Microsoft Sentinel özel bağlayıcıları oluşturma kaynakları
Microsoft Sentinel , Azure hizmetleri ve dış çözümler için çok çeşitli yerleşik bağlayıcılar sağlar ve ayrıca ayrılmış bağlayıcı olmadan bazı kaynaklardan veri alımını destekler.
Mevcut çözümlerden herhangi birini kullanarak veri kaynağınızı Microsoft Sentinel'e bağlayamıyorsanız, kendi veri kaynağı bağlayıcınızı oluşturmayı göz önünde bulundurun.
Desteklenen bağlayıcıların tam listesi için Microsoft Sentinel: Bağlayıcılar genel (CEF, Syslog, Direct, Aracı, Özel ve daha fazlası) blog gönderisine bakın.
Özel bağlayıcı yöntemlerini karşılaştırma
Aşağıdaki tabloda, bu makalede açıklanan özel bağlayıcıları oluşturmaya yönelik her yöntemle ilgili temel ayrıntılar karşılaştırılmaktadır. Her yöntem hakkında daha fazla ayrıntı için tablodaki bağlantıları seçin.
| Yöntem açıklaması | Özellik | Sunucusuz | Karmaşıklık |
|---|---|---|---|
| Kodsuz Bağlayıcı Platformu (CCP) Daha az teknik hedef kitlenin gelişmiş geliştirme yerine bir yapılandırma dosyası kullanarak SaaS bağlayıcıları oluşturması için en iyi yöntemdir. |
Kodla kullanılabilen tüm özellikleri destekler. | Yes | Düşük; basit, kodsuz geliştirme |
| Log Analytics Aracısı Şirket içi ve IaaS kaynaklarından dosya toplamak için en iyi yöntem |
Yalnızca dosya koleksiyonu | No | Düşük |
| Logstash Şirket içi ve IaaS kaynakları, eklentinin kullanılabildiği tüm kaynaklar ve Logstash hakkında zaten bilgi sahibi olan kuruluşlar için en iyi yöntemdir |
Kullanılabilir eklentiler ve özel eklenti özellikleri önemli esneklik sağlar. | No; bir VM veya VM kümesinin çalıştırılmasını gerektirir | Düşük; eklentilerle birçok senaryo destekler |
| Logic Apps Yüksek maliyetli; yüksek hacimli verilerden kaçının Düşük hacimli bulut kaynakları için en iyi |
Kodsuz programlama, algoritmaları uygulama desteği olmadan sınırlı esneklik sağlar. Gereksinimlerinizi zaten destekleyen bir eylem yoksa, özel eylem oluşturmak karmaşıklık katabilir. |
Yes | Düşük; basit, kodsuz geliştirme |
| PowerShell Prototip oluşturma ve düzenli dosya yükleme işlemleri için en iyi yöntem |
Dosya toplama için doğrudan destek. PowerShell daha fazla kaynak toplamak için kullanılabilir, ancak betiğin bir hizmet olarak kodlanması ve yapılandırılması gerekir. |
No | Düşük |
| Log Analytics API Tümleştirme uygulayan ISV'ler ve benzersiz koleksiyon gereksinimleri için en iyi yöntem |
Kodla kullanılabilen tüm özellikleri destekler. | Uygulamaya bağlıdır | Yüksek |
| Azure İşlevleri Yüksek hacimli bulut kaynakları ve benzersiz koleksiyon gereksinimleri için en iyi |
Kodla kullanılabilen tüm özellikleri destekler. | Yes | Yüksek; programlama bilgisi gerektirir |
İpucu
Aynı bağlayıcı için Logic Apps ve Azure İşlevleri kullanma karşılaştırmaları için bkz:
- Microsoft Sentinel'de hızlı Web Uygulaması Güvenlik Duvarı günlükleri alma
- Office 365 (Microsoft Sentinel GitHub topluluğu): Logic App bağlayıcısı | Azure İşlevi bağlayıcısı
Kodsuz Bağlayıcı Platformu ile bağlanma
Kodsuz Bağlayıcı Platformu (CCP), hem müşteriler hem de iş ortakları tarafından kullanılabilen ve ardından kendi çalışma alanınıza dağıtabileceğiniz veya Microsoft Sentinel'in çözüm galerisine çözüm olarak dağıtabileceğiniz bir yapılandırma dosyası sağlar.
CCP kullanılarak oluşturulan bağlayıcılar, hizmet yüklemeleri için herhangi bir gereksinim olmadan tamamen SaaS'dir ve ayrıca Microsoft Sentinel'den sistem durumu izleme ve tam destek içerir.
Daha fazla bilgi için bkz. Microsoft Sentinel için kodsuz bağlayıcı oluşturma.
Log Analytics aracısı ile bağlanma
Veri kaynağınız dosyalarda olaylar teslim ederse, özel bağlayıcınızı oluşturmak için Azure İzleyici Log Analytics aracısını kullanmanızı öneririz.
Daha fazla bilgi için bkz. Azure İzleyici'de özel günlükleri toplama.
Bu yöntemin bir örneği için bkz. Azure İzleyici'de Linux için Log Analytics aracısı ile özel JSON veri kaynakları toplama.
Logstash ile bağlanma
Logstash hakkında bilginiz varsa, özel bağlayıcınızı oluşturmak için Logstash'i Microsoft Sentinel için Logstash çıkış eklentisiyle birlikte kullanmak isteyebilirsiniz.
Microsoft Sentinel Logstash Output eklentisiyle, logstash giriş ve filtreleme eklentilerini kullanabilir ve Microsoft Sentinel'i logstash işlem hattının çıkışı olarak yapılandırabilirsiniz. Logstash, Event Hubs, Apache Kafka, Dosyalar, Veritabanları ve Bulut hizmetleri gibi çeşitli kaynaklardan giriş sağlayan büyük bir eklenti kitaplığına sahiptir. Olayları ayrıştırmak, gereksiz olayları filtrelemek, değerleri karartmak ve daha fazlası için filtreleme eklentilerini kullanın.
Logstash'i özel bağlayıcı olarak kullanma örnekleri için bkz:
- Microsoft Sentinel kullanarak AWS günlüklerinde Capital One İhlali TTP'lerini avlama (blog)
- Radware Microsoft Sentinel uygulama kılavuzu
Yararlı Logstash eklentilerinin örnekleri için bkz:
- Cloudwatch giriş eklentisi
- Azure Event Hubs eklentisi
- Google Cloud Storage giriş eklentisi
- giriş eklentisi Google_pubsub
İpucu
Logstash ayrıca küme kullanarak ölçeklendirilmiş veri toplamayı da etkinleştirir. Daha fazla bilgi için bkz. Büyük ölçekte yük dengeli Logstash VM kullanma.
Logic Apps ile bağlanma
Microsoft Sentinel için sunucusuz, özel bağlayıcı oluşturmak için Azure Logic Apps'i kullanın.
Not
Logic Apps kullanarak sunucusuz bağlayıcılar oluşturmak kullanışlı olabilir ancak bağlayıcılarınız için Logic Apps'i kullanmak büyük hacimli veriler için maliyetli olabilir.
Bu yöntemi yalnızca düşük hacimli veri kaynakları için veya veri karşıya yüklemelerinizi zenginleştirmek için kullanmanızı öneririz.
Logic Apps'inizi başlatmak için aşağıdaki tetikleyicilerden birini kullanın:
Tetikleyici Description Yinelenen görev Örneğin, Mantıksal Uygulamanızı belirli dosyalardan, veritabanlarından veya dış API'lerden düzenli olarak veri alacak şekilde zamanlayın.
Daha fazla bilgi için bkz. Azure Logic Apps'te yinelenen görevler ve iş akışları oluşturma, zamanlama ve çalıştırma.İsteğe bağlı tetikleme Mantıksal Uygulamanızı el ile veri toplama ve test için isteğe bağlı olarak çalıştırın.
Daha fazla bilgi için bkz. HTTPS uç noktalarını kullanarak mantıksal uygulamaları çağırma, tetikleme veya iç içe yerleştirme.HTTP/S uç noktası Akış için önerilir ve kaynak sistemin veri aktarımını başlatıp başlatamadığını gösterir.
Daha fazla bilgi için bkz. HTTP veya HTTPs üzerinden hizmet uç noktalarını çağırma.Olaylarınızı almak için bilgileri okuyan Logic App bağlayıcılarından herhangi birini kullanın. Örnek:
İpucu
REST API'lere, SQL Server'lara ve dosya sistemlerine yönelik özel bağlayıcılar, şirket içi veri kaynaklarından veri almayı da destekler. Daha fazla bilgi için bkz. Şirket içi veri ağ geçidini yükleme belgeleri.
Almak istediğiniz bilgileri hazırlayın.
Örneğin JSON içeriğindeki özelliklere erişmek için JSON ayrıştır eylemini kullanarak Mantıksal Uygulamanız için girişler belirttiğinizde dinamik içerik listesinden bu özellikleri seçebilirsiniz.
Daha fazla bilgi için bkz. Azure Logic Apps'te veri işlemleri gerçekleştirme.
Verileri Log Analytics'e yazın.
Daha fazla bilgi için Bkz. Azure Log Analytics Veri Toplayıcı belgeleri.
Logic Apps kullanarak Microsoft Sentinel için özel bağlayıcı oluşturma örnekleri için bkz:
- Veri Toplayıcı API'siyle veri işlem hattı oluşturma
- Web kancası kullanan Palo Alto Prisma Logic App bağlayıcısı (Microsoft Sentinel GitHub topluluğu)
- Zamanlanmış etkinleştirme ile Microsoft Teams aramalarınızın güvenliğini sağlama (blog)
- AlienVault OTX tehdit göstergelerini Microsoft Sentinel'e alma (blog)
PowerShell ile bağlanma
Upload-AzMonitorLog PowerShell betiği, komut satırından Olayları veya bağlam bilgilerini Microsoft Sentinel'e akışla aktarmak için PowerShell'i kullanmanıza olanak tanır. Bu akış, veri kaynağınızla Microsoft Sentinel arasında etkili bir şekilde özel bir bağlayıcı oluşturur.
Örneğin, aşağıdaki betik bir CSV dosyasını Microsoft Sentinel'e yükler:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
Upload-AzMonitorLog PowerShell betiği aşağıdaki parametreleri kullanır:
| Parametre | Açıklama |
|---|---|
| WorkspaceId | Verilerinizi depoladığınız Microsoft Sentinel çalışma alanı kimliğiniz. Çalışma alanı kimliğinizi ve anahtarınızı bulun. |
| WorkspaceKey | Verilerinizi depoladığınız Microsoft Sentinel çalışma alanının birincil veya ikincil anahtarı. Çalışma alanı kimliğinizi ve anahtarınızı bulun. |
| LogTypeName | Verileri depolamak istediğiniz özel günlük tablosunun adı. Tablo adınızın sonuna otomatik olarak bir _CL soneki eklenir. |
| AddComputerName | Bu parametre mevcut olduğunda, betik her günlük kaydına Bilgisayar adlı alana geçerli bilgisayar adını ekler. |
| TaggedAzureResourceId | Bu parametre mevcut olduğunda, betik karşıya yüklenen tüm günlük kayıtlarını belirtilen Azure kaynağıyla ilişkilendirir. Bu ilişkilendirme, kaynak bağlamı sorguları için karşıya yüklenen günlük kayıtlarını etkinleştirir ve kaynak odaklı, rol tabanlı erişim denetimine uyar. |
| AdditionalDataTaggingName | Bu parametre mevcut olduğunda betik, her günlük kaydına, yapılandırılmış adı ve AdditionalDataTaggingValue parametresi için yapılandırılan değeri içeren başka bir alan ekler. Bu durumda , AdditionalDataTaggingValue boş olmamalıdır. |
| AdditionalDataTaggingValue | Bu parametre mevcut olduğunda, betik her günlük kaydına yapılandırılmış değer ve AdditionalDataTaggingName parametresi için yapılandırılmış alan adıyla başka bir alan ekler. AdditionalDataTaggingName parametresi boşsa ancak bir değer yapılandırıldıysa, varsayılan alan adı DataTagging'tir. |
Çalışma alanı kimliğinizi ve anahtarınızı bulma
Microsoft Sentinel'de WorkspaceID ve WorkspaceKey parametrelerinin ayrıntılarını bulun:
Microsoft Sentinel'de soldaki Ayarlar'ı ve ardından Çalışma alanı ayarları sekmesini seçin.
Log Analytics'i> kullanmaya başlayın1 Veri kaynağına bağlan'ın altında Windows ve Linux aracıları yönetimi'ne tıklayın.
Windows sunucuları sekmelerinde çalışma alanı kimliğinizi, birincil anahtarınızı ve ikincil anahtarınızı bulun.
Log Analytics API'si ile bağlanma
ReSTful uç noktasını doğrudan çağırmak için Log Analytics Veri Toplayıcı API'sini kullanarak olayları Microsoft Sentinel'e akışla aktarabilirsiniz.
RESTful uç noktasını doğrudan çağırmak daha fazla programlama gerektirirken, daha fazla esneklik de sağlar.
Daha fazla bilgi için, özellikle aşağıdaki örnekler olmak üzere Log Analytics Veri toplayıcı API'sine bakın:
Azure İşlevleri ile bağlanma
Sunucusuz özel bağlayıcı oluşturmak için restful API ve PowerShell gibi çeşitli kodlama dilleri ile birlikte Azure İşlevleri kullanın.
Bu yöntemin örnekleri için bkz:
- Azure İşlevi ile VMware Carbon Black Cloud Endpoint Standard'ınızı Microsoft Sentinel'e bağlama
- Azure İşlevi ile Okta Tek Sign-On Microsoft Sentinel'e bağlama
- Azure İşlevi ile Proofpoint TAP'nizi Microsoft Sentinel'e bağlama
- Azure İşlevi ile Qualys VM'nizi Microsoft Sentinel'e bağlama
- XML, CSV veya diğer veri biçimlerini alma
- Microsoft Sentinel ile Yakınlaştırmayı İzleme (blog)
- Office 365 Management API verilerini Microsoft Sentinel'e (Microsoft Sentinel GitHub topluluğu) almak için bir İşlev Uygulaması dağıtma
Özel bağlayıcı verilerinizi ayrıştırma
Özel bağlayıcınızla toplanan verilerden yararlanmak için bağlayıcınızla çalışacak Gelişmiş Güvenlik Bilgi Modeli (ASIM) ayrıştırıcıları geliştirin . ASIM kullanmak, Microsoft Sentinel'in yerleşik içeriğinin özel verilerinizi kullanmasını sağlar ve analistlerin verileri sorgulamasını kolaylaştırır.
Bağlayıcı yönteminiz buna izin veriyorsa, sorgu süresini ayrıştırma performansını geliştirmek için ayrıştırma işleminin bir bölümünü bağlayıcının bir parçası olarak uygulayabilirsiniz:
- Logstash kullandıysanız verilerinizi ayrıştırmak için Grok filtre eklentisini kullanın.
- Bir Azure işlevi kullandıysanız verilerinizi kodla ayrıştırabilirsiniz.
ASIM ayrıştırıcılarını yine de uygulamanız gerekir, ancak ayrıştırma işleminin bir kısmını bağlayıcıyla doğrudan uygulamak ayrıştırmayı basitleştirir ve performansı artırır.
Sonraki adımlar
Aşağıdaki işlemlerden herhangi biriyle ortamınızın güvenliğini sağlamak için Microsoft Sentinel'e alınan verileri kullanın:
- Uyarılara yönelik görünürlük elde etme
- Verilerinizi görselleştirme ve izleme
- Olayları araştırma
- Tehditleri algılama
- Tehdit önlemeyi otomatikleştirme
- Tehditleri arama
Ayrıca, Yakınlaştırmayı izlemek için özel bağlayıcı oluşturmanın bir örneği hakkında bilgi edinin: Microsoft Sentinel ile Yakınlaştırmayı İzleme.