Resurser för att skapa anpassade Anslutningsappar för Microsoft Sentinel
Microsoft Sentinel tillhandahåller ett brett utbud av inbyggda anslutningsappar för Azure-tjänster och externa lösningar och stöder även inmatning av data från vissa källor utan en dedikerad anslutningsapp.
Om du inte kan ansluta datakällan till Microsoft Sentinel med någon av de befintliga tillgängliga lösningarna kan du skapa en egen anslutningsapp för datakällor.
En fullständig lista över anslutningsappar som stöds finns i blogginlägget Microsoft Sentinel: Connectors grand (CEF, Syslog, Direct, Agent, Custom och mer).
Jämföra metoder för anpassade anslutningsappar
I följande tabell jämförs viktig information om varje metod för att skapa anpassade anslutningsappar som beskrivs i den här artikeln. Välj länkarna i tabellen för mer information om varje metod.
Metodbeskrivning | Funktion | Utan server | Komplexitet |
---|---|---|---|
Codeless Connector Platform (CCP) Bäst för mindre tekniska målgrupper att skapa SaaS-anslutningsappar med hjälp av en konfigurationsfil i stället för avancerad utveckling. |
Stöder alla funktioner som är tillgängliga med koden. | Yes | Låg; enkel, kodlös utveckling |
Log Analytics-agent Bäst för att samla in filer från lokala och IaaS-källor |
Endast filsamling | No | Låg |
Logstash Bäst för lokala källor och IaaS-källor, alla källor som ett plugin-program är tillgängligt för och organisationer som redan är bekanta med Logstash |
Tillgängliga plugin-program, plus anpassade plugin-program, ger stor flexibilitet. | Nej; kräver att en virtuell dator eller ett VM-kluster körs | Låg; stöder många scenarier med plugin-program |
Logic Apps Hög kostnad; undvika för data med stora volymer Bäst för molnkällor med låg volym |
Kodlös programmering ger begränsad flexibilitet, utan stöd för att implementera algoritmer. Om ingen tillgänglig åtgärd redan stöder dina krav kan det öka komplexiteten genom att skapa en anpassad åtgärd. |
Yes | Låg; enkel, kodlös utveckling |
PowerShell Bäst för prototyper och periodiska filuppladdningar |
Direkt stöd för filinsamling. PowerShell kan användas för att samla in fler källor, men kräver kodning och konfiguration av skriptet som en tjänst. |
No | Låg |
API för Log Analytics Bäst för ISV:er som implementerar integrering och för unika insamlingskrav |
Stöder alla funktioner som är tillgängliga med koden. | Beror på implementeringen | Högt |
Azure Functions Bäst för molnkällor med stora volymer och för unika insamlingskrav |
Stöder alla funktioner som är tillgängliga med koden. | Yes | Hög; kräver programmeringskunskap |
Tips
Jämförelser av att använda Logic Apps och Azure Functions för samma anslutningsapp finns i:
- Mata in snabbt Web Application Firewall loggar till Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub-communityn): Anslutningsapp | förLogic App Azure Function
Ansluta med plattformen för kodlös anslutningsapp
Codeless Connector Platform (CCP) tillhandahåller en konfigurationsfil som kan användas av både kunder och partner och sedan distribueras till din egen arbetsyta eller som en lösning i Microsoft Sentinels lösningsgalleri.
Anslutningsappar som skapats med ccp är helt SaaS, utan krav på tjänstinstallationer, och inkluderar även hälsoövervakning och fullständigt stöd från Microsoft Sentinel.
Mer information finns i Skapa en kodlös anslutningsapp för Microsoft Sentinel.
Ansluta med Log Analytics-agenten
Om din datakälla levererar händelser i filer rekommenderar vi att du använder Azure Monitor Log Analytics-agenten för att skapa din anpassade anslutningsapp.
Mer information finns i Samla in anpassade loggar i Azure Monitor.
Ett exempel på den här metoden finns i Samla in anpassade JSON-datakällor med Log Analytics-agenten för Linux i Azure Monitor.
Ansluta med Logstash
Om du är bekant med Logstash kanske du vill använda Logstash med Logstash-utdata-plugin-programmet för Microsoft Sentinel för att skapa din anpassade anslutningsapp.
Med plugin-programmet Microsoft Sentinel Logstash Output kan du använda alla plugin-program för Logstash-indata och -filtrering och konfigurera Microsoft Sentinel som utdata för en Logstash-pipeline. Logstash har ett stort bibliotek med plugin-program som aktiverar indata från olika källor, till exempel Event Hubs, Apache Kafka, Filer, Databaser och molntjänster. Använd plugin-program för filtrering för att parsa händelser, filtrera onödiga händelser, dölja värden med mera.
Exempel på hur du använder Logstash som en anpassad anslutningsapp finns i:
- Jakt på TTPs för Capital One Breach i AWS-loggar med Microsoft Sentinel (blogg)
- Implementeringsguide för Radware Microsoft Sentinel
Exempel på användbara Logstash-plugin-program finns i:
- Plugin-program för Cloudwatch-indata
- Azure Event Hubs plugin-program
- Plugin-program för Google Cloud Storage-indata
- Google_pubsub plugin-program för indata
Tips
Logstash möjliggör även skalbar datainsamling med hjälp av ett kluster. Mer information finns i Använda en belastningsutjämning av en virtuell Logstash-dator i stor skala.
Ansluta med Logic Apps
Använd Azure Logic Apps för att skapa en serverlös, anpassad anslutningsapp för Microsoft Sentinel.
Anteckning
Det kan vara praktiskt att skapa serverlösa anslutningsappar med Logic Apps, men det kan vara dyrt att använda Logic Apps för dina anslutningsappar för stora datavolymer.
Vi rekommenderar att du endast använder den här metoden för datakällor med låg volym eller berikar dina datauppladdningar.
Använd någon av följande utlösare för att starta Logic Apps:
Utlösare Description En återkommande aktivitet Schemalägg till exempel logikappen så att den regelbundet hämtar data från specifika filer, databaser eller externa API:er.
Mer information finns i Skapa, schemalägga och köra återkommande uppgifter och arbetsflöden i Azure Logic Apps.Utlösande på begäran Kör logikappen på begäran för manuell datainsamling och testning.
Mer information finns i Anropa, utlösa eller kapsla logikappar med HTTPS-slutpunkter.HTTP/S-slutpunkt Rekommenderas för direktuppspelning och om källsystemet kan starta dataöverföringen.
Mer information finns i Anropa tjänstslutpunkter via HTTP eller HTTPs.Använd någon av logic app-anslutningsapparna som läser information för att hämta dina händelser. Exempel:
Tips
Anpassade anslutningsappar till REST-API:er, SQL-servrar och filsystem stöder också hämtning av data från lokala datakällor. Mer information finns i Installera lokal datagatewaydokumentation .
Förbered den information som du vill hämta.
Använd till exempel åtgärden parsa JSON för att komma åt egenskaper i JSON-innehåll, så att du kan välja dessa egenskaper från listan med dynamiskt innehåll när du anger indata för logikappen.
Mer information finns i Utföra dataåtgärder i Azure Logic Apps.
Skriv data till Log Analytics.
Mer information finns i dokumentationen för Azure Log Analytics Data Collector .
Exempel på hur du kan skapa en anpassad anslutningsapp för Microsoft Sentinel med hjälp av Logic Apps finns i:
- Skapa en datapipeline med API:et för datainsamlare
- Palo Alto Prisma Logic App-anslutningsprogram med hjälp av en webhook (Microsoft Sentinel GitHub-communityn)
- Skydda dina Microsoft Teams-samtal med schemalagd aktivering (blogg)
- Mata in AlienVault OTX-hotindikatorer i Microsoft Sentinel (blogg)
Ansluta med PowerShell
Med PowerShell-skriptet Upload-AzMonitorLog kan du använda PowerShell för att strömma händelser eller kontextinformation till Microsoft Sentinel från kommandoraden. Den här direktuppspelningen skapar effektivt en anpassad anslutningsapp mellan din datakälla och Microsoft Sentinel.
Följande skript laddar till exempel upp en CSV-fil till Microsoft Sentinel:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
PowerShell-skriptskriptet Upload-AzMonitorLog använder följande parametrar:
Parameter | Beskrivning |
---|---|
WorkspaceId | Ditt Microsoft Sentinel-arbetsyte-ID, där du kommer att lagra dina data. Hitta ditt arbetsyte-ID och nyckel. |
WorkspaceKey | Den primära eller sekundära nyckeln för Microsoft Sentinel-arbetsytan där du ska lagra dina data. Hitta ditt arbetsyte-ID och nyckel. |
LogTypeName | Namnet på den anpassade loggtabellen där du vill lagra data. Ett suffix med _CL läggs automatiskt till i slutet av tabellnamnet. |
AddComputerName | När den här parametern finns lägger skriptet till det aktuella datornamnet i varje loggpost i ett fält med namnet Dator. |
TaggedAzureResourceId | När den här parametern finns associerar skriptet alla uppladdade loggposter med den angivna Azure-resursen. Den här associationen aktiverar de uppladdade loggposterna för resurskontextfrågor och följer resurscentrerad, rollbaserad åtkomstkontroll. |
AdditionalDataTaggingName | När den här parametern finns lägger skriptet till ytterligare ett fält i varje loggpost, med det konfigurerade namnet och värdet som har konfigurerats för parametern AdditionalDataTaggingValue . I det här fallet får AdditionalDataTaggingValue inte vara tomt. |
AdditionalDataTaggingValue | När den här parametern finns lägger skriptet till ytterligare ett fält i varje loggpost, med det konfigurerade värdet och fältnamnet som konfigurerats för parametern AdditionalDataTaggingName . Om parametern AdditionalDataTaggingName är tom, men ett värde har konfigurerats, är standardfältnamnet DataTagging. |
Hitta ditt arbetsyte-ID och nyckel
Hitta information om parametrarna WorkspaceID och WorkspaceKey i Microsoft Sentinel:
I Microsoft Sentinel väljer du Inställningar till vänster och sedan fliken Arbetsyteinställningar .
Under Kom igång med Log Analytics>1 Anslut en datakälla väljer du Hantering av Windows- och Linux-agenter.
Hitta ditt arbetsyte-ID, primärnyckel och sekundärnyckel på flikarna för Windows-servrar .
Ansluta med Log Analytics-API:et
Du kan strömma händelser till Microsoft Sentinel med hjälp av Log Analytics Data Collector-API:et för att anropa en RESTful-slutpunkt direkt.
Även om det krävs mer programmering för att anropa en RESTful-slutpunkt direkt, ger det också mer flexibilitet.
Mer information finns i API:et för Log Analytics-datainsamlare, särskilt följande exempel:
Ansluta med Azure Functions
Använd Azure Functions tillsammans med ett RESTful-API och olika kodningsspråk, till exempel PowerShell, för att skapa en serverlös anpassad anslutningsapp.
Exempel på den här metoden finns i:
- Ansluta VMware Carbon Black Cloud Endpoint Standard till Microsoft Sentinel med Azure Function
- Ansluta din Okta Single Sign-On till Microsoft Sentinel med Azure Function
- Ansluta proofpoint TAP till Microsoft Sentinel med Azure Function
- Ansluta din virtuella Qualys-dator till Microsoft Sentinel med Azure Function
- Mata in XML, CSV eller andra dataformat
- Övervaka Zoom med Microsoft Sentinel (blogg)
- Distribuera en funktionsapp för att hämta Office 365 Management API-data till Microsoft Sentinel (Microsoft Sentinel GitHub-communityn)
Parsa dina anpassade anslutningsdata
Om du vill dra nytta av de data som samlas in med din anpassade anslutningsapp kan du utveckla ASIM-parser (Advanced Security Information Model) för att arbeta med din anslutningsapp. Med ASIM kan Microsoft Sentinels inbyggda innehåll använda dina anpassade data och göra det enklare för analytiker att fråga efter data.
Om anslutningsmetoden tillåter det kan du implementera en del av parsningen som en del av anslutningsappen för att förbättra prestanda för frågetidsparsning:
- Om du har använt Logstash använder du plugin-programmet för Grok-filtret för att parsa dina data.
- Om du har använt en Azure-funktion parsar du dina data med kod.
Du måste fortfarande implementera ASIM-parser, men om du implementerar en del av parsningen direkt med anslutningsappen förenklas parsningen och prestandan förbättras.
Nästa steg
Använd de data som matas in i Microsoft Sentinel för att skydda din miljö med någon av följande processer:
- Få insyn i aviseringar
- Visualisera och övervaka dina data
- Undersöka incidenter
- Identifiera hot
- Automatisera skydd mot hot
- Sök efter hot
Läs också om ett exempel på hur du skapar en anpassad anslutningsapp för att övervaka Zoom: Övervakning av Zoom med Microsoft Sentinel.