Verwenden von Azure Functions, um Microsoft Sentinel mit Ihrer Datenquelle zu verbinden

Sie können Azure Functions in Verbindung mit verschiedenen Programmiersprachen wie PowerShell oder Python verwenden, um einen serverlosen Connector für die REST-API-Endpunkte Ihrer kompatiblen Datenquellen zu erstellen. Azure Funktions-Apps können Sie dann Microsoft Sentinel mit der REST-API Ihrer Datenquelle verbinden, um Protokolle abzurufen.

In diesem Artikel wird beschrieben, wie Sie Microsoft Sentinel für die Verwendung von Azure Funktions-Apps konfigurieren. Möglicherweise müssen Sie auch Ihr Quellsystem konfigurieren, und Sie finden anbieter- und produktspezifische Informationslinks auf der Seite jedes Datenconnectors im Portal oder im Abschnitt für Ihren Dienst auf der Referenzseite für Microsoft Sentinel Datenconnectors.

Hinweis

Nach der Erfassung in Microsoft Sentinel werden die Daten am geografischen Standort des Arbeitsbereichs gespeichert, in dem Sie Microsoft Sentinel ausführen.

Für die langfristige Aufbewahrung können Sie auch Daten in Protokolltypen wie Hilfsprotokollen speichern. Weitere Informationen finden Sie unter Protokollaufbewahrungspläne in Microsoft Sentinel.
Die Verwendung von Azure Functions zum Erfassen von Daten in Microsoft Sentinel kann zu zusätzlichen Datenerfassungskosten führen. Weitere Informationen finden Sie auf der Seite Azure Functions Preise.

Voraussetzungen

Stellen Sie sicher, dass Sie über die folgenden Berechtigungen und Anmeldeinformationen verfügen, bevor Sie Azure Functions verwenden, um Microsoft Sentinel mit Ihrer Datenquelle zu verbinden und die zugehörigen Protokolle in Microsoft Sentinel zu pullen:

Sie müssen über Lese- und Schreibberechtigungen für den Microsoft Sentinel Arbeitsbereich verfügen.
Sie müssen über Leseberechtigungen für freigegebene Schlüssel für den Arbeitsbereich verfügen. Erfahren Sie mehr über Arbeitsbereichsschlüssel.
Sie müssen über Lese- und Schreibberechtigungen für Azure Functions verfügen, um eine Funktions-App erstellen zu können. Erfahren Sie mehr über Azure Functions.
Außerdem benötigen Sie Anmeldeinformationen für den Zugriff auf die API des Produkts– entweder einen Benutzernamen und ein Kennwort, ein Token, einen Schlüssel oder eine andere Kombination. Möglicherweise benötigen Sie auch andere API-Informationen, z. B. einen Endpunkt-URI.

Weitere Informationen finden Sie in der Dokumentation für den Dienst, mit dem Sie eine Verbindung herstellen, und im Abschnitt für Ihren Dienst auf der Referenzseite Microsoft Sentinel Datenconnectors.
Installieren Sie die Lösung, die Ihren Azure Functions-basierten Connector enthält, aus dem Content Hub in Microsoft Sentinel. Weitere Informationen finden Sie unter Ermitteln und Verwalten von Microsoft Sentinel sofort einsatzbereiten Inhalten.

Konfigurieren und Verbinden Ihrer Datenquelle

Hinweis

Sie können Arbeitsbereichs- und API-Autorisierungsschlüssel oder Token sicher in Azure Key Vault speichern. Azure Key Vault bietet einen sicheren Mechanismus zum Speichern und Abrufen von Schlüsselwerten. Befolgen Sie diese Anweisungen, um Azure Key Vault mit einer Azure Funktions-App zu verwenden.
Einige Datenconnectors sind von einem Parser abhängig, der auf einer Kusto-Funktion basiert, um wie erwartet zu funktionieren. Links zu Anweisungen zum Erstellen der Kusto-Funktion und des Alias finden Sie im Abschnitt für Ihren Dienst auf der Referenzseite für Microsoft Sentinel Datenconnectors.

Azure Functions Runtimekonfiguration

Hinweis

Microsoft Sentinel Connectors, die Azure Functions verwenden, enthalten vorkompilierte Python-Abhängigkeiten. Die Azure Funktions-App-Runtime, einschließlich der Python-Version, ist in der ARM-Vorlage der Lösung vorkonfiguriert und sollte nicht geändert werden.

Schritt 1: Abrufen der API-Anmeldeinformationen ihres Quellsystems

Befolgen Sie die Anweisungen Ihres Quellsystems, um die API-Anmeldeinformationen/ Autorisierungsschlüssel/Token abzurufen. Kopieren Sie sie, und fügen Sie sie später in eine Textdatei ein.

Details zu den genauen Anmeldeinformationen, die Sie benötigen, sowie Links zu den Anweisungen Ihres Produkts für deren Suche oder Erstellung finden Sie auf der Seite Datenconnector im Portal und im Abschnitt für Ihren Dienst auf der Referenzseite für Microsoft Sentinel Datenconnectors.

Möglicherweise müssen Sie auch die Protokollierung oder andere Einstellungen auf Ihrem Quellsystem konfigurieren. Sie finden die relevanten Anweisungen zusammen mit den Anweisungen im vorherigen Absatz.

Schritt 2: Bereitstellen des Connectors und der zugehörigen Azure Funktions-App

Auswählen einer Bereitstellungsoption

Diese Methode bietet eine automatisierte Bereitstellung Ihres Azure funktionsbasierten Connectors mithilfe einer ARM-Vorlage.

Wählen Sie im Microsoft Sentinel-Portal Datenconnectors aus. Wählen Sie ihren Azure Functions-basierten Connector aus der Liste und dann Connectorseite öffnen aus.
Kopieren Sie unter Konfiguration die Microsoft Sentinel Arbeitsbereichs-ID und den Primärschlüssel, und fügen Sie sie beiseite ein.
Wählen Sie In Azure bereitstellen aus. (Möglicherweise müssen Sie nach unten scrollen, um die Schaltfläche zu finden.)
Der Bildschirm Benutzerdefinierte Bereitstellung wird angezeigt.
- Wählen Sie ein Abonnement, eine Ressourcengruppe und eine Region aus, in dem Ihre Funktions-App bereitgestellt werden soll.
- Geben Sie Ihre API-Anmeldeinformationen, Autorisierungsschlüssel und Token ein, die Sie oben in Schritt 1 gespeichert haben.
- Geben Sie Ihre Microsoft Sentinel Arbeitsbereichs-ID und den Arbeitsbereichsschlüssel (Primärschlüssel) ein, die Sie kopiert und beiseite legen.
  
  Hinweis
  
  Wenn Sie Azure Key Vault Geheimnisse für einen der oben genannten Werte verwenden, verwenden Sie anstelle @Microsoft.KeyVault(SecretUri={Security Identifier}) der Zeichenfolgenwerte das Schema. Weitere Informationen finden Sie in Key Vault Referenzdokumentation.
- Füllen Sie alle anderen Felder im Formular auf dem Bildschirm Benutzerdefinierte Bereitstellung aus. Weitere Informationen finden Sie auf der Seite "Datenconnector" im Portal oder im Abschnitt für Ihren Dienst auf der Referenzseite Microsoft Sentinel Datenconnectors.
- Wählen Sie Überprüfen + erstellen aus. Wenn die Überprüfung abgeschlossen ist, wählen Sie Erstellen aus.

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um Azure Functions-basierten Connectors, die PowerShell-Funktionen verwenden, manuell bereitzustellen.

Wählen Sie im Microsoft Sentinel-Portal Datenconnectors aus. Wählen Sie ihren Azure Functions-basierten Connector aus der Liste und dann Connectorseite öffnen aus.
Kopieren Sie unter Konfiguration die Microsoft Sentinel Arbeitsbereichs-ID und den Primärschlüssel, und fügen Sie sie beiseite ein.
Erstellen einer Funktions-App
1. Suchen Sie im Azure-Portal nach Funktions-App, und wählen Sie diese Option aus.
2. Wählen Sie auf der Seite Funktions-Appdie Option Erstellen aus. Der Assistent zum Erstellen einer Funktions-App wird geöffnet.
3. Auf der Registerkarte Grundlagen :
  - Wählen Sie ein Abonnement und eine Ressourcengruppe aus.
  - Geben Sie Ihrer Funktions-App einen Namen.
  - Legen Sie den Laufzeitstapel auf PowerShell Core fest.
  - Wählen Sie die entsprechende Versionsnummer aus.
  - Wählen Sie die Region aus, in der Sie bereitstellen möchten, und wählen Sie dann Weiter: Hosting aus.
4. Auf der Registerkarte Hosting :
  - Wählen Sie das Speicherkonto aus, das Sie verwenden möchten, oder erstellen Sie ein neues Konto.
  - Wählen Sie Verbrauch (serverlos) als Plantyp aus.
5. Nehmen Sie alle weiteren erforderlichen Konfigurationsänderungen vor, und wählen Sie dann Überprüfen + erstellen aus.
6. Warten Sie, bis die Meldung "Überprüfung erfolgreich" angezeigt wird, und wählen Sie dann Erstellen aus.
7. Wenn die Bereitstellung abgeschlossen ist, wählen Sie Zu Ressource wechseln aus.
Importieren von Funktions-App-Code
1. Wählen Sie in der neu erstellten Funktions-App im Navigationsmenü die Option Funktionen aus.
2. Wählen Sie auf der Seite Funktionendie Option + Hinzufügen aus.
3. Wählen Sie im Bereich Funktion hinzufügen den Trigger Timer aus.
4. Geben Sie einen eindeutigen Namen für Ihre Funktion und einen Cron-Ausdruck ein, um den Zeitplan anzugeben. Das Standardintervall beträgt 5 Minuten.
5. Wenn die Funktion erstellt wurde, wählen Sie im linken Bereich Code + Test aus.
6. Laden Sie den vom Anbieter Ihres Quellsystems bereitgestellten Funktions-App-Code herunter, kopieren Sie ihn, und fügen Sie ihn in den run.ps1-Editor der Funktions-App ein. Ersetzen Sie dabei, was standardmäßig vorhanden ist. Sie finden den Downloadlink auf der Connectorseite oder im Abschnitt für Ihren Dienst auf der Referenzseite für Microsoft Sentinel Datenconnectors.
7. Klicken Sie auf Speichern.
Konfigurieren der Funktions-App
1. Wählen Sie auf der Seite Ihrer Funktions-App im Navigationsmenü unter Einstellungen die Option Konfiguration aus.
2. Wählen Sie auf der Registerkarte Anwendungseinstellungendie Option + Neue Anwendungseinstellung aus.
3. Fügen Sie die vorgeschriebenen Anwendungseinstellungen für Ihr Produkt einzeln mit den jeweiligen Zeichenfolgenwerten hinzu, bei denen groß-/kleinschreibung beachtet wird. Weitere Informationen finden Sie auf der Seite zum Datenconnector oder im Abschnitt Ihres Produkts im Abschnitt für Ihren Dienst auf der Referenzseite Microsoft Sentinel Datenconnectors.
  
  Tipp
  
  Verwenden Sie ggf. die Anwendungseinstellung logAnalyticsUri , um den Log Analytics-API-Endpunkt zu überschreiben, wenn Sie eine dedizierte Cloud verwenden. Wenn Sie also beispielsweise die öffentliche Cloud verwenden, lassen Sie den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

Verwenden Sie die folgenden Schritt-für-Schritt-Anweisungen, um Azure Functions-basierten Connectors, die Python-Funktionen verwenden, manuell bereitzustellen. Diese Art von Bereitstellung erfordert Visual Studio Code.

Wählen Sie im Microsoft Sentinel-Portal Datenconnectors aus. Wählen Sie ihren Azure Functions-basierten Connector aus der Liste und dann Connectorseite öffnen aus.
Kopieren Sie unter Konfiguration die Microsoft Sentinel Arbeitsbereichs-ID und den Primärschlüssel, und fügen Sie sie beiseite ein.
Bereitstellen einer Funktions-App

Hinweis

Sie müssen Visual Studio Code (VS Code) für Azure Funktionsentwicklung vorbereiten.
1. Laden Sie die Datei Azure Funktions-App über den Link herunter, der auf der Datenconnectorseite und im Abschnitt für Ihren Dienst auf der Referenzseite für Microsoft Sentinel Datenconnectors bereitgestellt wird. Extrahieren Sie das Archiv auf Ihren lokalen Entwicklungscomputer.
2. Starten Sie VS Code. Wählen Sie auf der Menüleiste Datei > Ordner öffnen... aus.
3. Wählen Sie den Ordner der obersten Ebene aus den Dateien aus, die aus dem Archiv extrahiert wurden.
4. Wählen Sie in der VS Code-Aktivitätsleiste (links) das Symbol Azure aus. Wählen Sie dann im Bereich Azure: Funktionen die Schaltfläche In Funktions-App bereitstellen aus.
  
  Hinweis
  
  Wenn Sie noch nicht angemeldet sind, wählen Sie das symbol Azure in der Aktivitätsleiste aus. Wählen Sie dann im Bereich Azure: Funktionen die Option Anmelden, um Azure.
  Wenn Sie bereits angemeldet sind, fahren Sie mit dem nächsten Schritt fort.
5. Geben Sie an den Eingabeaufforderungen die folgenden Informationen an:
  - Ordner auswählen: Wählen Sie einen Ordner aus Ihrem Arbeitsbereich aus, oder navigieren Sie zu einem Ordner, der Ihre Funktions-App enthält.
  - Abonnement auswählen: Wählen Sie das zu verwendende Abonnement aus.
  - Wählen Sie Neue Funktions-App in Azure erstellen aus. (Wählen Sie nicht die Option Erweitert aus.)
  - Geben Sie einen global eindeutigen Namen für die Funktions-App ein: Geben Sie Ihrer Funktions-App einen Namen, der in einem URL-Pfad gültig wäre. Der ausgewählte Name wird überprüft, um sicherzustellen, dass er in Azure Functions eindeutig ist.
  - Auswählen einer Runtime: Wählen Sie Python 3.8 aus.
6. Die Bereitstellung beginnt. Eine Benachrichtigung wird angezeigt, nachdem Ihre Funktions-App erstellt und das Bereitstellungspaket angewendet wurde.
7. Kehren Sie zur Seite Ihrer Funktions-App zurück, um die Konfiguration auszuführen.
Konfigurieren der Funktions-App
1. Wählen Sie auf der Seite Ihrer Funktions-App im Navigationsmenü unter Einstellungen die Option Konfiguration aus.
2. Wählen Sie auf der Registerkarte Anwendungseinstellungendie Option + Neue Anwendungseinstellung aus.
3. Fügen Sie die vorgeschriebenen Anwendungseinstellungen für Ihr Produkt einzeln mit den jeweiligen Zeichenfolgenwerten hinzu, bei denen groß-/kleinschreibung beachtet wird. Die hinzuzufügenden Anwendungseinstellungen finden Sie auf der Seite datenconnector oder im Abschnitt für Ihren Dienst auf der Referenzseite für Microsoft Sentinel Datenconnectors.
  - Verwenden Sie ggf. die Anwendungseinstellung logAnalyticsUri , um den Log Analytics-API-Endpunkt zu überschreiben, wenn Sie eine dedizierte Cloud verwenden. Wenn Sie also beispielsweise die öffentliche Cloud verwenden, lassen Sie den Wert leer. Geben Sie für Azure GovUS-Cloudumgebung den Wert im folgenden Format an: https://<CustomerId>.ods.opinsights.azure.us.

Suchen Ihrer Daten

Nachdem eine erfolgreiche Verbindung hergestellt wurde, werden die Daten in Protokollen unter CustomLogs in den Tabellen angezeigt, die im Abschnitt für Ihren Dienst auf der Referenzseite für Microsoft Sentinel Datenconnectors aufgeführt sind.

Um Daten abzufragen, geben Sie einen dieser Tabellennamen oder den entsprechenden Kusto-Funktionsalias in das Abfragefenster ein.

Auf der Registerkarte Nächste Schritte auf der Connectorseite finden Sie einige nützliche Beispielabfragen.

Überprüfen der Konnektivität

Es kann bis zu 20 Minuten dauern, bis Ihre Protokolle in Log Analytics angezeigt werden.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie Microsoft Sentinel mithilfe von Azure Functions-basierten Connectors mit Ihrer Datenquelle verbinden. Weitere Informationen zu Microsoft Sentinel finden Sie in den folgenden Artikeln:

Erfahren Sie, wie Sie Einblick in Ihre Daten und potenzielle Bedrohungen erhalten.
Erste Schritte beim Erkennen von Bedrohungen mit Microsoft Sentinel.
Verwenden Sie Arbeitsmappen , um Ihre Daten zu überwachen.

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-23

Freigeben über

Verwenden von Azure Functions, um Microsoft Sentinel mit Ihrer Datenquelle zu verbinden

Voraussetzungen

Konfigurieren und Verbinden Ihrer Datenquelle

Azure Functions Runtimekonfiguration

Schritt 1: Abrufen der API-Anmeldeinformationen ihres Quellsystems

Schritt 2: Bereitstellen des Connectors und der zugehörigen Azure Funktions-App

Auswählen einer Bereitstellungsoption

Suchen Ihrer Daten

Überprüfen der Konnektivität

Nächste Schritte

Feedback

Zusätzliche Ressourcen