Microsoft Sentinel özel bağlayıcıları oluşturma kaynakları
Not
Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.
Microsoft Sentinel, Azure hizmetleri ve dış çözümler için çok sayıda yerleşik bağlayıcısağlar ve ayrıca, özel bir bağlayıcı olmadan bazı kaynaklardaki verileri geri almak da destekler.
Mevcut çözümlerden herhangi birini kullanarak veri kaynağınızı Microsoft Sentinel 'e bağlanamıyorsanız, kendi veri kaynağı bağlayıcınızı oluşturmayı düşünün.
Desteklenen bağlayıcıların tam listesi için bkz. Microsoft Sentinel: bağlayıcılar genel (CEF, syslog, Direct, Agent, Custom ve more) blog gönderisi.
Özel bağlayıcı yöntemlerini karşılaştırın
Aşağıdaki tabloda, bu makalede açıklanan özel bağlayıcılar oluşturmak için her bir yöntemle ilgili önemli ayrıntılar karşılaştırılmaktadır. Her yöntem hakkında daha fazla ayrıntı için tablodaki bağlantıları seçin.
| Yöntem açıklaması | Özellik | Sunucusuz | Karmaşıklık |
|---|---|---|---|
| Log Analytics Aracısı Şirket içi ve IaaS kaynaklarından dosya toplamak için idealdir |
Yalnızca dosya koleksiyonu | No | Düşük |
| Logstash Şirket içi ve IaaS kaynakları için en iyisi, bir eklentinin kullanılabildiği herhangi bir kaynak ve Logstash ile zaten tanıdık olan kuruluşlar |
Kullanılabilir eklentiler, ayrıca özel eklenti, yetenekler önemli esneklik sağlar. | Eşleşen çalıştırmak için bir VM veya VM kümesi gerektirir | Zayıf eklentilerle birçok senaryoyu destekler |
| Logic Apps Yüksek maliyetli; yüksek hacimli verilerden kaçının Düşük hacimli bulut kaynakları için en iyisi |
Codeless programlama, algoritma uygulama desteği olmadan sınırlı esneklik sağlar. Gereksinimlerinizi zaten destekleyen kullanılabilir bir eylem yoksa, özel bir eylem oluşturmak karmaşıklık ekleyebilir. |
Yes | Zayıf basit, kodsuz kullanacaksınız geliştirme |
| PowerShell Prototip ve dönemsel dosya yüklemeleri için en iyisi |
Dosya koleksiyonu için doğrudan destek. PowerShell, daha fazla kaynak toplamak için kullanılabilir, ancak kodlama ve betiği hizmet olarak yapılandırmaya gerek duyar. |
No | Düşük |
| Log Analytics API 'SI Tümleştirme uygulayan ISV 'Ler ve benzersiz koleksiyon gereksinimleri için en iyisi |
Kod ile kullanılabilen tüm özellikleri destekler. | Uygulamaya bağlıdır | Yüksek |
| Azure işlevleri Yüksek hacimli bulut kaynakları ve benzersiz koleksiyon gereksinimleri için en iyisi | Kod ile kullanılabilen tüm özellikleri destekler. | Yes | Geniş programlama bilgisi gerektirir |
İpucu
Aynı bağlayıcı için Logic Apps ve Azure Işlevleri kullanma karşılaştırmaları için, bkz.:
- Microsoft Sentinel 'de fastly Web uygulaması güvenlik duvarı günlüklerini alma
- Office 365 (Microsoft Sentinel GitHub community): Logic Uygulama bağlayıcısı | Azure işlev bağlayıcısı
Log Analytics aracısıyla Bağlan
Veri kaynağınız dosyalardaki olayları sunmızda, özel bağlayıcınızı oluşturmak için Azure Izleyici Log Analytics aracısını kullanmanızı öneririz.
Daha fazla bilgi için bkz. Azure izleyici 'de özel Günlükler toplama.
Bu yöntemin bir örneği için bkz. Azure izleyici 'de Linux için Log Analytics aracısıyla özel JSON veri kaynakları toplama.
logstash ile Bağlan
Logstashhakkında bilginiz varsa, özel bağlayıcınızı oluşturmak Için Microsoft Sentinel için logstash çıkış eklentisiyle logstash kullanmak isteyebilirsiniz.
Microsoft Sentinel Logstash output eklentisi ile herhangi bir Logstash girişi ve filtreleme eklentileri kullanabilir ve Microsoft Sentinel 'i bir Logstash işlem hattı için çıktı olarak yapılandırabilirsiniz. Logstash, Event Hubs, Apache Kafka, dosyalar, veritabanları ve bulut hizmetleri gibi çeşitli kaynaklardan girişi etkinleştiren büyük bir eklenti kitaplığına sahiptir. Olayları ayrıştırmak, gereksiz olayları filtrelemek, değerleri gizleme ve daha fazlasını yapmak için filtreleme eklentilerini kullanın.
