Uso de Azure Functions para conectar Microsoft Sentinel al origen de datos

Puede usar Azure Functions, junto con varios lenguajes de codificación, como PowerShell o Python, para crear un conector sin servidor en los puntos de conexión de la API REST de los orígenes de datos compatibles. Azure Function Apps permite conectar Microsoft Sentinel a la API REST del origen de datos para extraer registros.

En este artículo se describe cómo configurar Microsoft Sentinel para usar Azure Function Apps. Es posible que también tenga que configurar el sistema de origen y puede encontrar vínculos de información específicos del proveedor y del producto en la página de cada conector de datos en el portal o en la sección del servicio en la página de referencia de conectores de datos Microsoft Sentinel.

Nota:

Una vez ingeridos en Microsoft Sentinel, los datos se almacenan en la ubicación geográfica del área de trabajo en la que se ejecuta Microsoft Sentinel.

Para la retención a largo plazo, es posible que también desee almacenar datos en tipos de registro, como registros auxiliares. Para obtener más información, consulte Planes de retención de registros en Microsoft Sentinel.
El uso de Azure Functions para ingerir datos en Microsoft Sentinel puede dar lugar a costos adicionales de ingesta de datos. Para obtener más información, consulte la página de precios de Azure Functions.

Requisitos previos

Asegúrese de que tiene los siguientes permisos y credenciales antes de usar Azure Functions para conectar Microsoft Sentinel al origen de datos y extraer sus registros en Microsoft Sentinel:

Debe tener permisos de lectura y escritura en el área de trabajo de Microsoft Sentinel.
Debe tener permisos de lectura para las claves compartidas del área de trabajo. Más información sobre las claves del área de trabajo.
Debe tener permisos de lectura y escritura en Azure Functions para crear una aplicación de funciones. Más información sobre Azure Functions.
También necesitará credenciales para acceder a la API del producto: un nombre de usuario y una contraseña, un token, una clave o alguna otra combinación. También puede necesitar otra información de API, como un URI de punto de conexión.

Para obtener más información, consulte la documentación del servicio al que se va a conectar y la sección del servicio en la página de referencia de conectores de datos Microsoft Sentinel.
Instale la solución que contiene el conector basado en Azure Functions desde el Centro de contenido en Microsoft Sentinel. Para obtener más información, consulte Detección y administración de Microsoft Sentinel contenido integrado.

Configuración y conexión del origen de datos

Nota:

Puede almacenar de forma segura el área de trabajo y las claves de autorización de API o los tokens en Azure Key Vault. Azure Key Vault proporciona un mecanismo seguro para almacenar y recuperar valores de clave. Siga estas instrucciones para usar Azure Key Vault con una aplicación de funciones de Azure.
Algunos conectores de datos dependen de un analizador basado en una función kusto para que funcione según lo esperado. Consulte la sección del servicio en la página de referencia de conectores de datos Microsoft Sentinel para obtener vínculos a las instrucciones para crear la función y el alias de Kusto.

Azure Functions configuración en tiempo de ejecución

Nota:

Microsoft Sentinel conectores que usan Azure Functions incluyen dependencias de Python precompiladas. El entorno de ejecución Azure Function App, incluida la versión de Python, está preconfigurado en la plantilla de ARM de la solución y no se debe modificar.

Paso 1: Obtención de las credenciales de API del sistema de origen

Siga las instrucciones del sistema de origen para obtener sus credenciales de API, claves de autorización o tokens. Cópielos y péguelos en un archivo de texto para más adelante.

Puede encontrar detalles sobre las credenciales exactas que necesitará y vínculos a las instrucciones del producto para buscarlas o crearlas, en la página del conector de datos del portal y en la sección del servicio en la página de referencia de conectores de datos Microsoft Sentinel.

También puede que tenga que configurar el registro u otras opciones en el sistema de origen. Encontrará las instrucciones pertinentes junto con las del párrafo anterior.

Paso 2: Implementación del conector y la aplicación de funciones Azure asociada

Elegir una opción de implementación

Este método proporciona una implementación automatizada del conector basado en funciones de Azure mediante una plantilla de ARM.

En el portal de Microsoft Sentinel, seleccione Conectores de datos. Seleccione el conector basado en Azure Functions de la lista y, a continuación, abra la página del conector.
En Configuración, copie el identificador del área de trabajo de Microsoft Sentinel y la clave principal y péguelos a un lado.
Seleccione Implementar en Azure. (Es posible que tenga que desplazarse hacia abajo para encontrar el botón).
Aparecerá la pantalla Implementación personalizada .
- Seleccione una suscripción, un grupo de recursos y una región en la que implementar la aplicación de funciones.
- Escriba las credenciales de API, las claves de autorización o los tokens que guardó en el paso 1 anterior.
- Escriba el identificador de área de trabajo de Microsoft Sentinel y la clave del área de trabajo (clave principal) que copió y dejó a un lado.
  
