log Analytics.

Passos seguintes

Neste documento, aprendeu a ligar o Microsoft Sentinel à sua origem de dados com conectores baseados em Funções do Azure. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:

• Saiba como obter visibilidade sobre os seus dados e potenciais ameaças.
• Introdução à deteção de ameaças com o Microsoft Sentinel.
• Utilize livros para monitorizar os seus dados.