Logstash 'i özel bağlayıcı olarak kullanma örnekleri için bkz.:
- Microsoft Sentinel (blog) kullanarak AWS günlüklerinde büyük bir Ihlal TTPs için arama
- Radware Microsoft Sentinel uygulama kılavuzu
Faydalı Logstash eklentileri örnekleri için bkz.:
- CloudWatch giriş eklentisi
- Azure Event Hubs eklentisi
- Google Cloud Depolama giriş eklentisi
- Google_pubsub girişi eklentisi
İpucu
Logstash Ayrıca bir küme kullanarak ölçekli veri toplamayı etkinleştirir. Daha fazla bilgi için bkz. bir yük dengeli Logstash VM 'yi ölçekli bir şekilde kullanma.
Logic Apps Bağlan
Microsoft Sentinel için sunucusuz, özel bağlayıcı oluşturmak için Azure Logic Apps kullanın.
Not
Logic Apps kullanarak sunucusuz Bağlayıcılar oluştururken, bağlayıcılarınız için Logic Apps kullanılması çok büyük miktarlarda veri için uygun maliyetli olabilir.
Bu yöntemi yalnızca düşük hacimli veri kaynakları için kullanmanızı veya veri karşıya yüklemelerinizi zenginleştirmenizi öneririz.
Logic Apps başlatmak için aşağıdaki tetikleyicilerden birini kullanın:
Tetikleyici Description Yinelenen bir görev Örneğin, mantıksal uygulamanızı belirli dosyalardan, veritabanlarından veya dış API 'lerden düzenli olarak verileri almak için zamanlayın.
Daha fazla bilgi için, bkz. Azure Logic Apps yinelenen görevleri ve iş akışlarını oluşturma, zamanlama ve çalıştırma.İsteğe bağlı tetikleme El ile veri toplama ve test için mantıksal uygulamanızı isteğe bağlı olarak çalıştırın.
Daha fazla bilgi için bkz. https uç noktaları kullanarak çağrı, tetikleyici veya iç içe mantıksal uygulamalar.HTTP/S uç noktası Akış için önerilir ve kaynak sistem veri aktarımını başlatabilirler.
Daha fazla bilgi için bkz. http veya https üzerinden hizmet uç noktalarını çağırma.Olaylarınızı almak için bilgileri okuyan mantıksal uygulama bağlayıcılarından herhangi birini kullanın. Örnek:
İpucu
REST apı 'leri, SQL sunucuları ve dosya sistemleri için özel bağlayıcılar, şirket içi veri kaynaklarından veri almayı da destekler. Daha fazla bilgi için bkz. Şirket içi veri ağ geçidi belgelerini yüklemeyi .
Almak istediğiniz bilgileri hazırlayın.
Örneğin, JSON içeriğindeki özelliklere erişmek için JSON 'u Ayrıştır eylemini kullanın ve mantıksal uygulamanız için giriş belirttiğinizde bu özellikleri dinamik içerik listesinden seçmenizi sağlar.
Daha fazla bilgi için bkz. Azure Logic Apps veri Işlemlerini gerçekleştirme.
Log Analytics verileri yazın.
Daha fazla bilgi için bkz. Azure Log Analytics veri toplayıcısı belgeleri.
Logic Apps kullanarak Microsoft Sentinel için nasıl özel bağlayıcı oluşturabileceğiniz hakkında örnekler için, bkz.:
- Veri Toplayıcı API 'SI ile veri işlem hattı oluşturma
- web kancası kullanarak palo alto prma Logic Uygulama bağlayıcısı (Microsoft Sentinel GitHub community)
- zamanlanmış etkinleştirme (blog) ile Microsoft Teams çağrılarınızın güvenliğini sağlama
- Microsoft Sentinel'eUltVAult OTX tehdit göstergelerinin alınması (blog)
PowerShell ile bağlanma
Upload-AzMonitorLog PowerShell betiği, komut satırı üzerinden Microsoft Sentinel'e olay veya bağlam bilgisi akışı yapmak için PowerShell'i kullanmana olanak sağlar. Bu akış, veri kaynağınız ile Microsoft Sentinel arasında etkili bir şekilde özel bağlayıcı oluşturur.
Örneğin, aşağıdaki betik Microsoft Sentinel'e bir CSV dosyası yükler:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
Upload-AzMonitorLog PowerShell betiği aşağıdaki parametreleri kullanır:
| Parametre | Açıklama |
|---|---|
| WorkspaceId | Verilerinizi depolay yer alan Microsoft Sentinel çalışma alanı kimliğiniz. Çalışma alanı kimliğinizi ve anahtarınızı bulun. |
| WorkspaceKey | Verilerinizi depolamanız gereken Microsoft Sentinel çalışma alanının birincil veya ikincil anahtarı. Çalışma alanı kimliğinizi ve anahtarınızı bulun. |
| LogTypeName | Verileri depolamak istediğiniz özel günlük tablosu adı. Tablo adının _CL otomatik olarak bir sonek eklenir. |
| AddComputerName | Bu parametre mevcut olduğunda betik, Bilgisayar adlı bir alana her günlük kaydına geçerli bilgisayar adını ekler. |
| TaggedAzureResourceId | Bu parametre mevcut olduğunda betik, karşıya yüklenen tüm günlük kayıtlarını belirtilen Azure kaynağıyla ilişkilendirr. Bu ilişki, kaynak bağlamı sorguları için karşıya yüklenen günlük kayıtlarını sağlar ve kaynak odaklı, rol tabanlı erişim denetimine bağlı olur. |
| AdditionalDataTaggingName | Bu parametre mevcut olduğunda betik, yapılandırılmış adı ve AdditionalDataTaggingValue parametresi için yapılandırılan değeri kullanarak her günlük kaydına başka bir alan ekler. Bu durumda AdditionalDataTaggingValue boş olamaz. |
| AdditionalDataTaggingValue | Bu parametre mevcut olduğunda betik, yapılandırılmış değere ve AdditionalDataTaggingName parametresi için yapılandırılmış alan adına sahip her günlük kaydına başka bir alan ekler. AdditionalDataTaggingName parametresi boşsa ancak bir değer yapılandırılmışsa varsayılan alan adı DataTagging olur. |
Çalışma alanı kimliğinizi ve anahtarınızı bulma
Microsoft Sentinel'de WorkspaceID ve WorkspaceKey parametrelerinin ayrıntılarını bulun:
Microsoft Sentinel'de sol Ayarlar seçin ve ardından Çalışma alanı ayarları sekmesini seçin.
Log Analytics 1 Kullanmaya başlayın bir veri Bağlan altında, Windows ve Linux > aracıları yönetimini seçin.
Çalışma alanı kimliği, birincil anahtar ve ikincil anahtarınızı sunucu sekmelerinde Windows bulun.
Bağlan Analytics API'sini kullanma
ReSTful uç noktasını doğrudan çağıran Log Analytics Veri Toplayıcı API'sini kullanarak Microsoft Sentinel'e olay akışı sabilirsiniz.
ReSTful uç noktasını doğrudan çağırma daha fazla programlama gerektirirken, daha fazla esneklik de sağlar.
Daha fazla bilgi için bkz. Log Analytics Veri toplayıcı API'si, özellikle de aşağıdaki örnekler:
Bağlan ile Azure İşlevleri
Sunucusuz Azure İşlevleri oluşturmak için bir RESTful API'si ve PowerShellgibi çeşitli kodlama dilleri ile birlikte çalışmanızı sağlar.
Bu yönteme örnekler için bkz:
- Bağlan Azure İşlevi ile VMware Carbon Black Cloud Endpoint Standard'ını Microsoft Sentinel'e gönderme
- Bağlan Azure İşlevi ile Okta Sign-On Microsoft Sentinel'e gönderme
- Bağlan Tap'nizi Azure İşlevi ile Microsoft Sentinel'e gönderme
- Bağlan İşlevi ile Qualys VM'nizi Microsoft Sentinel'e gönderme
- XML, CSV veya diğer veri biçimlerini alma
- Microsoft Sentinel ile Yakınlaştırmayı İzleme (blog)
- Microsoft Sentinel'e veri Office 365 Yönetim API'si için bir İşlev Uygulaması dağıtma (Microsoft Sentinel GitHub topluluğu)
Özel bağlayıcı verilerinizi ayrıştırma
Özel bağlayıcının yerleşik ayrıştırma tekniğini kullanarak ilgili bilgileri ayıklayın ve Microsoft Sentinel'de ilgili alanları doldurun.
Örnek:
- Logstash kullandıysanız, verilerinizi ayrıştırmak için Grok filtre eklentisini kullanın.
- Bir Azure işlevi kullandıysanız, verilerinizi kodla ayrıştırın.
Microsoft Sentinel, sorgu zamanında ayrıştırmayı destekler. Sorgu zamanında ayrıştırma, verileri özgün biçimde gönderip gerektiğinde isteğe bağlı olarak ayrıştırmayı sağlar.
Sorgu zamanında ayrıştırmak ayrıca verilerinizin yapısını, özel bağlayıcınızı oluşturmadan önce, hatta ayıklamak için ihtiyacınız olacak bilgileri bile bilmek zorunda olmadığınız anlamına gelir. Bunun yerine, araştırma sırasında bile verilerinizi herhangi bir zamanda ayrıştırabilirsiniz.
Sorgu zamanında ayrıştırma hakkında daha fazla bilgi için bkz. Ayrıştırıcılar.
Not
Ayrıştırıcınızı güncelleştirmek, Microsoft Sentinel'e önceden satın aldınız veriler için de geçerlidir.
Sonraki adımlar
Ortamınızı aşağıdaki işlemlerden herhangi biri ile güvenli hale almak için Microsoft Sentinel'e alınan verileri kullanın:
- Uyarılara yönelik görünürlük elde etme
- Verilerinizi görselleştirme ve izleme
- Olayları araştırma
- Tehditleri algılama
- Tehdit önlemeyi otomatikleştirme
- Tehditleri arama
Ayrıca Yakınlaştırma: Microsoft Sentinelile yakınlaştırmayı izleme için özel bağlayıcı oluşturma örneği hakkında bilgi edinmek için bkz. .