Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Microsoft Sentinel предоставляет широкий спектр встроенных соединителей для служб Azure и внешних решений, а также поддерживает прием данных из некоторых источников без выделенного соединителя.
Если вы не можете подключить источник данных к Microsoft Sentinel с помощью любого из имеющихся решений, рассмотрите возможность создания собственного соединителя источников данных.
Полный список поддерживаемых соединителей см. в разделе "Поиск соединителя данных Microsoft Sentinel").
Сравнение методов создания пользовательских соединителей
В следующей таблице сравниваются общие сведения о каждом методе создания пользовательских соединителей, описанных в этой статье. Чтобы получить дополнительные сведения о каждом методе, нажимайте на ссылки в таблице.
| Описание метода | Возможность | Бессерверные технологии | Сложность |
|---|---|---|---|
|
Платформа соединителей без кода (CCF) Лучше подходит для менее технически подкованных пользователей. Позволяет создавать соединители SaaS с помощью файла конфигурации, а не путем написания кода. |
Поддерживает все возможности, доступные в коде. | Да | Низкий; простая разработка без написания кода |
|
Агент Azure Monitor Лучше всего подходит для сбора файлов из локальной среды и источников IaaS |
Сбор файлов, преобразование данных | Нет | Низкая |
|
Logstash. Лучше всего подходит для локальных источников и IaaS, любого источника, для которого доступен подключаемый модуль, и организаций, уже знакомых с Logstash |
Поддерживает все возможности агента Azure Monitor | Нет; требуется запустить виртуальную машину или кластер виртуальной машины | Низкий уровень; поддерживает множество сценариев с подключаемыми модулями |
|
Логические приложения Высокая стоимость; избегайте больших объемов данных Лучше всего подходит для облачных источников с малыми объемами данных |
Программирование без написания кода обеспечивает ограниченную гибкость, без поддержки реализации алгоритмов. Если доступные действия не поддерживают ваши требования, создание пользовательского действия может усложнить работу. |
Да | Низкий; простая разработка без написания кода |
|
API приема журналов в Azure Monitor Лучший выбор для независимых поставщиков программного обеспечения, реализующих интеграцию, и для удовлетворения уникальных требований к сбору данных |
Поддерживает все возможности, доступные в коде. | Зависит от реализации | Высокая |
|
Функции Azure Лучше всего подходят для облачных источников с большим объемом данных и удовлетворения уникальных требований к сбору |
Поддерживает все возможности, доступные в коде. | Да | Высокий; требуются знания в области программирования |
Совет
Сравнение использования Logic Apps и функций Azure для одного и того же соединителя см. в следующих статьях:
- Быстрое получение журналов брандмауэра веб-приложений в Microsoft Sentinel
- Office 365 (сообщество Microsoft Sentinel на GitHub): Logic App connector | Azure Function connector
Подключитесь к фреймворку Codeless Connector
Платформа соединителей без кода (CCF) предоставляет файл конфигурации, который можно использовать как клиентами, так и партнерами, а затем развертывается в собственной рабочей области или в качестве решения для концентратора содержимого Microsoft Sentinel.
Соединители, созданные с помощью CCF, полностью являются SaaS без каких-либо требований к установке служб, а также включают мониторинг работоспособности и полную поддержку Microsoft Sentinel.
Дополнительные сведения см. в статье Создание соединителя без кода для Microsoft Sentinel.
Подключение к агенту Azure Monitor
Если источник данных предоставляет события в текстовых файлах, рекомендуется использовать агент Azure Monitor для создания пользовательского соединителя.
Дополнительные сведения см. в статье Сбор журналов из текстового файла с помощью агента Azure Monitor.
Пример этого метода см. в статье Сбор журналов из JSON-файла с помощью агента Azure Monitor.
Подключение с помощью Logstash
Если вы знакомы с Logstash, вы можете захотеть использовать Logstash с подключаемым модулем вывода Logstash для Microsoft Sentinel, чтобы создать свой собственный коннектор.
С помощью подключаемого модуля вывода Microsoft Sentinel Logstash можно использовать любые подключаемые модули ввода и фильтрации Logstash, а также настроить Microsoft Sentinel в качестве вывода для конвейера Logstash. Logstash имеет обширную библиотеку подключаемых модулей, которая позволяет вводить данные из различных источников, таких как центры событий, Apache Kafka, файлы, базы данных и облачные службы. Используйте подключаемые модули фильтрации для анализа событий, фильтрации ненужных событий, маскировки значений и многого другого.
Примеры использования Logstash в качестве пользовательского соединителя см. в следующих статьях:
- Поиск TTP утечек данных Capital One в журналах AWS с помощью Microsoft Sentinel (блог)
- Руководство по реализации Microsoft Sentinel от Radware
Примеры полезных подключаемых модулей Logstash см. в следующих статьях:
- Плагин ввода Cloudwatch
- Плагин Центров событий Azure
- Плагин для ввода в облачное хранилище Google
- Подключаемый модуль ввода Google_pubsub
Совет
Logstash также поддерживает масштабируемый сбор данных с помощью кластера. Дополнительные сведения см. в статье Использование виртуальной машины Logstash с балансировкой нагрузки в большом масштабе.
Подключение с помощью Logic Apps
Используйте Azure Logic Apps, чтобы создать бессерверный пользовательский соединитель для Microsoft Sentinel.
Примечание.
Хотя создание бессерверных соединителей с помощью Logic Apps может быть удобным, использование Logic Apps для работы с соединителями может оказаться дорогостоящим при обработке больших объемов данных.
Этот метод рекомендуется использовать только для источников данных с низким объемом данных или для обогащения передаваемых данных.
Используйте один из следующих триггеров для запуска Logic Apps:
Триггер Описание Повторяющаяся задача Например, спланируйте регулярное получение данных приложением логики из конкретных файлов, баз данных или внешних API.
Дополнительные сведения см. в статье Создание, планирование и выполнение повторяющихся задач и рабочих процессов с помощью Azure Logic Apps.Активация по запросу Запустите приложение логики по запросу для ручного сбора и тестирования данных.
Дополнительные сведения см. в статье Вызов, активация и встраивание приложений логики с помощью конечных точек HTTPS.Конечная точка HTTP/S Рекомендуется для потоковой передачи, а также в случае, если исходная система может начать передачу данных.
Дополнительные сведения см. в статье "Вызов конечных точек службы по протоколу HTTP или HTTPS".Используйте любой из коннекторов Logic App для считывания информации и получения ваших событий. Например:
Совет
Пользовательские соединители для интерфейсов REST API, серверов SQL и файловых систем также поддерживают извлечение данных из локальных источников данных. Дополнительные сведения см. в статье Установка локального шлюза данных.
Подготовьте сведения, которые необходимо получить.
Например, используйте действие parse JSON для доступа к свойствам в содержимом JSON, что позволяет выбрать эти свойства из списка динамического содержимого при указании входных данных для Logic App.
Дополнительные сведения см. в разделе Выполнение операций с данными в Azure Logic Apps.
Запишите данные в Log Analytics.
Дополнительные сведения см. в документации по Сборщику данных Azure Log Analytics.
Примеры создания пользовательского соединителя для Microsoft Sentinel с помощью Logic Apps см. в следующих статьях:
- Создание конвейера данных с помощью API сборщика данных
- Соединитель Palo Alto Prisma Logic App с использованием веб-перехватчика (сообщество Microsoft Sentinel на GitHub)
- Обеспечение безопасности вызовов Microsoft Teams с помощью запланированной активации (блог)
- ** Интеграция индикаторов угроз AlienVault OTX в Microsoft Sentinel (блог)
Подключитесь к API приема журналов
Вы можете передавать события в Microsoft Sentinel с помощью API сборщика данных Log Analytics для непосредственного вызова конечной точки RESTful.
При непосредственном вызове конечной точки RESTful требуется дополнительное программирование, а также обеспечивается дополнительная гибкость.
Дополнительные сведения см. в следующих статьях:
- API приема журналов в Azure Monitor.
- Пример кода для отправки данных в Azure Monitor с помощью API приема журналов.
Соединение с Функциями Azure
Используйте функции Azure совместно с API RESTful и различными языками программирования, такими как PowerShell, для создания бессерверного пользовательского соединителя.
Примеры этого метода приведены в статьях:
- Подключение облачной конечной точки VMware Carbon Black категории "Стандартный" к Microsoft Sentinel с помощью функции Azure
- Подключение Okta Single Sign-On к Microsoft Sentinel с помощью Функции Azure
- Подключение Proofpoint TAP к Microsoft Sentinel с помощью функции Azure
- Подключение Qualys VM к Microsoft Sentinel с помощью функции Azure
- Прием XML, CSV или других форматов данных
- Мониторинг Zoom с помощью Microsoft Sentinel (блог)
- Развертывание приложения-функции для получения данных API управления Office 365 в Microsoft Sentinel (сообщество Microsoft Sentinel на GitHub)
Разбор данных пользовательского соединителя
Чтобы воспользоваться преимуществами данных, собранных с помощью пользовательского соединителя, разработайте средства синтаксического анализа расширенной модели информационной безопасности (ASIM) для работы с соединителем. Использование ASIM позволяет встроенному содержимому Microsoft Sentinel использовать пользовательские данные и упрощает запрос данных для аналитиков.
Если ваш метод подключения это допускает, можно реализовать часть парсинга в рамках подключения, чтобы ускорить анализ запросов.
- Если вы использовали Logstash, используйте подключаемый модуль фильтра Grok для анализа данных.
- Если вы использовали функцию Azure, проанализируйте данные с помощью кода.
Вам по-прежнему потребуется реализовать средства синтаксического анализа ASIM, но если часть синтаксического анализа будет выполняться с помощью соединителя, это позволит упростить процесс и повысить производительность.
Следующие шаги
Используйте данные, полученные в Microsoft Sentinel, чтобы защитить среду с помощью любого из следующих процессов: