Łączenie usługi Microsoft Sentinel ze źródłem danych za pomocą usługi Azure Functions

Usługi Azure Functions można używać w połączeniu z różnymi językami kodowania, takimi jak PowerShell lub Python, aby utworzyć łącznik bezserwerowy do punktów końcowych interfejsu API REST zgodnych źródeł danych. Aplikacje funkcji platformy Azure umożliwiają następnie łączenie usługi Microsoft Sentinel z interfejsem API REST źródła danych w celu ściągnięcia dzienników.

W tym artykule opisano sposób konfigurowania usługi Microsoft Sentinel na potrzeby korzystania z aplikacji funkcji platformy Azure. Może być również konieczne skonfigurowanie systemu źródłowego, a linki do informacji specyficznych dla dostawcy i produktu możesz znaleźć na stronie każdego łącznika danych w portalu lub w sekcji poświęconej łącznikom danych usługi Microsoft Sentinel w dokumentacji.

Uwaga

Po pozyskaniu danych przez usługę Microsoft Sentinel, są one przechowywane w geograficznej lokalizacji obszaru roboczego, w którym działa Microsoft Sentinel.

W przypadku długoterminowego przechowywania można również przechowywać dane w typach dzienników, takich jak dzienniki pomocnicze. Aby uzyskać więcej informacji, zobacz Plany przechowywania dzienników w usłudze Microsoft Sentinel.
Użycie usługi Azure Functions do pozyskiwania danych do usługi Microsoft Sentinel może spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać więcej informacji, zobacz stronę cennika usługi Azure Functions.

Wymagania wstępne

Upewnij się, że masz następujące uprawnienia i poświadczenia przed użyciem usługi Azure Functions, aby połączyć usługę Microsoft Sentinel ze źródłem danych i ściągnąć jego dzienniki do usługi Microsoft Sentinel:

Musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Microsoft Sentinel.
Musisz mieć uprawnienia do odczytu do kluczy współdzielonych dla obszaru roboczego. Dowiedz się więcej o kluczach obszaru roboczego.
Aby utworzyć aplikację funkcji, musisz mieć uprawnienia do odczytu i zapisu w usłudze Azure Functions. Dowiedz się więcej o usłudze Azure Functions.
Do uzyskiwania dostępu do interfejsu API produktu będą również potrzebne poświadczenia — nazwa użytkownika i hasło, token, klucz lub inna kombinacja. Mogą być również potrzebne inne informacje o interfejsie API, takie jak identyfikator URI punktu końcowego.

Aby uzyskać więcej informacji, zobacz dokumentację usługi, z którą nawiązujesz połączenie, i sekcję dotyczącą usługi na stronie dokumentacji łączników danych usługi Microsoft Sentinel.
Zainstaluj rozwiązanie, które zawiera łącznik oparty na Azure Functions z Content Hub w programie Microsoft Sentinel. Aby uzyskać więcej informacji, zobacz Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią.

Konfigurowanie i łączenie źródła danych

Uwaga

Klucze autoryzacyjne obszaru roboczego i interfejsu API lub tokeny można bezpiecznie przechowywać w Azure Key Vault. Usługa Azure Key Vault zapewnia bezpieczny mechanizm przechowywania i pobierania wartości kluczy. Postępuj zgodnie z tymi instrukcjami , aby używać usługi Azure Key Vault z aplikacją funkcji platformy Azure.
Niektóre łączniki danych zależą od analizatora opartego na funkcji Kusto, która działa zgodnie z oczekiwaniami. Zobacz sekcję dotyczącą Twojej usługi na referencyjnej stronie łączników danych Microsoft Sentinel, aby uzyskać odnośniki do instrukcji dotyczących tworzenia funkcji Kusto i aliasu.

Krok 1: Uzyskaj poświadczenia API systemu źródłowego

Postępuj zgodnie z instrukcjami systemu źródłowego, aby uzyskać poświadczenia interfejsu API / klucze autoryzacji / tokeny. Skopiuj i wklej je do pliku tekstowego na później.

Szczegółowe informacje na temat dokładnych poświadczeń, których będziesz potrzebować, oraz linki do instrukcji Twojego produktu dotyczących ich znajdowania lub tworzenia, można znaleźć na stronie łącznika danych w portalu oraz w sekcji dla Twojej usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel.

Może być również konieczne skonfigurowanie rejestrowania lub innych ustawień w systemie źródłowym. Odpowiednie instrukcje znajdziesz razem z tymi w poprzednim akapicie.

Krok 2. Wdrażanie łącznika i skojarzonej aplikacji funkcji platformy Azure

Wybieranie opcji wdrożenia

Ta metoda umożliwia automatyczne wdrożenie łącznika opartego na platformie Azure Functions przy użyciu szablonu ARM.

W portalu usługi Microsoft Sentinel wybierz pozycję Łączniki danych. Wybierz łącznik oparty na Azure Functions z listy, a następnie Otwórz stronę łącznika.
W obszarze Konfiguracja skopiuj identyfikator obszaru roboczego usługi Microsoft Sentinel i klucz podstawowy i wklej je na bok.
Wybierz pozycję Wdróż na platformie Azure. (Może być konieczne przewinięcie w dół, aby znaleźć przycisk).
Pojawi się ekran niestandardowego wdrażania.
- Wybierz subskrypcję, grupę zasobów i region, w którym chcesz wdrożyć aplikację funkcji.
- Wprowadź poświadczenia interfejsu API / klucze autoryzacji / tokeny zapisane w kroku 1 powyżej.
- Wprowadź identyfikator obszaru roboczego i klucz obszaru roboczego usługi Microsoft Sentinel (klucz podstawowy), które zostały skopiowane i odłożone na bok.
  
  Uwaga
  
  Jeśli używasz sekretów usługi Azure Key Vault dla dowolnej z powyższych wartości, użyj @Microsoft.KeyVault(SecretUri={Security Identifier}) schematu zamiast wartości ciągu. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją referencyjną usługi Key Vault.
- Uzupełnij wszystkie inne pola w formularzu na ekranie niestandardowe wdrożenie. Zobacz stronę swojego łącznika danych w portalu lub sekcję dotyczącą Twojej usługi na stronie referencyjnej łączników danych Microsoft Sentinel.
- Wybierz pozycję Przejrzyj i utwórz. Po zakończeniu walidacji wybierz pozycję Utwórz.

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łączniki oparte na usłudze Azure Functions korzystające z funkcji programu PowerShell.

W portalu usługi Microsoft Sentinel wybierz pozycję Łączniki danych. Wybierz łącznik oparty na Azure Functions z listy, a następnie Otwórz stronę łącznika.
W obszarze Konfiguracja skopiuj identyfikator obszaru roboczego usługi Microsoft Sentinel i klucz podstawowy i wklej je na bok.
Utwórz aplikację funkcji
1. W portalu Azure wyszukaj i wybierz pozycję Function App.
2. Na stronie Aplikacja funkcji wybierz pozycję Utwórz. Otwarty zostanie kreator Tworzenie aplikacji funkcji.
3. Na karcie Podstawy :
  - Wybierz subskrypcję i grupę zasobów.
  - Nadaj aplikacji funkcji nazwę.
  - Ustaw stos (stack) środowiska uruchomieniowego na PowerShell Core.
  - Wybierz odpowiedni numer wersji.
  - Wybierz region, w którym chcesz wdrożyć, a następnie wybierz pozycję Dalej: Hosting.
4. Na karcie Hosting :
  - Wybierz konto magazynowe, którego chcesz użyć, lub utwórz nowe.
  - Wybierz pozycję Zużycie (bezserwerowe) jako typ planu.
5. Wprowadź inne potrzebne zmiany konfiguracji, a następnie wybierz pozycję Przejrzyj i utwórz.
6. Zaczekaj na komunikat "Weryfikacja przekazana", a następnie wybierz pozycję Utwórz.
7. Po zakończeniu wdrażania wybierz pozycję Przejdź do zasobu.
Importowanie kodu aplikacji funkcji
1. W nowo utworzonej aplikacji funkcji wybierz pozycję Funkcje z menu nawigacji.
2. Na stronie Funkcje wybierz pozycję + Dodaj.
3. W panelu Dodawanie funkcji wybierz wyzwalacz czasomierza.
4. Wprowadź unikatową nazwę funkcji i wprowadź wyrażenie cron , aby określić harmonogram. Domyślny interwał to co 5 minut.
5. Po utworzeniu funkcji wybierz pozycję Kod i testowanie w okienku po lewej stronie.
6. Pobierz kod aplikacji funkcji dostarczony przez dostawcę systemu źródłowego i skopiuj i wklej go do edytora Function Apprun.ps1, zastępując to, co znajduje się tam domyślnie. Możesz znaleźć link pobierania na stronie łącznika lub w sekcji dotyczącej twojej usługi na stronie z odniesieniami do łączników danych Microsoft Sentinel.
7. Wybierz pozycję Zapisz.
Skonfiguruj Funkcyjną Aplikację
1. Na stronie Aplikacji funkcji wybierz pozycję Konfiguracja w obszarze Ustawienia w menu nawigacji.
2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
3. Dodaj określone ustawienia aplikacji dla swojego produktu, każdy z przypisanymi indywidualnie wartościami ciągów znaków, z uwzględnieniem wielkości liter. Zobacz stronę łącznika danych lub sekcję dotyczącą Twojego produktu w odniesieniu do usługi na stronie referencyjnej łączników danych Microsoft Sentinel.
  
  Napiwek
  
  Jeśli ma to zastosowanie, użyj ustawienia aplikacji logAnalyticsUri, aby zastąpić punkt końcowy analizy dzienników API, jeśli korzystasz z dedykowanej chmury. Na przykład jeśli używasz chmury publicznej, pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.

Skorzystaj z poniższych instrukcji krok po kroku, aby ręcznie wdrożyć łączniki oparte na usłudze Azure Functions korzystające z funkcji języka Python. Tego rodzaju wdrożenie wymaga programu Visual Studio Code.

W portalu usługi Microsoft Sentinel wybierz pozycję Łączniki danych. Wybierz łącznik oparty na Azure Functions z listy, a następnie Otwórz stronę łącznika.
W obszarze Konfiguracja skopiuj identyfikator obszaru roboczego usługi Microsoft Sentinel i klucz podstawowy i wklej je na bok.
Wdrożyć aplikację funkcji

Uwaga

Musisz przygotować program Visual Studio Code (VS Code) do tworzenia funkcji platformy Azure.
1. Pobierz plik aplikacji funkcji Azure za pomocą linku podanego na stronie łącznika danych oraz w sekcji dotyczącej Twojej usługi na stronie referencyjnej łączników danych Microsoft Sentinel. Wyodrębnij archiwum na twój lokalny komputer dewelopera.
2. Uruchom program VS Code. Na pasku menu wybierz pozycję Plik > Otwórz folder....
3. Wybierz folder najwyższego poziomu z plików wyodrębnionych z archiwum.
4. Wybierz ikonę platformy Azure na pasku działań programu VS Code (po lewej stronie). Następnie w obszarze Azure: Functions wybierz przycisk Wdróż w aplikacji funkcji.
  
  Uwaga
  
  Jeśli jeszcze nie zalogowałeś się, wybierz ikonę platformy Azure na pasku działania. Następnie w obszarze Azure: Functions wybierz pozycję Zaloguj się do platformy Azure.
  Jeśli już się zalogowałeś, przejdź do następnego kroku.
5. Podaj następujące informacje po wyświetleniu monitów:
  - Wybierz folder: wybierz folder z obszaru roboczego lub przejdź do folderu zawierającego aplikację funkcji.
  - Wybierz subskrypcję: wybierz subskrypcję do użycia.
  - Wybierz pozycję Utwórz nową aplikację funkcji na platformie Azure. (Nie wybieraj Opcja zaawansowana ).
  - Wprowadź globalnie unikatową nazwę aplikacji funkcji: nadaj swojej aplikacji funkcji nazwę, która jest prawidłowa w ścieżce adresu URL. Wybrana nazwa zostanie zweryfikowana, aby upewnić się, że jest ona unikatowa w usłudze Azure Functions.
  - Wybierz środowisko uruchomieniowe: wybierz język Python 3.8.
6. Rozpocznie się wdrażanie. Po utworzeniu aplikacji funkcji i zastosowaniu pakietu wdrożeniowego zostanie wyświetlone powiadomienie.
7. Wróć do strony aplikacji funkcji, aby uzyskać informacje o konfiguracji.
Skonfiguruj Funkcyjną Aplikację
1. Na stronie Aplikacji funkcji wybierz pozycję Konfiguracja w obszarze Ustawienia w menu nawigacji.
2. Na karcie Ustawienia aplikacji wybierz pozycję + Nowe ustawienie aplikacji.
3. Dodaj określone ustawienia aplikacji dla swojego produktu, każdy z przypisanymi indywidualnie wartościami ciągów znaków, z uwzględnieniem wielkości liter. Zobacz stronę łącznika danych lub sekcję dotyczącą usługi na stronie referencyjnej łączników danych usługi Microsoft Sentinel, aby dodać ustawienia aplikacji.
  - Jeśli ma to zastosowanie, użyj ustawienia aplikacji logAnalyticsUri, aby zastąpić punkt końcowy analizy dzienników API, jeśli korzystasz z dedykowanej chmury. Na przykład jeśli używasz chmury publicznej, pozostaw wartość pustą; w przypadku środowiska chmury Azure GovUS określ wartość w następującym formacie: https://<CustomerId>.ods.opinsights.azure.us.

Znajdowanie danych

Po pomyślnym nawiązaniu połączenia dane są wyświetlane w Dzienniki pod CustomLogs, w tabelach wymienionych w sekcji dotyczącej Twojej usługi na stronie odniesienie do łączników danych Microsoft Sentinel.

Aby wykonywać zapytania dotyczące danych, wprowadź jedną z tych nazw tabel — lub odpowiedni alias funkcji Kusto — w oknie zapytania.

Zobacz kartę Następne kroki na stronie łącznika, aby zapoznać się z przydatnymi przykładowymi zapytaniami.

Weryfikowanie łączności

Wyświetlenie dzienników w usłudze Log Analytics może potrwać do 20 minut.

Następne kroki

W tym dokumencie przedstawiono sposób łączenia usługi Microsoft Sentinel ze źródłem danych przy użyciu łączników opartych na usłudze Azure Functions. Aby dowiedzieć się więcej o usłudze Microsoft Sentinel, zobacz następujące artykuły:

Dowiedz się, jak uzyskać wgląd w dane i potencjalne zagrożenia.
Rozpocznij wykrywanie zagrożeń za pomocą usługi Microsoft Sentinel.
Monitorowanie danych za pomocą skoroszytów .

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-04-09