Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Microsoft Sentinel indeholder en lang række indbyggede connectors til Azure tjenester og eksterne løsninger og understøtter også indtagelse af data fra nogle kilder uden en dedikeret connector.
Hvis du ikke kan oprette forbindelse mellem datakilden og Microsoft Sentinel ved hjælp af en af de eksisterende løsninger, der er tilgængelige, kan du overveje at oprette din egen datakildeconnector.
Du kan finde en komplet liste over understøttede connectors i Find din Microsoft Sentinel dataconnector).
Sammenlign brugerdefinerede connectormetoder
I følgende tabel sammenlignes vigtige oplysninger om hver metode til oprettelse af brugerdefinerede connectors, der er beskrevet i denne artikel. Vælg linkene i tabellen for at få flere oplysninger om hver metode.
| Beskrivelse af metode | Kapacitet | Serveruafhængig | Kompleksitet |
|---|---|---|---|
|
CcF (Codeless Connector Framework) Bedst til mindre tekniske målgrupper at oprette SaaS-connectors ved hjælp af en konfigurationsfil i stedet for avanceret udvikling. |
Understøtter alle de funktioner, der er tilgængelige med koden. | Ja | Lav; enkel, kodeløs udvikling |
|
Azure skærmagent Bedst til at indsamle filer fra kilder i det lokale miljø og IaaS |
Filsamling, datatransformation | Nej | Lav |
|
Logstash Bedst til kilder i det lokale miljø og IaaS, alle kilder, hvor der er en plug-in tilgængelig, og organisationer, der allerede har kendskab til Logstash |
Understøtter alle funktioner i Azure Monitor Agent | Nej; kræver en VM- eller VM-klynge for at køre | Lav; understøtter mange scenarier med plug-ins |
|
Logic Apps Høje omkostninger; undgå for data med stor mængde Bedst til cloudkilder med lav volumen |
Kodeløs programmering giver begrænset fleksibilitet uden understøttelse af implementering af algoritmer. Hvis ingen tilgængelig handling allerede understøtter dine krav, kan det medføre kompleksitet, hvis du opretter en brugerdefineret handling. |
Ja | Lav; enkel, kodeløs udvikling |
|
Logindtagelses-API i Azure overvågning Bedst til ISV'er, der implementerer integration, og til unikke indsamlingskrav |
Understøtter alle de funktioner, der er tilgængelige med koden. | Afhænger af implementeringen | Høj |
|
Azure Functions Bedst til cloudkilder med høj volumen og til unikke indsamlingskrav |
Understøtter alle de funktioner, der er tilgængelige med koden. | Ja | Høj; kræver programmeringsviden |
Tip
Hvis du vil sammenligne brugen af Logic Apps og Azure Functions for den samme connector, skal du se:
- Indfødning af Fastly Web Application Firewall logger på Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub-community): Logic App-connector | Azure Function-connector
Opret forbindelse med Codeless Connector Framework
CcF (Codeless Connector Framework) indeholder en konfigurationsfil, der kan bruges af både kunder og partnere og derefter udrulles i dit eget arbejdsområde eller som en løsning til Microsoft Sentinel indholdshub.
Forbindelser, der er oprettet ved hjælp af CCF, er fuldt SaaS uden krav til tjenesteinstallationer og omfatter også tilstandsovervågning og fuld support fra Microsoft Sentinel.
Du kan få flere oplysninger under Opret en kodeløs connector til Microsoft Sentinel.
Opret forbindelse med Azure Monitor Agent
Hvis din datakilde leverer hændelser i tekstfiler, anbefaler vi, at du bruger Azure Monitor Agent til at oprette din brugerdefinerede connector.
Du kan finde flere oplysninger under Indsaml logge fra en tekstfil med Azure Monitor Agent.
Du kan finde et eksempel på denne metode under Indsaml logge fra en JSON-fil med Azure Monitor Agent.
Opret forbindelse med Logstash
Hvis du kender Logstash, kan du bruge Logstash med plug-in'en Logstash-output til Microsoft Sentinel til at oprette din brugerdefinerede connector.
Med plug-in'en Microsoft Sentinel Logstash Output kan du bruge alle Logstash-input- og -filtrerings-plug-ins og konfigurere Microsoft Sentinel som output for en Logstash-pipeline. Logstash har et stort bibliotek af plug-ins, der muliggør input fra forskellige kilder, f.eks. Event Hubs, Apache Kafka, Files, Databaser og Cloud-tjenester. Brug filtrerings-plug-ins til at fortolke hændelser, filtrere unødvendige hændelser, sløre værdier og meget mere.
Du kan finde eksempler på brug af Logstash som en brugerdefineret connector i:
- Jagt efter Capital One Breach TTPs i AWS logfiler ved hjælp af Microsoft Sentinel (blog)
- Implementeringsvejledning til Radware Microsoft Sentinel
Du kan finde eksempler på nyttige Logstash-plug-ins i:
- Cloudwatch-input-plug-in
- Azure Event Hubs-plug-in
- Google Cloud Storage-input-plug-in
- Google_pubsub input-plug-in
Tip
Logstash muliggør også skaleret dataindsamling ved hjælp af en klynge. Du kan finde flere oplysninger under Brug af en belastningsbalanceret Logtash VM i stor skala.
Opret forbindelse med Logic Apps
Brug Azure Logic Apps til at oprette en serveruafhængig brugerdefineret connector til Microsoft Sentinel.
Bemærk!
Selvom det kan være praktisk at oprette serveruafhængige connectors ved hjælp af Logic Apps, kan det være dyrt at bruge Logic Apps til dine connectors for store datamængder.
Vi anbefaler, at du kun bruger denne metode til datakilder med lav volumen eller til at forbedre dine dataoverførsler.
Brug en af følgende udløsere til at starte dine Logic Apps:
Udløse Beskrivelse En tilbagevendende opgave Planlæg f.eks. din Logic App for at hente data regelmæssigt fra bestemte filer, databaser eller eksterne API'er.
Du kan få flere oplysninger under Opret, planlæg og kør tilbagevendende opgaver og arbejdsprocesser i Azure Logic Apps.Udløsning efter behov Kør din Logic App efter behov for manuel dataindsamling og -test.
Du kan finde flere oplysninger under Kald, udløser eller indlejring af logikapps ved hjælp af HTTPS-slutpunkter.HTTP/S-slutpunkt Anbefales til streaming, og om kildesystemet kan starte dataoverførslen.
Du kan finde flere oplysninger under Opkaldstjenesteslutpunkter via HTTP eller HTTPS.Brug en af Logic App-connectors, der læser oplysninger, til at hente dine hændelser. Det kan f.eks. være:
- Opret forbindelse til en REST API
- Opret forbindelse til en SQL Server
- Opret forbindelse til et filsystem
Tip
Brugerdefinerede connectors til REST API'er, SQL-servere og filsystemer understøtter også hentning af data fra datakilder i det lokale miljø. Du kan få flere oplysninger i Dokumentationen til installation af datagateway i det lokale miljø.
Forbered de oplysninger, du vil hente.
Brug f.eks . handlingen Fortolk JSON til at få adgang til egenskaber i JSON-indhold, så du kan vælge disse egenskaber på listen over dynamisk indhold, når du angiver input til din Logic App.
Du kan få flere oplysninger under Udfør datahandlinger i Azure Logic Apps.
Skriv dataene til Log Analytics.
Du kan få flere oplysninger i dokumentationen til Azure Log Analytics Data Collector.
Du kan se eksempler på, hvordan du kan oprette en brugerdefineret connector til Microsoft Sentinel ved hjælp af Logic Apps, i:
- Opret en datapipeline med DATAIndsamler-API'en
- Palo Alto Prisma Logic App-connector ved hjælp af et webhook (Microsoft Sentinel GitHub-community)
- Beskyt dine Microsoft Teams-opkald med planlagt aktivering (blog)
- Indtagelse af AlienVault OTX-trusselsindikatorer i Microsoft Sentinel (blog)
Opret forbindelse med API'en til logindtagelse
Du kan streame hændelser for at Microsoft Sentinel ved hjælp af Log Analytics Data Collector-API'en til at kalde et RESTful-slutpunkt direkte.
Når du kalder et RESTful-slutpunkt direkte, kræver det mere programmering, men det giver også større fleksibilitet.
Du kan finde flere oplysninger i følgende artikler:
- Logindtagelses-API i Azure Monitor.
- Eksempelkode til afsendelse af data til Azure Monitor ved hjælp af LOGFØRINGs-API' en.
Opret forbindelse med Azure Functions
Brug Azure Functions sammen med en RESTful API og forskellige kodesprog, f.eks PowerShell, til at oprette en serveruafhængig brugerdefineret connector.
Du kan se eksempler på denne metode under:
- Forbind dit VMware Carbon Black Cloud-slutpunkt Standard med Microsoft Sentinel med Azure funktion
- Forbind din Okta Single-Sign-On med Microsoft Sentinel med funktionen Azure
- Opret forbindelse mellem din Proofpoint TAP og Microsoft Sentinel med Azure funktion
- Slut din Qualys VM til Microsoft Sentinel med Azure funktion
- Indtagelse af XML, CSV eller andre dataformater
- Overvågning af zoom med Microsoft Sentinel (blog)
- Udrul en funktionsapp for at hente API-data til administration af Office 365 i Microsoft Sentinel (Microsoft Sentinel GitHub-community)
Parse dine brugerdefinerede connectordata
Hvis du vil drage fordel af de data, der indsamles med din brugerdefinerede connector, skal du udvikle ASIM-fortolkere (Advanced Security Information Model) for at arbejde med din connector. Brug af ASIM gør det muligt for Microsoft Sentinel s indbyggede indhold at bruge dine brugerdefinerede data og gør det nemmere for analytikere at forespørge på dataene.
Hvis din connectormetode tillader det, kan du implementere en del af parsing som en del af connectoren for at forbedre ydeevnen for fortolkning af forespørgselstid:
- Hvis du har brugt Logstash, kan du bruge Grok-filter-plug-in'en til at fortolke dine data.
- Hvis du har brugt en Azure funktion, skal du fortolke dine data med kode.
Du skal stadig implementere ASIM-fortolkere, men implementering af en del af fortolkningerne direkte med connectoren forenkler fortolkningerne og forbedrer ydeevnen.
Næste trin
Brug de data, der indtages i Microsoft Sentinel, til at sikre dit miljø med en af følgende processer: