Resurser för att skapa anpassade Microsoft Sentinel-anslutningsappar
Anteckning
Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.
Microsoft Sentinel tillhandahåller en mängd olika inbyggda anslutningsappar för Azure-tjänsteroch externa lösningar, och har även stöd för inmatning av data från vissa källor utan en dedikerad anslutningsapp.
Om du inte kan ansluta datakällan till Microsoft Sentinel med någon av de befintliga tillgängliga lösningarna kan du överväga att skapa en egen anslutningsapp för datakällor.
En fullständig lista över anslutningsappar som stöds finns i blogginlägget Microsoft Sentinel: The connectors grand (CEF, Syslog, Direct, Agent, Custom med mera).
Jämför metoder för anpassade anslutningsappar
I följande tabell jämförs viktig information om varje metod för att skapa anpassade anslutningsappar som beskrivs i den här artikeln. Välj länkarna i tabellen för mer information om varje metod.
| Metodbeskrivning | Funktion | Utan server | Komplexitet |
|---|---|---|---|
| Log Analytics-agent Bäst för att samla in filer från lokala källor och IaaS-källor |
Endast filinsamling | No | Låg |
| Logstash Bäst för lokala och IaaS-källor, alla källor som ett plugin-program är tillgängligt för och organisationer som redan är bekanta med Logstash |
Tillgängliga plugin-program, samt anpassade plugin-program, ger stor flexibilitet. | Nej; kräver att en virtuell dator eller ett virtuellt datorkluster körs | Låg; stöder många scenarier med plugin-program |
| Logic Apps Hög kostnad; undvik för data med stora volymer Bäst för molnkällor med låg volym |
Kodlös programmering ger begränsad flexibilitet, utan stöd för implementering av algoritmer. Om ingen tillgänglig åtgärd redan har stöd för dina krav kan det öka komplexiteten om du skapar en anpassad åtgärd. |
Yes | Låg; enkel, kodlös utveckling |
| PowerShell Bäst för prototyper och periodiska filuppladdningar |
Direkt stöd för filinsamling. PowerShell kan användas för att samla in fler källor, men kräver kodning och konfiguration av skriptet som en tjänst. |
No | Låg |
| Log Analytics API Bäst för ISV:er som implementerar integrering och för unika samlingskrav |
Stöder alla funktioner som är tillgängliga med koden. | Beror på implementeringen | Högt |
| Azure Functions Bäst för molnkällor med stora volymer och för unika samlingskrav | Stöder alla funktioner som är tillgängliga med koden. | Yes | Hög; kräver programmeringskunskaper |
Tips
Jämförelser av hur du använder Logic Apps och Azure Functions för samma anslutningsapp finns i:
- Mata in snabbt Web Application Firewall loggar i Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub community): Logic Anslutningsverktyg | Azure Function-anslutningsapp
Anslut med Log Analytics-agenten
Om din datakälla levererar händelser i filer rekommenderar vi att du använder log analytics-Azure Monitor för att skapa din anpassade anslutningsapp.
Mer information finns i Samla in anpassade loggar i Azure Monitor.
Ett exempel på den här metoden finns i Samla in anpassade JSON-datakällor med Log Analytics-agenten för Linux i Azure Monitor.
Anslut med Logstash
Om du är bekant med Logstashkanske du vill använda Logstash med plugin-programmet Logstash-utdata för Microsoft Sentinel för att skapa din anpassade anslutningsapp.
Med plugin-programmet Microsoft Sentinel Logstash Output kan du använda plugin-program för Logstash-indata och filtrering och konfigurera Microsoft Sentinel som utdata för en Logstash-pipeline. Logstash har ett stort bibliotek med plugin-program som möjliggör indata från olika källor, till exempel Event Hubs, Apache Kafka, filer, databaser och molntjänster. Använd filtrerings-plugin-program för att parsa händelser, filtrera onödiga händelser, fördrå värden med mera.
