Usare Funzioni di Azure per connettere Microsoft Sentinel alla tua origine dati

È possibile usare Funzioni di Azure, insieme a vari linguaggi di codifica, ad esempio PowerShell o Python, per creare un connettore serverless agli endpoint API REST delle origini dati compatibili. Le app per le funzioni di Azure consentono quindi di connettere Microsoft Sentinel all'API REST dell'origine dati per il pull dei log.

Questo articolo descrive come configurare Microsoft Sentinel per l'uso di app per le funzioni di Azure. Potrebbe anche essere necessario configurare il sistema di origine, e potete trovare collegamenti a informazioni specifiche per fornitore e prodotto nella pagina di ogni connettore di dati nel portale, oppure nella sezione del vostro servizio nella pagina di riferimento dei connettori di dati Microsoft Sentinel.

Nota

Una volta inseriti per Microsoft Sentinel, i dati vengono archiviati nella posizione geografica dell'area di lavoro in cui si esegue Microsoft Sentinel.

Per la conservazione a lungo termine, è anche possibile archiviare i dati in tipi di log, ad esempio log ausiliari. Per altre informazioni, vedere Piani di conservazione dei log in Microsoft Sentinel.
L'uso di Funzioni di Azure per inserire dati in Microsoft Sentinel può comportare costi aggiuntivi per l'inserimento dei dati. Per ulteriori informazioni, vedere la pagina dei prezzi di Funzioni di Azure.

Prerequisiti

Assicurarsi di disporre delle autorizzazioni e delle credenziali seguenti prima di usare Funzioni di Azure per connettere Microsoft Sentinel all'origine dati ed importare i relativi log in Microsoft Sentinel.

È necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro Microsoft Sentinel.
È necessario disporre delle autorizzazioni di lettura per le chiavi condivise per l'area di lavoro. Altre informazioni sulle chiavi dell'area di lavoro.
Per creare un'app per le funzioni, è necessario disporre delle autorizzazioni di lettura e scrittura per Funzioni di Azure. Altre informazioni su Funzioni di Azure.
Saranno necessarie anche le credenziali per accedere all'API del prodotto, ovvero un nome utente e una password, un token, una chiave o un'altra combinazione. Potrebbero essere necessarie anche altre informazioni sull'API, ad esempio un URI dell'endpoint.

Per altre informazioni, vedere la documentazione relativa al servizio a cui ci si connette e la sezione relativa al servizio nella pagina di riferimento dei connettori dati di Microsoft Sentinel.
Installare la soluzione che contiene il connettore basato su Funzioni di Azure dall'Content Hub di Microsoft Sentinel. Per altre informazioni, vedere Scoprire e gestire i contenuti predefiniti di Microsoft Sentinel.

Configurare e connettere l'origine dati

Nota

È possibile archiviare in modo sicuro le chiavi o i token di autorizzazione api e dell'area di lavoro in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni Azure.
Per funzionare come previsto alcuni connettore dati dipendono da un parser basato su una funzione Kusto. Consultare la sezione relativa al tuo servizio nella pagina di riferimento ai connettori dati di Microsoft Sentinel per i link alle istruzioni per creare la funzione e l'alias Kusto.

Configurazione del runtime di Funzioni di Azure

Nota

Microsoft Sentinel connettori che usano Funzioni di Azure includono dipendenze Python precompilate. Il runtime dell'applicazione Funzione Azure, inclusa la versione di Python, è preconfigurato nel modello ARM della soluzione e non deve essere modificato in alcun modo.

Passaggio 1: Ottenere le credenziali API del sistema di origine

Seguire le istruzioni del sistema di origine per ottenere le relative credenziali API/chiavi di autorizzazione/token. Copiarli e incollarli in un file di testo per un secondo momento.

È possibile trovare informazioni dettagliate sulle credenziali esatte necessarie e collegamenti alle istruzioni del prodotto per trovarle o crearle, nella pagina del connettore dati del portale e nella sezione relativa al servizio nella pagina di riferimento Microsoft Sentinel connettori dati.

Potrebbe anche essere necessario configurare la registrazione o altre impostazioni nel sistema di origine. Le istruzioni pertinenti sono disponibili insieme a quelle del paragrafo precedente.

Passaggio 2: Distribuire il connettore e l'app per le funzioni associata Azure

Scegliere un'opzione di distribuzione

Questo metodo fornisce una distribuzione automatica del connettore basato su Azure Functions utilizzando un modello ARM.

Nel portale di Microsoft Sentinel selezionare Connetti dati. Selezionare il connettore basato su Funzioni di Azure dall'elenco e quindi Aprire la pagina del connettore.
Sotto Configurazione, copiare l'ID area di lavoro di Microsoft Sentinel e la chiave primaria e incollarli in un posto a parte.
Selezionare Distribuisci su Azure. Potrebbe essere necessario scorrere verso il basso per trovare il pulsante.
Verrà visualizzata la schermata Distribuzione personalizzata.
- Selezionare una sottoscrizione, un gruppo di risorse e un'area in cui distribuire l'App per le funzioni.
- Immettere le credenziali dell'API, le chiavi di autorizzazione e i token salvati nel passaggio 1 precedente.
- Immetti l'ID Workspace e la Chiave Workspace (chiave primaria) di Microsoft Sentinel che hai copiato e messo da parte.
  
  Nota
  
  Se si usano Azure Key Vault segreti per uno dei valori precedenti, usare lo schema @Microsoft.KeyVault(SecretUri={Security Identifier}) al posto dei valori stringa. Per ulteriori dettagli, fare riferimento alla documentazione di riferimento di Key Vault.
- Completare tutti gli altri campi nel modulo nella schermata Distribuzione personalizzata. Consulta la pagina del connettore dati nel portale o nella sezione relativa al tuo servizio nella pagina di riferimento dei connettori dati di Microsoft Sentinel.
- Selezionare Rivedi e crea. Dopo il completamento della convalida, selezionare Crea.

Usare le istruzioni dettagliate seguenti per distribuire manualmente i connettori basati su Funzioni di Azure che usano le funzioni di PowerShell.

Nel portale di Microsoft Sentinel selezionare Connetti dati. Selezionare il connettore basato su Funzioni di Azure dall'elenco e quindi Aprire la pagina del connettore.
Sotto Configurazione, copiare l'ID area di lavoro di Microsoft Sentinel e la chiave primaria e incollarli in un posto a parte.
Creare un'App per le funzioni
1. Nel portale di Azure cercare e selezionare App per le funzioni.
2. Nella pagina App per le funzioni selezionare Crea. Verrà aperta la procedura guidata Crea App per le funzioni.
3. Nella scheda Informazioni di base:
  - Selezionare una sottoscrizione e un gruppo di risorse.
  - Assegnare un nome all'app per le funzioni.
  - Impostare Stack di runtime su PowerShell Core.
  - Selezionare il numero di versione appropriato.
  - Selezionare l'area in cui si desidera distribuire, quindi selezionare Avanti: Hosting.
4. Nella scheda Hosting:
  - Scegliere l'account di archiviazione da usare o crearne uno nuovo.
  - Selezionare A consumo (serverless) come Tipo di piano.
5. Apportare eventuali altre modifiche di configurazione necessarie, quindi selezionare Rivedi + crea.
6. Attendere il messaggio "Convalida superata", quindi selezionare Crea.
7. Al termine della distribuzione, selezionare Vai alla risorsa.
Importare codice della Function App
1. Nell'App per le funzioni appena creata selezionare Funzioni nel menu di spostamento.
2. Nella pagina Funzioni selezionare + Aggiungi.
3. Nel pannello Aggiungi funzione selezionare il trigger Timer.
4. Immettere un nome univoco per la funzione e immettere un'espressione cron per specificare la pianificazione. L'intervallo predefinito è ogni 5 minuti.
5. Dopo aver creato la funzione, selezionare Codice + test nel riquadro sinistro.
6. Scaricare il codice dell'App per le funzioni fornito dal fornitore del sistema di origine e copiarlo e incollarlo nell'editor run.ps1 dell'App per le funzioni, sostituendo ciò che è presente per impostazione predefinita. È possibile trovare il collegamento per il download nella pagina del connettore o nella sezione relativa al servizio nella pagina Microsoft Sentinel informazioni di riferimento sui connettori dati.
7. Seleziona Salva.
Configurare l'App per le funzioni
1. Nella pagina dell'App per le funzioni selezionare Configurazione in Impostazioni nel menu di spostamento.
2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione
3. Aggiungere singolarmente le impostazioni dell'applicazione previste per il prodotto, con i rispettivi valori stringa con distinzione tra maiuscole e minuscole. Vedere la pagina del connettore dati o la sezione del prodotto relativa al servizio nella pagina di riferimento ai connettori dati di Microsoft Sentinel.
  
  Suggerimento
  
  Se applicabile, usare l'impostazione dell'applicazione logAnalyticsUri per eseguire l'override dell'endpoint API di Log Analytics se si usa un cloud dedicato. Ad esempio, se si usa il cloud pubblico, lasciare vuoto il valore; per Azure ambiente cloud GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

Usare le istruzioni dettagliate seguenti per distribuire manualmente connettori basati su Funzioni di Azure che usano funzioni di Python. Questo tipo di distribuzione richiede Visual Studio Code.

Nel portale di Microsoft Sentinel selezionare Connetti dati. Selezionare il connettore basato su Funzioni di Azure dall'elenco e quindi Aprire la pagina del connettore.
Sotto Configurazione, copiare l'ID area di lavoro di Microsoft Sentinel e la chiave primaria e incollarli in un posto a parte.
Distribuire un'App per le funzioni

Nota

È necessario prepare Visual Studio Code (VS Code) per lo sviluppo di funzioni Azure.
1. Scaricare il file dell'app per le funzioni di Azure mediante il collegamento fornito nella pagina del connettore dati e nella sezione relativa al servizio nella pagina di riferimento ai connettori dati di Microsoft Sentinel. Estrarre l'archivio nel computer di sviluppo locale.
2. Avviare VS Code. Nella barra dei menu selezionare File > Apri cartella....
3. Selezionare la cartella di primo livello dai file estratti dall'archivio.
4. Scegliere l'icona Azure nella barra attività di VS Code (a sinistra). Nell'area Azure: Funzioni, scegliere il pulsante Distribuisci nell'app per le funzioni.
  
  Nota
  
  Se non si è ancora effettuato l'accesso, selezionare l'icona di Azure nella barra attività. Nell'area Azure: Funzioni scegliere Accedere a Azure.
  Se è già stato effettuato l'accesso, andare al passaggio successivo.
5. Quando richiesto, immettere le informazioni seguenti:
  - Seleziona cartella: scegliere una cartella dall'area di lavoro oppure andare a una cartella contenente l'app per le funzioni.
  - Selezionare la sottoscrizione: Scegliere la sottoscrizione da usare.
  - Selezionare Creare una nuova app per le funzioni in Azure. (Non scegliere l'opzione Avanzate).
  - Immettere un nome univoco globale per l'App per le funzioni: assegnare all'App per le funzioni un nome valido in un percorso URL. Il nome scelto verrà convalidato per assicurarsi che sia univoco in Funzioni di Azure.
  - Selezionare un runtime: scegliere Python 3.8.
6. La distribuzione avrà inizio. Dopo la creazione dell'app per le funzioni e dopo l'applicazione del pacchetto di distribuzione viene visualizzata una notifica.
7. Torna alla pagina di configurazione della tua applicazione Function.
Configurare l'App per le funzioni
1. Nella pagina dell'App per le funzioni selezionare Configurazione in Impostazioni nel menu di spostamento.
2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione
3. Aggiungere singolarmente le impostazioni dell'applicazione previste per il prodotto, con i rispettivi valori stringa con distinzione tra maiuscole e minuscole. Vedere la pagina del connettore dati o la sezione relativa al servizio, nella pagina informazioni di riferimento sui connettori dati di Microsoft Sentinel, per aggiungere le impostazioni dell'applicazione.
  - Se applicabile, usare l'impostazione dell'applicazione logAnalyticsUri per eseguire l'override dell'endpoint API di Log Analytics se si usa un cloud dedicato. Ad esempio, se si usa il cloud pubblico, lasciare vuoto il valore; per Azure ambiente cloud GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

Trova i tuoi dati

Dopo che una connessione è stata stabilita con successo, i dati compaiono in Logs sotto CustomLogs, nelle tabelle elencate nella sezione relativa al servizio nella pagina di riferimento dei connettori dati Microsoft Sentinel.

Per eseguire query sui dati, immettere uno di questi nomi di tabella, o l'alias della funzione Kusto pertinente, nella finestra di query.

Per alcune query di esempio utili, vedere la scheda Passaggi successivi nella pagina del connettore.

Convalidare la connettività

Potrebbero essere necessari fino a 20 minuti prima che i log vengano visualizzati in Log Analytics.

Passaggi successivi

In questo documento si è appreso come connettere Microsoft Sentinel all'origine dati usando connettori basati su Funzioni di Azure. Per altre informazioni sulle Microsoft Sentinel, vedere gli articoli seguenti:

Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
Inizia a rilevare le minacce con Microsoft Sentinel.
Usare le cartelle di lavoro per monitorare i dati.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-18

Condividi tramite

Usare Funzioni di Azure per connettere Microsoft Sentinel alla tua origine dati

Prerequisiti

Configurare e connettere l'origine dati

Configurazione del runtime di Funzioni di Azure

Passaggio 1: Ottenere le credenziali API del sistema di origine

Passaggio 2: Distribuire il connettore e l'app per le funzioni associata Azure

Scegliere un'opzione di distribuzione

Trova i tuoi dati

Convalidare la connettività

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive