Подключение Microsoft Sentinel к источнику данных в помощью Функций Azure

Статья
06/05/2023

Вы можете использовать Функции Azure в сочетании с различными языками программирования, такими как PowerShell или Python, чтобы создать бессерверный соединитель для конечных точек REST API совместимых источников данных. Приложения-функции Azure позволяют подключить Microsoft Sentinel к REST API источника данных для получения журналов.

В этой статье описывается, как настроить в Microsoft Sentinel использование приложений-функций Azure. Возможно, вам придется дополнительно настраивать исходную систему. Ссылки на информацию по конкретному поставщику и продукту вы найдете на страницах соответствующих соединителей данных на портале или в разделе информации о конкретной службе на странице Найдите нужный соединитель данных Microsoft Sentinel.

Примечание

После приема в Microsoft Sentinel данные хранятся в географическом расположении рабочей области, в которой выполняется Microsoft Sentinel.

Для долгосрочного хранения можно также хранить данные в Azure Data Explorer. Подробнее см. в статье Интеграция Azure Data Explorer.
Использование Функций Azure для приема данных в Microsoft Sentinel может привести к дополнительным затратам на прием данных. Подробнее см. на странице цен на Функции Azure.

Предварительные требования

Убедитесь, что у вас есть указанные ниже разрешения и учетные данные, прежде чем использовать Функции Azure для подключения Microsoft Sentinel к источнику данных и приема его журналов в Microsoft Sentinel:

У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.
У вас должны быть разрешения на чтение общих ключей для рабочей области. Дополнительные сведения о клавишах рабочего пространства.
Для создания приложения-функции необходимы разрешения на чтение и запись в Функции Azure. Дополнительные сведения о функциях Azure.
Кроме того, необходимы учетные данные для доступа к API продукта — имя пользователя и пароль, маркер, ключ или другое сочетание. Также могут потребоваться другие сведения об API, такие как URI конечной точки.

Подробнее см. в документации службы, к которой вы подключаетесь, а также в разделе службы на странице Найдите нужный соединитель данных Microsoft Sentinel.
Установите решение, содержащее соединитель на основе Функции Azure из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье Обнаружение содержимого Microsoft Sentinel и управление ими.

Настройка и подключение источника данных

Примечание

Вы можете безопасно хранить ключи и токены авторизации рабочей области и API в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Выполните эти инструкции, чтобы использовать Azure Key Vault с приложением-функцией Azure.
Правильная работа некоторых соединителей данных зависит от средства синтаксического анализа на основе функции Kusto. Ссылки на инструкции по созданию функции и псевдонима см. в разделе о вашей службе на странице справочника по соединителям данных Microsoft Sentinel .

Шаг 1. Получение учетных данных API исходной системы

Следуйте инструкциям исходной системы, чтобы получить учетные данные API, ключи авторизации и токены. Скопируйте и вставьте их в текстовый файл для последующего использования.

Подробные сведения о необходимых учетных данных и ссылки на инструкции по их поиску или созданию для вашего продукта можно найти на странице соединителя данных на портале и в разделе вашей службы на странице Найдите нужный соединитель данных Microsoft Sentinel.

Также может потребоваться настроить ведение журнала или другие параметры в исходной системе. Вы найдете соответствующие инструкции наряду с инструкциями, представленными в предыдущем абзаце.

Шаг 2. Развертывание соединителя и связанного приложения-функции Azure

Выбор способа развертывания

Этот метод обеспечивает автоматическое развертывание соединителя на основе Функций Azure с помощью шаблона ARM.

В меню портала Microsoft Sentinel выберите пункт Соединители данных. Выберите в списке соединитель на основе Функций Azure и откройте страницу соединителя.
В разделе Конфигурация скопируйте идентификатор рабочей области и первичный ключ для Microsoft Sentinel и вставьте их в отдельный файл.
Выберите Развернуть в Azure. (Возможно, потребуется прокрутить экран вниз, чтобы найти кнопку.)
Появится экран Настраиваемое развертывание.
- Выберите подписку, группу ресурсов и регион для развертывания приложения-функции.
- Введите учетные данные API, ключи авторизации и токены, сохраненные в Шаге 1.
- Введите Идентификатор рабочей области и ключ рабочей области для Microsoft Sentinel (первичный ключ), которые вы скопировали в отдельный файл.
  
  Примечание
  
  При использовании секретов Azure Key Vault для любого из приведенных выше значений используйте схему @Microsoft.KeyVault(SecretUri={Security Identifier}) вместо строковых значений. Подробнее см. в справочной документации по Key Vault.
- Заполните другие поля в форме на экране Настраиваемое развертывание. Изучите страницу соединителя данных на портале и раздел для конкретной службы на странице Найдите нужный соединитель данных Microsoft Sentinel.
- Выберите Review + create (Просмотреть и создать). После завершения проверки щелкните Создать.

Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединители на основе Функций Azure, использующие функции PowerShell.

В меню портала Microsoft Sentinel выберите пункт Соединители данных. Выберите в списке соединитель на основе Функций Azure и откройте страницу соединителя.
В разделе Конфигурация скопируйте идентификатор рабочей области и первичный ключ для Microsoft Sentinel и вставьте их в отдельный файл.
Создайте приложение-функцию
1. На портале Azure найдите и выберите элемент Приложение-функция.
2. На странице Приложение-функция щелкните Создать. Откроется мастер создания приложения-функция.
3. На вкладке Основные сведения задайте следующие параметры:
  - Выберите подписку и группу ресурсов.
  - Присвойте имя приложению-функции.
  - Задайте для Стека времени выполнения значение PowerShell Core.
  - Выберите подходящий номер версии.
  - Выберите регион, в котором нужно выполнить развертывание, и нажмите кнопку Далее: размещение.
4. На вкладке Размещение:
  - Выберите учетную запись хранения для использования или создайте новую.
  - Выберите Потребление (бессерверное) в качестве Типа плана.
5. Внесите другие требуемые изменения в конфигурацию и щелкните Проверить и создать.
6. Дождитесь сообщения о том, что проверка пройдена, и выберите Создать.
7. После завершения развертывания выберите Перейти к ресурсу.
Импорт кода приложения-функции
1. В созданном приложении-функции выберите Функции в меню навигации.
2. На странице Функции нажмите кнопку + Добавить.
3. На панели Добавить функцию выберите триггер Таймер.
4. Введите уникальное имя функции и укажите выражение cron, чтобы задать расписание. Интервал по умолчанию — 5 минут.
5. После создания функции выберите Код и тестирование в области слева.
6. Скачайте код приложения-функции, предоставленный поставщиком исходной системы. Скопируйте и вставьте его в редактор run.ps1приложения-функции, заменив содержимое по умолчанию. Ссылку на скачивание вы можете найти на странице соединителя или в разделе о конкретной службе на странице Найдите нужный соединитель данных Microsoft Sentinel.
7. Нажмите кнопку Сохранить.
Настройте приложение-функцию
1. На странице приложения-функции выберите пункт Конфигурация в разделе Параметры в меню навигации.
2. На вкладке Параметры приложения выберите +Новый параметр приложения.
3. По отдельности добавьте предписанные параметры приложения для продукта, используя соответствующие строковые значения с учетом регистра. Изучите страницу соединителя данных на портале или раздел для конкретной службы на странице Найдите нужный соединитель данных Microsoft Sentinel.
  
  Совет
  
  Если это применимо, используйте параметр приложения logAnalyticsUri, чтобы переопределить конечную точку API анализа журналов, если вы используете выделенное облако. Если же, например, вы используете общедоступное облако, оставьте значение пустым. Для облачной среды Azure US Government укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us.

Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединители на основе Функций Azure, использующие функции Python. Для этого типа развертывания требуется Visual Studio Code.

В меню портала Microsoft Sentinel выберите пункт Соединители данных. Выберите в списке соединитель на основе Функций Azure и откройте страницу соединителя.
В разделе Конфигурация скопируйте идентификатор рабочей области и первичный ключ для Microsoft Sentinel и вставьте их в отдельный файл.
Разверните приложение-функцию

Примечание

Вам потребуется подготовить Visual Studio Code (VS Code) для разработки функций Azure.
1. Скачайте файл приложения-функции Azure по ссылке на странице соединителя данных или в разделе для конкретной службы на странице Найдите нужный соединитель данных Microsoft Sentinel. Извлеките архив на локальный компьютер разработки.
2. Запустите VSCode. В строке меню выберите Файл > Открыть папку.
3. Выберите папку верхнего уровня среди файлов, извлеченных из архива.
4. Щелкните значок Azure на панели действий VS Code (слева). Затем в разделе Azure: функции нажмите кнопку Развернуть в приложение-функцию.
  
  Примечание
  
  Если вы не выполнили вход, щелкните значок Azure на панели действий. Затем в области Azure: функции выберите Вход в Azure.
  Если вы уже выполнили вход, перейдите к следующему шагу.
5. Введите следующие сведения по соответствующим запросам:
  - Выбор папки. Выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
  - Выбрать подписку. Выберите подписку, которую нужно использовать.
  - Выберите Создать приложение-функцию в Azure. (Не выбирайте параметр Дополнительно.)
  - Введите глобально уникальное имя для приложения-функции. Присвойте приложению-функции имя, допустимое в пути URL. Выбранное имя будет проверено, чтобы удостоверить его уникальность в рамках Функций Azure.
  - Выберите среду выполнения. Укажите Python 3.8.
6. Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.
7. Вернитесь на страницу приложения-функции для настройки.
Настройте приложение-функцию
1. На странице приложения-функции выберите пункт Конфигурация в разделе Параметры в меню навигации.
2. На вкладке Параметры приложения выберите +Новый параметр приложения.
3. По отдельности добавьте предписанные параметры приложения для продукта, используя соответствующие строковые значения с учетом регистра. Параметры приложения, которые нужно добавить, можно выяснить на странице соединителя данных или в разделе для конкретной службы на странице Найдите нужный соединитель данных Microsoft Sentinel.
  - Если это применимо, используйте параметр приложения logAnalyticsUri, чтобы переопределить конечную точку API анализа журналов, если вы используете выделенное облако. Если же, например, вы используете общедоступное облако, оставьте значение пустым. Для облачной среды Azure US Government укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us.

Поиск данных

После успешного создания подключения нужные данные появятся в разделе Журналы — CustomLogs, в таблицах для конкретной службы, которые перечислены в соответствующем разделе на странице Найдите нужный соединитель данных Microsoft Sentinel.

Чтобы запросить данные, введите в окне запроса одно из имен этих таблиц или соответствующий псевдоним функции Kusto.

См. вкладку Дальнейшие действия на странице соединителя для ознакомления с полезными примерами запросов.

Проверка подключения

Для отображения журналов в Log Analytics может потребоваться до 20 минут.

Дальнейшие действия

В этом документе вы узнали, как подключить Microsoft Sentinel к источнику данных с помощью соединителей на основе Функций Azure. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

Узнайте, как отслеживать свои данные и потенциальные угрозы.
Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
Используйте книги для мониторинга данных.