Подключение Microsoft Sentinel к источнику данных в помощью Функций Azure
Вы можете использовать Функции Azure в сочетании с различными языками программирования, такими как PowerShell или Python, чтобы создать бессерверный соединитель для конечных точек REST API совместимых источников данных. Приложения-функции Azure позволяют подключить Microsoft Sentinel к REST API источника данных для получения журналов.
В этой статье описывается, как настроить в Microsoft Sentinel использование приложений-функций Azure. Возможно, вам придется дополнительно настраивать исходную систему. Ссылки на информацию по конкретному поставщику и продукту вы найдете на страницах соответствующих соединителей данных на портале или в разделе информации о конкретной службе на странице Найдите нужный соединитель данных Microsoft Sentinel.
Примечание
После приема в Microsoft Sentinel данные хранятся в географическом расположении рабочей области, в которой выполняется Microsoft Sentinel.
Для долгосрочного хранения можно также хранить данные в Azure Data Explorer. Подробнее см. в статье Интеграция Azure Data Explorer.
Использование Функций Azure для приема данных в Microsoft Sentinel может привести к дополнительным затратам на прием данных. Подробнее см. на странице цен на Функции Azure.
Предварительные требования
Убедитесь, что у вас есть указанные ниже разрешения и учетные данные, прежде чем использовать Функции Azure для подключения Microsoft Sentinel к источнику данных и приема его журналов в Microsoft Sentinel:
У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.
У вас должны быть разрешения на чтение общих ключей для рабочей области. Дополнительные сведения о клавишах рабочего пространства.
Для создания приложения-функции необходимы разрешения на чтение и запись в Функции Azure. Дополнительные сведения о функциях Azure.
Кроме того, необходимы учетные данные для доступа к API продукта — имя пользователя и пароль, маркер, ключ или другое сочетание. Также могут потребоваться другие сведения об API, такие как URI конечной точки.
Подробнее см. в документации службы, к которой вы подключаетесь, а также в разделе службы на странице Найдите нужный соединитель данных Microsoft Sentinel.
Установите решение, содержащее соединитель на основе Функции Azure из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье Обнаружение содержимого Microsoft Sentinel и управление ими.
Настройка и подключение источника данных
Примечание
Вы можете безопасно хранить ключи и токены авторизации рабочей области и API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Правильная работа некоторых соединителей данных зависит от средства синтаксического анализа на основе функции Kusto. Ссылки на инструкции по созданию функции и псевдонима см. в разделе о вашей службе на странице справочника по соединителям данных Microsoft Sentinel .
Шаг 1. Получение учетных данных API исходной системы
Следуйте инструкциям исходной системы, чтобы получить учетные данные API, ключи авторизации и токены. Скопируйте и вставьте их в текстовый файл для последующего использования.
Подробные сведения о необходимых учетных данных и ссылки на инструкции по их поиску или созданию для вашего продукта можно найти на странице соединителя данных на портале и в разделе вашей службы на странице Найдите нужный соединитель данных Microsoft Sentinel.
Также может потребоваться настроить ведение журнала или другие параметры в исходной системе. Вы найдете соответствующие инструкции наряду с инструкциями, представленными в предыдущем абзаце.
Шаг 2. Развертывание соединителя и связанного приложения-функции Azure
Выбор способа развертывания
- Шаблон Azure Resource Manager (ARM)
- Развертывание вручную с помощью PowerShell
- Развертывание вручную с помощью Python
Этот метод обеспечивает автоматическое развертывание соединителя на основе Функций Azure с помощью шаблона ARM.
В меню портала Microsoft Sentinel выберите пункт Соединители данных. Выберите в списке соединитель на основе Функций Azure и откройте страницу соединителя.
В разделе Конфигурация скопируйте идентификатор рабочей области и первичный ключ для Microsoft Sentinel и вставьте их в отдельный файл.
Выберите Развернуть в Azure. (Возможно, потребуется прокрутить экран вниз, чтобы найти кнопку.)
Появится экран Настраиваемое развертывание.
Выберите подписку, группу ресурсов и регион для развертывания приложения-функции.
Введите учетные данные API, ключи авторизации и токены, сохраненные в Шаге 1.
Введите Идентификатор рабочей области и ключ рабочей области для Microsoft Sentinel (первичный ключ), которые вы скопировали в отдельный файл.
Примечание
При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему
@Microsoft.KeyVault(SecretUri={Security Identifier})
вместо строковых значений. Подробнее см. в справочной документации по Key Vault.Заполните другие поля в форме на экране Настраиваемое развертывание. Изучите страницу соединителя данных на портале и раздел для конкретной службы на странице Найдите нужный соединитель данных Microsoft Sentinel.
Выберите Review + create (Просмотреть и создать). После завершения проверки щелкните Создать.
Поиск данных
После успешного создания подключения нужные данные появятся в разделе Журналы — CustomLogs, в таблицах для конкретной службы, которые перечислены в соответствующем разделе на странице Найдите нужный соединитель данных Microsoft Sentinel.
Чтобы запросить данные, введите в окне запроса одно из имен этих таблиц или соответствующий псевдоним функции Kusto.
См. вкладку Дальнейшие действия на странице соединителя для ознакомления с полезными примерами запросов.
Проверка подключения
Для отображения журналов в Log Analytics может потребоваться до 20 минут.
Дальнейшие действия
В этом документе вы узнали, как подключить Microsoft Sentinel к источнику данных с помощью соединителей на основе Функций Azure. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Узнайте, как отслеживать свои данные и потенциальные угрозы.
- Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
- Используйте книги для мониторинга данных.