Ресурсы для создания пользовательских соединителей Microsoft Sentinel
Microsoft Sentinel предоставляет широкий спектр встроенных соединителей для служб Azure и внешних решений, а также поддерживает прием данных из некоторых источников без выделенного соединителя.
Если вы не можете подключить источник данных к Microsoft Sentinel с помощью любого из имеющихся решений, рассмотрите возможность создания собственного соединителя источников данных.
Полный список поддерживаемых соединителей см. в разделе "Поиск соединителя данных Microsoft Sentinel").
Сравнение методов создания пользовательских соединителей
В следующей таблице сравниваются общие сведения о каждом методе создания пользовательских соединителей, описанных в этой статье. Чтобы получить дополнительные сведения о каждом методе, нажимайте на ссылки в таблице.
| Описание метода | Возможность | Бессерверные приложения | Сложность |
|---|---|---|---|
| Codeless Connector Platform (CCP) Лучше подходит для менее технически подкованных пользователей. Позволяет создавать соединители SaaS с помощью файла конфигурации, а не путем написания кода. |
Поддерживает все возможности, доступные в коде. | Да | Низкий; простая разработка без написания кода |
| Агент Azure Monitor Лучше всего подходит для сбора файлов из локальной среды и источников IaaS |
Сбор файлов, преобразование данных | No | Низкая |
| Logstash. Лучше всего подходит для локальных источников и IaaS, любого источника, для которого доступен подключаемый модуль, и организаций, уже знакомых с Logstash |
Поддерживает все возможности агента Azure Monitor | Нет; требуется запустить виртуальную машину или кластер виртуальной машины | Низкий; поддерживает множество сценариев с подключаемыми модулями |
| Логические приложения Высокая стоимость; избегайте больших объемов данных Лучше всего подходит для облачных источников с малыми объемами данных |
Программирование без написания кода обеспечивает ограниченную гибкость, без поддержки реализации алгоритмов. Если доступные действия не поддерживают ваши требования, создание пользовательского действия может усложнить работу. |
Да | Низкий; простая разработка без написания кода |
| API приема журналов в Azure Monitor Подходит для независимых поставщиков программных продуктов, реализующих интеграцию, и для удовлетворения уникальных требований к сбору |
Поддерживает все возможности, доступные в коде. | Зависит от реализации | Высокая |
| Функции Azure Лучше всего подходят для облачных источников с большим объемом данных и удовлетворения уникальных требований к сбору |
Поддерживает все возможности, доступные в коде. | Да | Высокий; требуются знания в области программирования |
Совет
Сравнение использования Logic Apps и функций Azure для одного и того же соединителя см. в следующих статьях:
- Быстрое получение журналов брандмауэра веб-приложений в Microsoft Sentinel
- Office 365 (сообщество Microsoft Sentinel на GitHub): Соединитель приложений логики | Соединитель функций Azure
Подключение к платформе Codeless Connector Platform
Платформа соединителя без кода (CCP) предоставляет файл конфигурации, который можно использовать как клиентами, так и партнерами, а затем развертывается в собственной рабочей области или в качестве решения для концентратора содержимого Microsoft Sentinel.
Соединители, созданные с помощью CCP, являются решениями SaaS и не требуют установки служб, зато включают мониторинг работоспособности и полную поддержку Microsoft Sentinel.
Дополнительные сведения см. в статье Создание соединителя без кода для Microsoft Sentinel.
Подключение к агенту Azure Monitor
Если источник данных предоставляет события в текстовых файлах, рекомендуется использовать агент Azure Monitor для создания пользовательского соединителя.
Дополнительные сведения см. в статье Сбор журналов из текстового файла с помощью агента Azure Monitor.
Пример этого метода см. в статье Сбор журналов из JSON-файла с помощью агента Azure Monitor.
Подключение с помощью Logstash
Если вы знакомы с Logstash, вам может потребоваться использовать Logstash с подключаемым модулем вывода Logstash для Microsoft Sentinel для создания пользовательского соединителя.
С помощью подключаемого модуля вывода Microsoft Sentinel Logstash можно использовать любые подключаемые модули ввода и фильтрации Logstash, а также настроить Microsoft Sentinel на вывод данных конвейера Logstash. Logstash имеет обширную библиотеку подключаемых модулей, которая позволяет вводить данные из различных источников, таких как центры событий, Apache Kafka, файлы, базы данных и облачные службы. Используйте подключаемые модули фильтрации для анализа событий, фильтрации ненужных событий, маскировки значений и многого другого.
Примеры использования Logstash в качестве пользовательского соединителя см. в следующих статьях:
- Охота на TPP брешей Capital One в журналах AWS с помощью Microsoft Sentinel (блог)
- Руководство по реализации Microsoft Sentinel от Radware
Примеры полезных подключаемых модулей Logstash см. в следующих статьях:
- Подключаемый модуль ввода Cloudwatch
- Подключаемый модуль Центров событий Azure
- Подключаемый модуль ввода облачного хранилища Google
- Подключаемый модуль ввода Google_pubsub
Совет
Logstash также поддерживает масштабируемый сбор данных с помощью кластера. Дополнительные сведения см. в статье Использование виртуальной машины Logstash с балансировкой нагрузки в большом масштабе.
Подключение с помощью Logic Apps
Используйте Azure Logic Apps, чтобы создать бессерверный пользовательский соединитель для Microsoft Sentinel.
Примечание.
При создании бессерверных соединителей, использующих Logic Apps, использование Logic Apps для соединителей может оказаться дорогостоящим при больших объемах данных.
Этот метод рекомендуется использовать только для источников данных с низким объемом данных или для обогащения передаваемых данных.
Используйте один из следующих триггеров для запуска Logic Apps:
Триггер Description Повторяющаяся задача Например, спланируйте регулярное получение данных приложением логики из конкретных файлов, баз данных или внешних API.
Дополнительные сведения см. в статье Создание, планирование и выполнение повторяющихся задач и рабочих процессов с помощью Azure Logic Apps.Активация по запросу Запустите приложение логики по запросу для ручного сбора и тестирования данных.
Дополнительные сведения см. в статье Вызов, активация и вложение приложений логики с помощью конечных точек HTTPS.Конечная точка HTTP/S Рекомендуется для потоковой передачи, а также в случае, если исходная система может начать передачу данных.
Дополнительные сведения см. в статье Вызов конечных точек службы по протоколу HTTP или HTTPS.Используйте любой из соединителей приложения логики, считывающих данные для получения событий. Например:
Совет
Пользовательские соединители для интерфейсов REST API, серверов SQL и файловых систем также поддерживают извлечение данных из локальных источников данных. Дополнительные сведения см. в статье Установка локального шлюза данных.
Подготовьте сведения, которые необходимо получить.
Например, проанализируйте действие JSON для доступа к свойствам в содержимом JSON, что позволяет выбрать эти свойства из списка динамического содержимого при указании входных данных для приложения логики.
Дополнительные сведения см. в разделе Выполнение операций с данными в Azure Logic Apps.
Запишите данные в Log Analytics.
Дополнительные сведения см. в документации по Сборщику данных Azure Log Analytics.
Примеры создания пользовательского соединителя для Microsoft Sentinel с помощью Logic Apps см. в следующих статьях:
- Создание конвейера данных с помощью API сборщика данных
- Соединитель приложения логики Palo Alto Prisma с помощью веб-перехватчика (сообщество Microsoft Sentinel на GitHub)
- Обеспечение безопасности вызовов Microsoft Teams с помощью запланированной активации (блог)
- Прием индикаторов угроз AlienVault OTX в Microsoft Sentinel (блог)
Подключение с помощью API приема журналов
Вы можете передавать события в Microsoft Sentinel с помощью API сборщика данных Log Analytics, чтобы напрямую вызвать конечную точку RESTful.
При непосредственном вызове конечной точки RESTful требуется дополнительное программирование, а также обеспечивается дополнительная гибкость.
Дополнительные сведения см. в следующих статьях:
- API приема журналов в Azure Monitor.
- Пример кода для отправки данных в Azure Monitor с помощью API приема журналов.
Соединение с Функциями Azure
Используйте функции Azure совместно с API RESTful и различными языками программирования, такими как PowerShell, для создания бессерверного пользовательского соединителя.
Примеры этого метода приведены в статьях:
- Подключение облачной конечной точки VMware Carbon Black категории "Стандартный" к Microsoft Sentinel с помощью функции Azure
- Подключение Okta Single Sign-On к Microsoft Sentinel с помощью Функции Azure
- Подключение Proofpoint TAP к Microsoft Sentinel с помощью функции Azure
- Подключение Qualys VM к Microsoft Sentinel с помощью функции Azure
- Прием XML, CSV или других форматов данных
- Мониторинг Zoom с помощью Microsoft Sentinel (блог)
- Развертывание приложения-функции для получения данных API управления Office 365 в Microsoft Sentinel (сообщество Microsoft Sentinel на GitHub)
Анализ данных пользовательского соединителя
Чтобы воспользоваться преимуществами данных, собранных с помощью пользовательского соединителя, разработайте средства синтаксического анализа расширенной модели информационной безопасности (ASIM) для работы с соединителем. Использование ASIM позволяет встроенному содержимому Microsoft Sentinel использовать пользовательские данные и упрощает запрос данных для аналитиков.
Если ваш метод соединителя это допускает, можно реализовать часть синтаксического анализа в рамках соединителя, чтобы повысить производительность обработки запросов:
- Если вы использовали Logstash, используйте подключаемый модуль фильтра Grok для анализа данных.
- Если вы использовали функцию Azure, проанализируйте данные с помощью кода.
Вам по-прежнему потребуется реализовать средства синтаксического анализа ASIM, но если часть синтаксического анализа будет выполняться с помощью соединителя, это позволит упростить процесс и повысить производительность.
Следующие шаги
Используйте данные, полученные в Microsoft Sentinel, чтобы защитить среду с помощью любого из следующих процессов: