Подключение Microsoft Sentinel к источнику данных с помощью функций Azure

Функции Azure можно использовать в сочетании с различными языками программирования, такими как PowerShell или Python, для создания бессерверного соединителя для конечных точек REST API совместимых источников данных. Затем приложения-функции Azure позволяют подключать Microsoft Sentinel к REST API источника данных для извлечения журналов.

В этой статье описывается настройка Microsoft Sentinel для использования приложений-функций Azure. Вам также может потребоваться настроить исходную систему, и вы можете найти ссылки на сведения о поставщиках и продуктах на странице каждого соединителя данных на портале или раздел службы на странице ссылок на соединители данных Microsoft Sentinel .

Note

После приема в Microsoft Sentinel данные хранятся в географическом расположении рабочей области, в которой выполняется Microsoft Sentinel.

Для долгосрочного хранения также может потребоваться хранить данные в типах журналов, таких как вспомогательные журналы. Дополнительные сведения см. в планах хранения журналов в Microsoft Sentinel.
Использование Функций Azure для приема данных в Microsoft Sentinel может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure .

Prerequisites

Убедитесь, что у вас есть следующие разрешения и учетные данные перед использованием Функций Azure для подключения Microsoft Sentinel к источнику данных и извлечения журналов в Microsoft Sentinel:

У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.
У вас должны быть разрешения на чтение общих ключей для рабочей области. Дополнительные сведения о ключах рабочей области.
Для создания приложения-функции необходимо иметь разрешения на чтение и запись в Функциях Azure. Дополнительные сведения о Функциях Azure.
Вам также потребуются учетные данные для доступа к API продукта — имени пользователя и пароля, маркера, ключа или другого сочетания. Кроме того, может потребоваться другая информация API, например URI конечной точки.

Дополнительные сведения см. в документации по службе, к которую вы подключаетесь, и раздел службы на странице справки по соединителям данных Microsoft Sentinel .
Установите решение, содержащее соединитель на основе функций Azure из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье «Обнаружение и управление встроенным содержимым Microsoft Sentinel».

Настройка и подключение источника данных

Note

Вы можете безопасно хранить рабочие области и ключи авторизации API или маркеры в Azure Key Vault. Azure Key Vault предоставляет безопасный механизм для хранения и извлечения значений ключей. Следуйте этим инструкциям , чтобы использовать Azure Key Vault с приложением-функцией Azure.
Некоторые соединители данных зависят от средства синтаксического анализа на основе функции Kusto для работы должным образом. См. раздел службы на странице справки по соединителям данных Microsoft Sentinel для ссылок на инструкции по созданию функции Kusto и псевдонима.

Шаг 1. Получение учетных данных API исходной системы

Следуйте инструкциям исходной системы, чтобы получить свои учетные данные API, ключи авторизации и токены. Скопируйте и вставьте их в текстовый файл для последующего копирования.

Вы можете найти подробные сведения о нужных учетных данных и ссылки на инструкции продукта по поиску или созданию, на странице соединителя данных на портале и в разделе для службы на странице справки по соединителям данных Microsoft Sentinel .

Также может потребоваться настроить ведение журнала или другие параметры в исходной системе. Вы найдете соответствующие инструкции вместе с этими инструкциями в предыдущем абзаце.

Шаг 2. Развертывание соединителя и связанного приложения-функции Azure

Выбор варианта развертывания

Этот метод обеспечивает автоматическое развертывание соединителя на основе функций Azure с помощью шаблона ARM.

На портале Microsoft Sentinel выберите соединители данных. Выберите соединитель на основе функций Azure в списке, а затем откройте страницу соединителя.
В разделе "Конфигурация" скопируйте идентификатор рабочей области Microsoft Sentinel и первичный ключ и вставьте их в сторону.
Выберите Развернуть в Azure. (Возможно, вам придется прокрутить вниз, чтобы найти кнопку.)
Откроется экран пользовательского развертывания .
- Выберите подписку, группу ресурсов и регион , в котором необходимо развернуть приложение-функцию.
- Введите учетные данные API, ключи авторизации и маркеры, сохраненные на шаге 1 выше.
- Введите идентификатор рабочей области Microsoft Sentinel и ключ рабочей области (первичный ключ), скопированный и отложенный.
  
  Note
  
  При использовании секретов Azure Key Vault для любого из указанных выше значений используйте схему @Microsoft.KeyVault(SecretUri={Security Identifier}) вместо строковых значений. Дополнительные сведения см. в документации по Key Vault.
- Заполните все другие поля в форме на экране пользовательского развертывания . На портале или на странице справки по соединителям данных Microsoft Sentinel см. страницу соединителей данных Microsoft Sentinel .
- Выберите Review + create. После завершения проверки нажмите кнопку "Создать".

Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединители на основе функций Azure, использующие функции PowerShell.

На портале Microsoft Sentinel выберите соединители данных. Выберите соединитель на основе функций Azure в списке, а затем откройте страницу соединителя.
В разделе "Конфигурация" скопируйте идентификатор рабочей области Microsoft Sentinel и первичный ключ и вставьте их в сторону.
Создание приложения-функции
1. На портале Azure найдите и выберите приложение-функцию.
2. На странице приложения-функции нажмите кнопку "Создать". Откроется мастер создания приложения-функции .
3. На вкладке "Основные сведения" :
  - Выберите подписку и группу ресурсов.
  - Присвойте приложению-функции имя.
  - Задайте для стека среды выполнения значение PowerShell Core.
  - Выберите соответствующий номер версии.
  - Выберите регион , в котором требуется развернуть, и нажмите кнопку "Далее: размещение".
4. На вкладке "Размещение "
  - Выберите учетную запись хранения , которую вы хотите использовать, или создайте новую.
  - Выберите тип плана(без сервера).
5. Внесите любые другие необходимые изменения конфигурации, а затем нажмите кнопку "Проверить и создать".
6. Дождитесь сообщения "Проверка пройдена", а затем нажмите кнопку "Создать".
7. После завершения развертывания выберите Перейти к ресурсу.
Импорт кода приложения-функции
1. В созданном приложении-функции выберите "Функции " в меню навигации.
2. На странице "Функции" нажмите кнопку +Добавить.
3. На панели "Добавить функцию " выберите триггер таймера .
4. Введите уникальное имя функции и введите выражение cron , чтобы указать расписание. Интервал по умолчанию составляет каждые 5 минут.
5. После создания функции выберите "Код и тест " на левой панели.
6. Скачайте код приложения-функции, предоставленный поставщиком исходной системы, и скопируйте его и вставьте его в редактор приложения-функцииrun.ps1 , заменив то, что там по умолчанию. Ссылку на скачивание можно найти на странице соединителя или в разделе службы на справочной странице соединителей данных Microsoft Sentinel .
7. Нажмите кнопку "Сохранить".
Настройка приложения-функции
1. На странице приложения-функции выберите "Конфигурация " в разделе "Параметры " в меню навигации.
2. На вкладке Параметры приложения выберите +Новый параметр приложения.
3. Добавьте заданные параметры приложения для продукта по отдельности с соответствующими значениями строк с учетом регистра. См. страницу соединителя данных или раздел продукта для службы на странице справки по соединителям данных Microsoft Sentinel .
  
  Tip
  
  Если применимо, используйте параметр приложения LogAnalyticsUri , чтобы переопределить конечную точку API log analytics, если вы используете выделенное облако. Например, если вы используете общедоступное облако, оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us

Используйте следующие пошаговые инструкции, чтобы вручную развернуть соединители на основе функций Azure, использующие функции Python. Для такого развертывания требуется Visual Studio Code.

На портале Microsoft Sentinel выберите соединители данных. Выберите соединитель на основе функций Azure в списке, а затем откройте страницу соединителя.
В разделе "Конфигурация" скопируйте идентификатор рабочей области Microsoft Sentinel и первичный ключ и вставьте их в сторону.
Развертывание приложения-функции

Note

Вам потребуется подготовить Visual Studio Code (VS Code) для разработки функций Azure.
1. Скачайте файл приложения-функции Azure, используя ссылку, указанную на странице соединителя данных, и в разделе службы на странице справочника по соединителям данных Microsoft Sentinel . Извлеките архив на локальный компьютер разработки.
2. Запустите VS Code. В строке меню выберите "Открыть папку" > ....
3. Выберите папку верхнего уровня из файлов, извлеченных из архива.
4. Щелкните значок Azure в строке действий VS Code (слева). Затем в области "Функции Azure" нажмите кнопку "Развернуть в приложении-функции ".
  
  Note
  
  Если вы еще не вошли, выберите значок Azure на панели действий. Затем в области "Функции Azure" выберите вход в Azure.
  Если вы уже выполнили вход, перейдите к следующему шагу.
5. Введите следующие сведения в соответствии с запросами.
  - Выберите папку: выберите папку из рабочей области или перейдите к папке, содержащей приложение-функцию.
  - Выберите подписку: выберите используемую подписку.
  - Выберите "Создать приложение-функцию" в Azure. (Не выбирайте параметр "Дополнительно ".)
  - Введите глобально уникальное имя для приложения-функции: присвойте приложению-функции имя, допустимое в URL-пути. Выбранное имя будет проверено, чтобы убедиться, что оно уникально во всех функциях Azure.
  - Выберите среду выполнения: выберите Python 3.8.
6. Начнется развертывание. После создания приложения-функции и применения пакета развертывания отобразится уведомление.
7. Вернитесь на страницу приложения-функции для настройки.
Настройка приложения-функции
1. На странице приложения-функции выберите "Конфигурация " в разделе "Параметры " в меню навигации.
2. На вкладке Параметры приложения выберите +Новый параметр приложения.
3. Добавьте заданные параметры приложения для продукта по отдельности с соответствующими значениями строк с учетом регистра. См. страницу соединителя данных или раздел службы на странице справки по соединителям данных Microsoft Sentinel , чтобы добавить параметры приложения.
  - Если применимо, используйте параметр приложения LogAnalyticsUri , чтобы переопределить конечную точку API log analytics, если вы используете выделенное облако. Например, если вы используете общедоступное облако, оставьте значение пустым; Для облачной среды Azure GovUS укажите значение в следующем формате: https://<CustomerId>.ods.opinsights.azure.us

Поиск данных

После успешного подключения данные отображаются в журналах в customLogs, в таблицах, перечисленных в разделе для службы на странице ссылок соединителей данных Microsoft Sentinel.

Чтобы запросить данные, введите одно из этих имен таблиц или соответствующий псевдоним функции Kusto в окне запроса.

Перейдите на вкладку "Дальнейшие действия " на странице соединителя для некоторых полезных примеров запросов.

Проверка подключения

До тех пор, пока журналы не будут отображаться в Log Analytics, может потребоваться до 20 минут.

Дальнейшие шаги

В этом документе вы узнали, как подключить Microsoft Sentinel к источнику данных с помощью соединителей на основе функций Azure. Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:

Узнайте, как получить представление о данных и потенциальных угрозах.
Начните обнаруживать угрозы с помощью Microsoft Sentinel.
Используйте рабочие тетради для мониторинга данных.

Обратная связь

Была ли эта страница полезна?

Last updated on 2025-08-15