Exempel på hur du använder Logstash som en anpassad anslutningsapp finns i:
- Jakt på TTPs för Capital One-intrång i AWS-loggar med Microsoft Sentinel (blogg)
- Implementeringsguide för Radware Microsoft Sentinel
Exempel på användbara Logstash-plugin-program finns i:
- Plugin-program för Cloudwatch-indata
- Azure Event Hubs plugin-program
- Google Cloud Storage plugin-program för indata
- Google_pubsub plugin-program för indata
Tips
Logstash möjliggör även skalad datainsamling med hjälp av ett kluster. Mer information finns i Använda en belastningsutjämnad virtuell Logstash-dator i stor skala.
Anslut med Logic Apps
Använd Azure Logic Apps för att skapa en serverlös, anpassad anslutningsapp för Microsoft Sentinel.
Anteckning
Att skapa serverlösa anslutningsappar med Logic Apps kan vara praktiskt, men Logic Apps för dina anslutningsappar kan vara dyrt för stora mängder data.
Vi rekommenderar att du endast använder den här metoden för datakällor med låg volym eller utökar dina datauppladdningar.
Använd någon av följande utlösare för att starta Logic Apps:
Utlösare Description En återkommande uppgift Du kan till exempel schemalägga logikappen så att den hämtar data regelbundet från specifika filer, databaser eller externa API:er.
Mer information finns i Skapa, schemalägga och köra återkommande uppgifter och arbetsflöden i Azure Logic Apps.Utlösare på begäran Kör logikappen på begäran för manuell datainsamling och testning.
Mer information finns i Anropa, utlösa eller kapsla logikappar med HTTPS-slutpunkter.HTTP/S-slutpunkt Rekommenderas för strömning och om källsystemet kan starta dataöverföringen.
Mer information finns i Anropa tjänstslutpunkter via HTTP eller HTTPs.Använd någon av Logic App-anslutningsapparna som läser information för att hämta dina händelser. Exempel:
Tips
Anpassade anslutningsappar till REST-API:er, SQL-servrar och filsystem stöder också hämtning av data från lokala datakällor. Mer information finns i Dokumentationen om att installera lokal datagateway.
Förbered den information som du vill hämta.
Använd till exempel åtgärden parsa JSON för att komma åt egenskaper i JSON-innehåll, så att du kan välja dessa egenskaper från listan med dynamiskt innehåll när du anger indata för logikappen.
Mer information finns i Utföra dataåtgärder i Azure Logic Apps.
Skriv data till Log Analytics.
Mer information finns i dokumentationen för Azure Log Analytics-datainsamlaren.
Exempel på hur du kan skapa en anpassad anslutningsapp för Microsoft Sentinel med Logic Apps finns i:
- Skapa en datapipeline med API:et för datainsamling
- Palo Alto Prisma Logic Anslutningsverktyg med en webhook (Microsoft Sentinel GitHub community)
- Skydda dina Microsoft Teams-anrop med schemalagd aktivering (blogg)
- Mata in CyberVault OTX-hotindikatorer i Microsoft Sentinel (blogg)
Ansluta med PowerShell
Med Upload-AzMonitorLog PowerShell-skriptet kan du använda PowerShell för att strömma händelser eller kontextinformation till Microsoft Sentinel från kommandoraden. Den här direktuppspelningen skapar effektivt en anpassad anslutningsapp mellan din datakälla och Microsoft Sentinel.
Följande skript laddar till exempel upp en CSV-fil till Microsoft Sentinel:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
PowerShell Upload skriptet för Upload-AzMonitorLog använder följande parametrar:
| Parameter | Beskrivning |
|---|---|
| WorkspaceId | Id:t för din Microsoft Sentinel-arbetsyta, där du kommer att lagra dina data. Hitta ditt arbetsyte-ID och din nyckel. |
| WorkspaceKey | Den primära eller sekundära nyckeln för Microsoft Sentinel-arbetsytan där du lagrar dina data. Hitta ditt arbetsyte-ID och din nyckel. |
| LogTypeName | Namnet på den anpassade loggtabell där du vill lagra data. Ett suffix _CL läggs automatiskt till i slutet av tabellnamnet. |
| Lägg tillDatornamn | När den här parametern finns lägger skriptet till det aktuella datornamnet i varje loggpost i ett fält med namnet Dator. |
| TaggedAzureResourceId | När den här parametern finns associerar skriptet alla uppladdade loggposter med den angivna Azure-resursen. Den här associationen aktiverar de uppladdade loggposterna för resurskontextfrågor och följer resurscentrerad, rollbaserad åtkomstkontroll. |
| AdditionalDataTaggingName | När den här parametern finns lägger skriptet till ytterligare ett fält i varje loggpost, med det konfigurerade namnet och värdet som har konfigurerats för parametern AdditionalDataTaggingValue. I det här fallet får AdditionalDataTaggingValue inte vara tomt. |
| AdditionalDataTaggingValue | När den här parametern finns lägger skriptet till ytterligare ett fält i varje loggpost, med det konfigurerade värdet och fältnamnet som konfigurerats för parametern AdditionalDataTaggingName. Om parametern AdditionalDataTaggingName är tom, men ett värde har konfigurerats, är standardfältnamnet DataTagging. |
Hitta ditt arbetsyte-ID och din nyckel
Hitta information om parametrarna WorkspaceID och WorkspaceKey i Microsoft Sentinel:
I Microsoft Sentinel väljer Inställningar till vänster och sedan fliken Arbetsyteinställningar.
Under Kom igång med Log Analytics > 1 Anslut en datakälla väljer du Windows agenthantering för Linux.
Hitta ditt arbetsyte-ID, primärnyckel och sekundärnyckel på flikarna Windows servrar.
Anslut med Log Analytics-API:et
Du kan strömma händelser till Microsoft Sentinel med hjälp av Log Analytics Data Collector API för att anropa en RESTful-slutpunkt direkt.
När du anropar en RESTful-slutpunkt direkt krävs mer programmering, men det ger också mer flexibilitet.
Mer information finns i API:et för Log Analytics-datainsamlare,särskilt i följande exempel:
Anslut med Azure Functions
Använd Azure Functions tillsammans med ett RESTful-API och olika kodningsspråk, till exempel PowerShell, för att skapa en serverlös anpassad anslutningsapp.
Exempel på den här metoden finns i:
- Anslut VMware Carbon Black Cloud Endpoint Standard till Microsoft Sentinel med Azure Function
- Anslut din okta-Sign-On till Microsoft Sentinel med Azure Function
- Anslut Proofpoint TAP till Microsoft Sentinel med Azure Function
- Anslut din virtuella Qualys-dator till Microsoft Sentinel med Azure Function
- Mata in XML, CSV eller andra format för data
- Övervaka Zoom med Microsoft Sentinel (blogg)
- Distribuera en funktionsapp för att hämta Office 365 API för hantering data till Microsoft Sentinel (Microsoft Sentinel GitHub community)
Parsa data för din anpassade anslutningsapp
Du kan använda den inbyggda parsningstekniken för din anpassade anslutningsapp för att extrahera relevant information och fylla i relevanta fält i Microsoft Sentinel.
Exempel:
- Om du har använt Logstash använder du plugin-programmet Grok för att parsa dina data.
- Om du har använt en Azure-funktion parsar du dina data med kod.
Microsoft Sentinel stöder parsning vid frågetid. Med parsning vid frågetiden kan du skicka data i det ursprungliga formatet och sedan parsa på begäran när det behövs.
Parsning vid frågetid innebär också att du inte behöver känna till dina datas exakta struktur i förväg, när du skapar din anpassade anslutningsapp eller ens den information som du behöver extrahera. Parsa istället dina data när som helst, även under en undersökning.
Mer information om parsning vid frågetiden finns i Parser.
Anteckning
Uppdatering av parsern gäller även för data som du redan har matat in i Microsoft Sentinel.
Nästa steg
Använd de data som matas in i Microsoft Sentinel för att skydda din miljö med någon av följande processer:
- Få insyn i aviseringar
- Visualisera och övervaka dina data
- Undersöka incidenter
- Identifiera hot
- Automatisera skydd mot hot
- Sök efter hot
Läs också om ett exempel på hur du skapar en anpassad anslutningsapp för att övervaka Zoom: Övervaka Zoom med Microsoft Sentinel.