Microsoft Sentinel'i veri kaynağınıza bağlamak için Azure İşlevleri kullanın

Azure İşlevleri PowerShell veya Python gibi çeşitli kodlama dilleriyle birlikte kullanarak uyumlu veri kaynaklarınızın REST API uç noktalarına sunucusuz bağlayıcı oluşturabilirsiniz. Azure İşlev Uygulamaları daha sonra günlükleri çekmek için Microsoft Sentinel'i veri kaynağınızın REST API'sine bağlamanıza olanak tanır.

Bu makalede, Microsoft Sentinel'in Azure İşlev Uygulamaları'nı kullanmak üzere nasıl yapılandırıldığı açıklanır. Ayrıca kaynak sisteminizi yapılandırmanız gerekebilir ve portaldaki her veri bağlayıcısının sayfasında satıcıya ve ürüne özgü bilgi bağlantılarını ya da Microsoft Sentinel veri bağlayıcıları başvuru sayfasında hizmetinizin bölümünü bulabilirsiniz.

Not

• Veriler Microsoft Sentinel'e alındıktan sonra Microsoft Sentinel'i çalıştırdığınız çalışma alanının coğrafi konumunda depolanır.

  Uzun süreli saklama için verileri Azure Veri Gezgini'da depolamak da isteyebilirsiniz. Daha fazla bilgi için bkz. Azure Veri Gezgini tümleştirme.

• Microsoft Sentinel'e veri almak için Azure İşlevleri kullanılması ek veri alımı maliyetlerine neden olabilir. Daha fazla bilgi için Azure İşlevleri fiyatlandırma sayfasına bakın.

Önkoşullar

Microsoft Sentinel'i veri kaynağınıza bağlamak ve günlüklerini Microsoft Sentinel'e çekmek için Azure İşlevleri kullanmadan önce aşağıdaki izinlere ve kimlik bilgilerine sahip olduğunuzdan emin olun:

• Microsoft Sentinel çalışma alanında okuma ve yazma izinleriniz olmalıdır.

• Çalışma alanı için paylaşılan anahtarlar için okuma izinlerine sahip olmanız gerekir. Çalışma alanı anahtarları hakkında daha fazla bilgi edinin.

• İşlev Uygulaması oluşturmak için Azure İşlevleri üzerinde okuma ve yazma izinleriniz olmalıdır. Azure İşlevleri hakkında daha fazla bilgi edinin.

• Ürünün API'sine erişmek için kullanıcı adı ve parola, belirteç, anahtar veya başka bir bileşim gibi kimlik bilgilerine de ihtiyacınız olacaktır. Uç nokta URI'si gibi diğer API bilgilerine de ihtiyacınız olabilir.

  Daha fazla bilgi için, bağlanmakta olduğunuz hizmetin belgelerine ve Microsoft Sentinel veri bağlayıcıları başvuru sayfasındaki hizmetinize ilişkin bölüme bakın.

• Microsoft Sentinel'de İçerik Merkezi'nden Azure İşlevleri tabanlı bağlayıcınızı içeren çözümü yükleyin. Daha fazla bilgi için bkz. Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.

Veri kaynağınızı yapılandırma ve bağlama

Not

• Azure Key Vault'da çalışma alanı ve API yetkilendirme anahtarlarını veya belirteçlerini güvenli bir şekilde depolayabilirsiniz. Azure Key Vault, anahtar değerleri depolamak ve almak için güvenli bir mekanizma sağlar. Azure İşlev Uygulaması ile Azure Key Vault kullanmak için bu yönergeleri izleyin.

• Bazı veri bağlayıcıları, kusto işlevini temel alan ayrıştırıcının beklendiği gibi çalışmasına bağlıdır. Kusto işlevini ve diğer adını oluşturma yönergelerinin bağlantıları için Microsoft Sentinel veri bağlayıcıları başvuru sayfasında hizmetinizin bölümüne bakın.

1. Adım: Kaynak sisteminizin API kimlik bilgilerini alma

API kimlik bilgilerini / yetkilendirme anahtarlarını / belirteçlerini almak için kaynak sisteminizin yönergelerini izleyin. Bunları kopyalayıp daha sonra bir metin dosyasına yapıştırın.

İhtiyacınız olan tam kimlik bilgileriyle ilgili ayrıntıları ve ürününüzü bulma veya oluşturma yönergelerinin bağlantılarını portaldaki veri bağlayıcısı sayfasında ve Microsoft Sentinel veri bağlayıcıları başvuru sayfasındaki hizmetinizin bölümünde bulabilirsiniz.

Kaynak sisteminizde günlüğe kaydetmeyi veya diğer ayarları da yapılandırmanız gerekebilir. İlgili yönergeleri önceki paragraftakilerle birlikte bulabilirsiniz.

2. Adım: Bağlayıcıyı ve ilişkili Azure İşlev Uygulamasını dağıtma

Bir dağıtım seçeneği belirleyin

Azure Resource Manager (ARM) şablonu

Bu yöntem, ARM şablonu kullanarak Azure İşlevi tabanlı bağlayıcınızın otomatik dağıtımını sağlar.

1. Microsoft Sentinel portalında Veri bağlayıcıları'nı seçin. Listeden Azure İşlevleri tabanlı bağlayıcınızı ve ardından Bağlayıcıyı aç sayfasını seçin.

2. Yapılandırma'nın altında Microsoft Sentinel çalışma alanı kimliğini ve birincil anahtarı kopyalayıp bir kenara yapıştırın.

3. Azure'a Dağıt'ı seçin. (Düğmeyi bulmak için aşağı kaydırmanız gerekebilir.)

4. Özel dağıtım ekranı görüntülenir.

   • İşlev Uygulamanızın dağıtılacağı aboneliği, kaynak grubunu ve bölgeyi seçin.

   • Yukarıdaki 1. Adımda kaydettiğiniz API kimlik bilgilerinizi / yetkilendirme anahtarlarınızı / belirteçlerinizi girin.

   • Kopyalayıp bir kenara koyduğunuz Microsoft Sentinel Çalışma Alanı Kimliğinizi ve Çalışma Alanı Anahtarınızı (birincil anahtar) girin.

     Not

     Yukarıdaki değerlerden herhangi biri için Azure Key Vault gizli dizileri kullanıyorsanız, dize değerleri yerine şemayı kullanın@Microsoft.KeyVault(SecretUri={Security Identifier}). Diğer ayrıntılar için Key Vault başvuru belgelerine bakın.

   • Özel dağıtım ekranında formdaki diğer tüm alanları doldurun. Microsoft Sentinel veri bağlayıcıları başvuru sayfasında portalda veri bağlayıcısı sayfanıza veya hizmetinizin bölümüne bakın.

   • Gözden geçir ve oluştur’u seçin. Doğrulama tamamlandığında Oluştur'u seçin.

PowerShell ile el ile dağıtım

PowerShell işlevlerini kullanan Azure İşlevleri tabanlı bağlayıcıları el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın.

1. Microsoft Sentinel portalında Veri bağlayıcıları'nı seçin. Listeden Azure İşlevleri tabanlı bağlayıcınızı ve ardından Bağlayıcıyı aç sayfasını seçin.

2. Yapılandırma'nın altında Microsoft Sentinel çalışma alanı kimliğini ve birincil anahtarı kopyalayıp bir kenara yapıştırın.

3. İşlev Uygulaması Oluşturma

   1. Azure portal İşlev Uygulaması'nı arayın ve seçin.

   2. İşlev Uygulaması sayfasında Oluştur'u seçin. İşlev Uygulaması Oluştur sihirbazı açılır.

   3. Temel Bilgiler sekmesinde:

      • Bir abonelik ve kaynak grubu seçin.
      • İşlev uygulamanıza bir ad verin.
      • Çalışma zamanı yığınınıPowerShell Core olarak ayarlayın.
      • Uygun sürüm numarasını seçin.
      • Dağıtmak istediğiniz bölgeyi seçin ve ardından İleri : Barındırma'yı seçin.

   4. Barındırma sekmesinde:

      • Kullanmak istediğiniz Depolama hesabını seçin veya yeni bir hesap oluşturun.
      • Plan türünüz olarak Tüketim (Sunucusuz) seçeneğini belirleyin.

   5. İhtiyacınız olan diğer yapılandırma değişikliklerini yapın, ardından Gözden geçir ve oluştur'u seçin.

   6. "Doğrulama başarılı oldu" iletisini bekleyin ve Oluştur'u seçin.

   7. Dağıtım tamamlandığında Kaynağa git'i seçin.

4. İşlev Uygulama Kodunu İçeri Aktar

   1. Yeni oluşturulan İşlev Uygulamasında gezinti menüsünden İşlevler'i seçin.

   2. İşlevler sayfasında + Ekle'yi seçin.

   3. İşlev ekle panelinde Zamanlayıcı tetikleyicisini seçin.

   4. İşleviniz için benzersiz bir ad girin ve zamanlamayı belirtmek için bir cron ifadesi girin. Varsayılan aralık 5 dakikada birdir.

   5. İşlev oluşturulduğunda, sol bölmede Kod + Test'i seçin.

   6. Kaynak sisteminizin satıcısı tarafından sağlanan İşlev Uygulama Kodu'nu indirin ve varsayılan olarak bu kodu kopyalayıp İşlev Uygulamasırun.ps1 düzenleyicisine yapıştırın. İndirme bağlantısını bağlayıcı sayfasında veya hizmetinizin bölümünde Microsoft Sentinel veri bağlayıcıları başvuru sayfasında bulabilirsiniz.

   7. Kaydet’i seçin.

5. İşlev Uygulamasını Yapılandırma

   1. İşlev Uygulamanızın sayfasında, gezinti menüsündeki Ayarlar'ın altında Yapılandırma'yı seçin.

   2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.

   3. Ürününüz için önceden belirlenmiş uygulama ayarlarını, büyük/küçük harfe duyarlı dize değerleriyle tek tek ekleyin. Microsoft Sentinel veri bağlayıcıları başvuru sayfasında veri bağlayıcısı sayfasına veya hizmetinizin bölümünün ürün bölümüne bakın.

      İpucu

      Varsa, ayrılmış bir bulut kullanıyorsanız Log Analytics API uç noktasını geçersiz kılmak için logAnalyticsUri uygulama ayarını kullanın. Bu nedenle, örneğin genel bulutu kullanıyorsanız değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

Python ile el ile dağıtım

Python işlevlerini kullanan Azure İşlevleri tabanlı bağlayıcıları el ile dağıtmak için aşağıdaki adım adım yönergeleri kullanın. Bu tür bir dağıtım için Visual Studio Code gerekir.

1. Microsoft Sentinel portalında Veri bağlayıcıları'nı seçin. Listeden Azure İşlevleri tabanlı bağlayıcınızı ve ardından Bağlayıcıyı aç sayfasını seçin.

2. Yapılandırma'nın altında Microsoft Sentinel çalışma alanı kimliğini ve birincil anahtarı kopyalayıp bir kenara yapıştırın.

3. İşlev Uygulaması Dağıtma

   Not

   Azure İşlevi geliştirmesi için Visual Studio Code (VS Code) hazırlamanız gerekir.

   1. Veri bağlayıcısı sayfasında ve Microsoft Sentinel veri bağlayıcıları başvuru sayfasındaki hizmetinizin bölümünde sağlanan bağlantıyı kullanarak Azure İşlev Uygulaması dosyasını indirin. Arşivi yerel geliştirme bilgisayarınıza ayıklayın.

   2. VS Code'u başlatın. Menü çubuğundan Dosya > Klasör Aç... öğesini seçin.

   3. Arşivden ayıklanan dosyalardan en üst düzey klasörü seçin.

   4. VS Code Etkinlik çubuğunda (solda) Azure simgesini seçin. Ardından Azure: İşlevler alanında İşlev uygulamasına dağıt düğmesini seçin.

      Not

      Henüz oturum açmadıysanız Etkinlik çubuğunda Azure simgesini seçin. Ardından Azure: İşlevler alanında Azure'da oturum aç'ı seçin.
      Zaten oturum açtıysanız sonraki adıma geçin.

   5. İstemlerde aşağıdaki bilgileri sağlayın:

      • Klasör seçin: Çalışma alanınızdan bir klasör seçin veya işlev uygulamanızı içeren bir klasöre göz atın.
      • Aboneliği seçin: Kullanılacak aboneliği seçin.
      • Azure'da yeni İşlev Uygulaması oluştur'u seçin. ( Gelişmiş seçeneğini belirlemeyin.)
      • İşlev uygulaması için genel olarak benzersiz bir ad girin: İşlev uygulamanıza URL yolunda geçerli olacak bir ad verin. Seçtiğiniz ad, Azure İşlevleri boyunca benzersiz olduğundan emin olmak için doğrulanır.
      • Çalışma zamanı seçin: Python 3.8'i seçin.

   6. Dağıtım başlar. İşlev uygulamanız oluşturulduktan sonra bir bildirim görüntülenir ve dağıtım paketi uygulanır.

   7. Yapılandırma için İşlev Uygulamanızın sayfasına dönün.

4. İşlev Uygulamasını Yapılandırma

   1. İşlev Uygulamanızın sayfasında, gezinti menüsündeki Ayarlar'ın altında Yapılandırma'yı seçin.

   2. Uygulama ayarları sekmesinde + Yeni uygulama ayarı'nı seçin.

   3. Ürününüz için önceden belirlenmiş uygulama ayarlarını, büyük/küçük harfe duyarlı dize değerleriyle tek tek ekleyin. Uygulama ayarlarının eklenmesi için Microsoft Sentinel veri bağlayıcıları başvuru sayfasında veri bağlayıcısı sayfasına veya hizmetinizin bölümüne bakın.

      • Varsa, ayrılmış bir bulut kullanıyorsanız Log Analytics API uç noktasını geçersiz kılmak için logAnalyticsUri uygulama ayarını kullanın. Bu nedenle, örneğin genel bulutu kullanıyorsanız değeri boş bırakın; Azure GovUS bulut ortamı için değeri şu biçimde belirtin: https://<CustomerId>.ods.opinsights.azure.us.

Verilerinizi bulma

Başarılı bir bağlantı kurulduktan sonra veriler, Microsoft Sentinel veri bağlayıcıları başvuru sayfasındaki hizmetiniz için bölümünde listelenen tablolarda CustomLogs altındaki Günlükler'de görünür.

Verileri sorgulamak için sorgu penceresine bu tablo adlarından birini (veya ilgili Kusto işlev diğer adını) girin.

Bazı yararlı örnek sorgular için bağlayıcı sayfasındaki Sonraki adımlar sekmesine bakın.

Bağlantıyı doğrulama

Günlüklerinizin Log Analytics'te görünmeye başlaması 20 dakika kadar sürebilir.

Sonraki adımlar

Bu belgede, Azure İşlevleri tabanlı bağlayıcıları kullanarak Microsoft Sentinel'i veri kaynağınıza bağlamayı öğrendiniz. Microsoft Sentinel hakkında daha fazla bilgi edinmek için aşağıdaki makalelere bakın:

• Verilerinize ve olası tehditlere görünürlük elde etmeyi öğrenin.
• Microsoft Sentinel ile tehditleri algılamaya başlayın.
• Verilerinizi izlemek için çalışma kitaplarını kullanın.