  Nota:
  
  Si usa Azure Key Vault secretos para cualquiera de los valores anteriores, use el @Microsoft.KeyVault(SecretUri={Security Identifier}) esquema en lugar de los valores de cadena. Consulte Key Vault documentación de referencias para obtener más detalles.
- Complete cualquier otro campo del formulario en la pantalla Implementación personalizada . Consulte la página del conector de datos en el portal o la sección del servicio en la página de referencia de conectores de datos Microsoft Sentinel.
- Seleccione Revisar y crear. Cuando se complete la validación, seleccione Crear.

Use las siguientes instrucciones paso a paso para implementar manualmente conectores basados en Azure Functions que usan funciones de PowerShell.

En el portal de Microsoft Sentinel, seleccione Conectores de datos. Seleccione el conector basado en Azure Functions de la lista y, a continuación, abra la página del conector.
En Configuración, copie el identificador del área de trabajo de Microsoft Sentinel y la clave principal y péguelos a un lado.
Creación de una aplicación de funciones
1. En el Azure Portal, busque y seleccione Aplicación de funciones.
2. En la página Aplicación de funciones , seleccione Crear. Se abrirá el Asistente para crear aplicación de funciones.
3. En la pestaña Aspectos básicos :
  - Seleccione una suscripción y un grupo de recursos.
  - Asigne un nombre a la aplicación de funciones.
  - Establezca Pila en tiempo de ejecución en PowerShell Core.
  - Seleccione el número de versión adecuado.
  - Seleccione la región en la que desea implementar y, a continuación, seleccione Siguiente: Hospedaje.
4. En la pestaña Hospedaje :
  - Elija la cuenta de almacenamiento que desea usar o cree una nueva.
  - Seleccione Consumo (sin servidor) como tipo de plan.
5. Realice cualquier otro cambio de configuración que necesite y, a continuación, seleccione Revisar y crear.
6. Espere el mensaje "Validación pasada" y, a continuación, seleccione Crear.
7. Cuando se complete la implementación, seleccione Ir al recurso.
Importar código de aplicación de función
1. En la aplicación de funciones recién creada, seleccione Funciones en el menú de navegación.
2. En la página Funciones , seleccione + Agregar.
3. En el panel Agregar función , seleccione el desencadenador Temporizador .
4. Escriba un nombre único para la función y escriba una expresión cron para especificar la programación. El intervalo predeterminado es cada 5 minutos.
5. Cuando se haya creado la función, seleccione Código y prueba en el panel izquierdo.
6. Descargue el código de la aplicación de funciones proporcionado por el proveedor del sistema de origen y cópielo y péguelo en el editor de function apprun.ps1, reemplazando lo que hay de forma predeterminada. Puede encontrar el vínculo de descarga en la página del conector o en la sección del servicio en la página de referencia de Microsoft Sentinel conectores de datos.
7. Haga clic en Guardar.
Configuración de la aplicación de funciones
1. En la página de function app, seleccione Configuración en Configuración en el menú de navegación.
2. En la pestaña Configuración de la aplicación , seleccione + Nueva configuración de aplicación.
3. Agregue la configuración de aplicación prescrita para el producto individualmente, con sus respectivos valores de cadena que distinguen mayúsculas de minúsculas. Consulte la página del conector de datos o la sección del producto de la sección del servicio en la página de referencia de Microsoft Sentinel conectores de datos.
  
  Sugerencia
  
  Si procede, use la configuración de la aplicación logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics si usa una nube dedicada. Por ejemplo, si usa la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

Use las siguientes instrucciones paso a paso para implementar manualmente conectores basados en Azure Functions que usan funciones de Python. Este tipo de implementación requiere Visual Studio Code.

En el portal de Microsoft Sentinel, seleccione Conectores de datos. Seleccione el conector basado en Azure Functions de la lista y, a continuación, abra la página del conector.
En Configuración, copie el identificador del área de trabajo de Microsoft Sentinel y la clave principal y péguelos a un lado.
Implementación de una aplicación de funciones

Nota:

Tendrá que preparar Visual Studio Code (VS Code) para el desarrollo de Azure Function.
1. Descargue el archivo Azure Function App mediante el vínculo proporcionado en la página del conector de datos y en la sección del servicio en la página de referencia de Microsoft Sentinel conectores de datos. Extraiga el archivo en el equipo de desarrollo local.
2. Inicie VS Code. En la barra de menús, seleccione Archivo > Abrir carpeta....
3. Seleccione la carpeta de nivel superior de los archivos extraídos del archivo.
4. Elija el icono Azure en la barra actividad de VS Code (a la izquierda). A continuación, en el área Azure: Funciones, elija el botón Implementar en la aplicación de funciones.
  
  Nota:
  
  Si aún no ha iniciado sesión, elija el icono de Azure en la barra de actividad. A continuación, en el área Azure: Funciones, elija Iniciar sesión para Azure.
  Si ya ha iniciado sesión, vaya al paso siguiente.
5. