Brug Azure Functions til at oprette forbindelse Microsoft Sentinel til datakilden

Du kan bruge Azure Functions sammen med forskellige kodesprog, f.eks. PowerShell eller Python, til at oprette en serverløs connector til REST API-slutpunkterne for dine kompatible datakilder. Azure Funktionsapps giver dig derefter mulighed for at oprette forbindelse Microsoft Sentinel til din datakildes REST API for at hente logge.

I denne artikel beskrives det, hvordan du konfigurerer Microsoft Sentinel til brug af Azure Funktionsapps. Du skal muligvis også konfigurere kildesystemet, og du kan finde leverandør- og produktspecifikke oplysningslinks på hver dataconnectorside på portalen eller sektionen for din tjeneste på referencesiden for Microsoft Sentinel dataconnectors.

Bemærk!

Når dataene er blevet indtaget til Microsoft Sentinel, gemmes de på den geografiske placering af det arbejdsområde, hvor du kører Microsoft Sentinel.

I forbindelse med langtidsopbevaring kan det også være en god idé at gemme data i logtyper, f.eks . hjælpelogge. Du kan få flere oplysninger under Logopbevaringsplaner i Microsoft Sentinel.
Hvis du bruger Azure Functions til at indføde data i Microsoft Sentinel kan det medføre yderligere omkostninger til dataindtagelse. Du kan finde flere oplysninger på siden med Azure Functions priser.

Forudsætninger

Sørg for, at du har følgende tilladelser og legitimationsoplysninger, før du bruger Azure Functions til at oprette forbindelse Microsoft Sentinel til datakilden, og træk loggene til Microsoft Sentinel:

Du skal have læse- og skrivetilladelser til det Microsoft Sentinel arbejdsområde.
Du skal have læserettigheder til delte nøgler for arbejdsområdet. Få mere at vide om arbejdsområdenøgler.
Du skal have læse- og skrivetilladelser til Azure Functions for at oprette en funktionsapp. Få mere at vide om Azure Functions.
Du skal også bruge legitimationsoplysninger for at få adgang til produktets API – enten et brugernavn og en adgangskode, et token, en nøgle eller en anden kombination. Du skal muligvis også bruge andre API-oplysninger, f.eks. en URI for slutpunktet.

Du kan få flere oplysninger i dokumentationen til den tjeneste, du opretter forbindelse til, og afsnittet om din tjeneste på referencesiden for Microsoft Sentinel dataconnectors.
Installér den løsning, der indeholder din Azure Functions-baserede connector, fra Content Hub i Microsoft Sentinel. Du kan finde flere oplysninger under Find og administrer Microsoft Sentinel indhold, der er klar til brug.

Konfigurer og opret forbindelse til datakilden

Bemærk!

Du kan gemme nøgler eller tokens til api-godkendelse på en sikker måde i Azure Key Vault. Azure Key Vault indeholder en sikker mekanisme til lagring og hentning af nøgleværdier. Følg disse instruktioner for at bruge Azure Key Vault sammen med en Azure-funktionsapp.
Nogle dataconnectors afhænger af en parser, der er baseret på en Kusto-funktion , for at fungere som forventet. Se afsnittet om din tjeneste på referencesiden for Microsoft Sentinel dataconnectors for at få links til instruktioner til oprettelse af funktionen Kusto og aliasset.

Azure Functions kørselskonfiguration

Bemærk!

Microsoft Sentinel connectorer, der bruger Azure Functions, omfatter forudkompilerede Python-afhængigheder. Azure Function App-kørsel, herunder Python-versionen, er forudkonfigureret i løsnings-ARM-skabelonen og bør ikke ændres.

Trin 1: Hent api-legitimationsoplysningerne for kildesystemet

Følg dit kildesystems instruktioner for at få dets API-legitimationsoplysninger/godkendelsesnøgler/tokens. Kopiér og indsæt dem i en tekstfil til senere.

Du kan finde oplysninger om de nøjagtige legitimationsoplysninger, du skal bruge, og links til dit produkts instruktioner til, hvordan du finder eller opretter dem, på dataconnectorsiden på portalen og i sektionen for din tjeneste på referencesiden for Microsoft Sentinel dataconnectors.

Du skal muligvis også konfigurere logføring eller andre indstillinger på kildesystemet. Du finder de relevante instruktioner sammen med dem i foregående afsnit.

Trin 2: Installér connectoren og den tilknyttede Azure-funktionsapp

Vælg en udrulningsindstilling

Denne metode leverer en automatisk udrulning af din Azure Funktionsbaserede connector ved hjælp af en ARM-skabelon.

Vælg Dataconnectors på Microsoft Sentinel-portalen. Vælg din Azure Functions-baserede connector på listen, og åbn derefter connectorsiden.
Under Konfiguration skal du kopiere det Microsoft Sentinel arbejdsområde-id og den primære nøgle og sætte dem til side.
Vælg Installér på Azure. Du skal muligvis rulle ned for at finde knappen.
Skærmen Brugerdefineret installation vises.
- Vælg et abonnement, en ressourcegruppe og et område , hvor du vil udrulle din funktionsapp.
- Angiv dine API-legitimationsoplysninger/godkendelsesnøgler/tokens, som du gemte i trin 1 ovenfor.
- Angiv dit Microsoft Sentinel arbejdsområde-id og din arbejdsområdenøgle (primær nøgle), som du har kopieret og lagt til side.
  
  Bemærk!
  
  Hvis du bruger Azure Key Vault hemmeligheder for en af ovenstående værdier, skal du bruge skemaet @Microsoft.KeyVault(SecretUri={Security Identifier}) i stedet for strengværdierne. Du kan finde flere oplysninger i dokumentationen til Key Vault referencer.
- Udfyld alle andre felter i formularen på skærmen Brugerdefineret installation . Se din dataconnectorside på portalen eller i sektionen for din tjeneste på referencesiden for Microsoft Sentinel dataconnectors.
- Vælg Gennemse + opret. Når valideringen er fuldført, skal du vælge Opret.

Brug følgende trinvise instruktioner til manuelt at installere Azure Functions-baserede connectors, der bruger PowerShell-funktioner.

Vælg Dataconnectors på Microsoft Sentinel-portalen. Vælg din Azure Functions-baserede connector på listen, og åbn derefter connectorsiden.
Under Konfiguration skal du kopiere det Microsoft Sentinel arbejdsområde-id og den primære nøgle og sætte dem til side.
Opret en funktionsapp
1. I Azure Portal skal du søge efter og vælge Funktionsapp.
2. På siden Funktionsapp skal du vælge Opret. Guiden Opret funktionsapp åbnes.
3. Under fanen Grundlæggende :
  - Vælg et abonnement og en ressourcegruppe.
  - Giv din funktionsapp et navn.
  - Angiv Runtime-stak til PowerShell Core.
  - Vælg det relevante versionsnummer.
  - Vælg det område , du vil installere i, og vælg derefter Næste : Vært.
4. Under fanen Hosting :
  - Vælg den Lagerkonto , du vil bruge, eller opret en ny.
  - Vælg Forbrug (serveruafhængig) som plantype.
5. Foretag eventuelle andre konfigurationsændringer, du har brug for, og vælg derefter Gennemse + opret.
6. Vent på meddelelsen "Validering sendt", og vælg derefter Opret.
7. Når installationen er fuldført, skal du vælge Gå til ressource.
Importér programkode for funktion
1. I den nyoprettede Funktionsapp skal du vælge Funktioner i navigationsmenuen.
2. På siden Funktioner skal du vælge + Tilføj.
3. Vælg udløseren Timer i panelet Tilføj funktion.
4. Angiv et entydigt navn til funktionen, og angiv et cron-udtryk for at angive tidsplanen. Standardintervallet er hvert 5. minut.
5. Når funktionen er blevet oprettet, skal du vælge Kode + Test i venstre rude.
6. Download den Function App Code, der leveres af kildesystemets leverandør, og kopiér og indsæt den i editoren Function Apprun.ps1 , der som standard erstatter det, der er der. Du kan finde downloadlinket på connectorsiden eller i sektionen for din tjeneste på referencesiden for Microsoft Sentinel dataconnectors.
7. Vælg Gem.
Konfigurer funktionsappen
1. På siden Funktionsapp skal du vælge Konfiguration under Indstillinger i navigationsmenuen.
2. Under fanen Programindstillinger skal du vælge + Ny programindstilling.
3. Tilføj de foreskrevne programindstillinger for dit produkt enkeltvist med deres respektive strengværdier, hvor der skelnes mellem store og små bogstaver. Se dataconnectorsiden eller afsnittet om dit produkt i sektionen for din tjeneste på referencesiden for Microsoft Sentinel dataconnectors.
  
  Tip
  
  Hvis det er relevant, skal du bruge programindstillingen logAnalyticsUri til at tilsidesætte API-slutpunktet for loganalyse, hvis du bruger en dedikeret sky. Så hvis du f.eks. bruger den offentlige cloud, skal du lade værdien være tom. for Azure GovUS-cloudmiljø skal du angive værdien i følgende format: https://<CustomerId>.ods.opinsights.azure.us.

Brug følgende trinvise instruktioner til manuelt at installere Azure Functions-baserede connectors, der bruger Python-funktioner. Denne type installation kræver Visual Studio Code.

Vælg Dataconnectors på Microsoft Sentinel-portalen. Vælg din Azure Functions-baserede connector på listen, og åbn derefter connectorsiden.
Under Konfiguration skal du kopiere det Microsoft Sentinel arbejdsområde-id og den primære nøgle og sætte dem til side.
Udrul en funktionsapp

Bemærk!

Du skal forberede Visual Studio Code (VS Code) til Azure funktionsudvikling.
1. Download filen Azure Function App ved hjælp af det link, der er angivet på dataconnectorsiden og i sektionen for din tjeneste på referencesiden for Microsoft Sentinel dataconnectors. Udpak arkivet på din lokale udviklingscomputer.
2. Start VS Code. På menulinjen skal du vælge Filer > Åbn mappe....
3. Vælg mappen på øverste niveau i de filer, der er udpakket fra arkivet.
4. Vælg ikonet Azure på linjen Aktivitet i VS Code (til venstre). Derefter skal du i området Azure: Functions vælge knappen Udrul for at fungere som app.
  
  Bemærk!
  
  Hvis du ikke allerede er logget på, skal du vælge ikonet Azure på aktivitetslinjen. Derefter skal du i området Azure: Functions vælge Log på for at Azure.
  Hvis du allerede er logget på, skal du gå til næste trin.
5. Angiv følgende oplysninger ved prompterne:
  - Vælg mappe: Vælg en mappe i arbejdsområdet, eller gå til en mappe, der indeholder funktionsappen.
  - Vælg abonnement: Vælg det abonnement, der skal bruges.
  - Vælg Opret ny funktionsapp i Azure. (Vælg ikke indstillingen Avanceret ).
  - Angiv et globalt entydigt navn til funktionsappen: Giv din funktionsapp et navn, der vil være gyldigt i en URL-sti. Det navn, du vælger, valideres for at sikre, at det er entydigt i hele Azure Functions.
  - Vælg en kørsel: Vælg Python 3.8.
6. Udrulningen starter. Der vises en meddelelse, når din funktionsapp er oprettet, og installationspakken anvendes.
7. Gå tilbage til siden med konfigurationen af din Funktionsapp.
Konfigurer funktionsappen
1. På siden Funktionsapp skal du vælge Konfiguration under Indstillinger i navigationsmenuen.
2. Under fanen Programindstillinger skal du vælge + Ny programindstilling.
3. Tilføj de foreskrevne programindstillinger for dit produkt enkeltvist med deres respektive strengværdier, hvor der skelnes mellem store og små bogstaver. Se siden med dataconnectoren eller sektionen for din tjeneste på referencesiden for Microsoft Sentinel dataconnectors for at få oplysninger om de programindstillinger, der skal tilføjes.
  - Hvis det er relevant, skal du bruge programindstillingen logAnalyticsUri til at tilsidesætte API-slutpunktet for loganalyse, hvis du bruger en dedikeret sky. Så hvis du f.eks. bruger den offentlige cloud, skal du lade værdien være tom. for Azure GovUS-cloudmiljø skal du angive værdien i følgende format: https://<CustomerId>.ods.opinsights.azure.us.

Find dine data

Når der er oprettet en forbindelse, vises dataene i Logge under CustomLogs i de tabeller, der er angivet i sektionen for din tjeneste på referencesiden for Microsoft Sentinel dataconnectors.

Hvis du vil forespørge om data, skal du angive et af disse tabelnavne – eller det relevante Kusto-funktionsalias – i forespørgselsvinduet.

Se fanen Næste trin på connectorsiden for at få vist nogle nyttige eksempelforespørgsler.

Valider forbindelse

Det kan tage op til 20 minutter, før dine logge vises i Log Analytics.

Næste trin

I dette dokument har du lært, hvordan du opretter forbindelse Microsoft Sentinel til din datakilde ved hjælp af Azure Functions-baserede connectors. Du kan få mere at vide om Microsoft Sentinel i følgende artikler:

Få mere at vide om, hvordan du får indsigt i dine data og potentielle trusler.
Kom i gang med at registrere trusler med Microsoft Sentinel.
Brug projektmapper til at overvåge dine data.

Feedback

Var denne side nyttig?

Last updated on 2026-04-23

Brug Azure Functions til at oprette forbindelse Microsoft Sentinel til datakilden

Forudsætninger

Konfigurer og opret forbindelse til datakilden

Azure Functions kørselskonfiguration

Trin 1: Hent api-legitimationsoplysningerne for kildesystemet

Trin 2: Installér connectoren og den tilknyttede Azure-funktionsapp

Vælg en udrulningsindstilling

Find dine data

Valider forbindelse

Næste trin

Feedback

Yderligere ressourcer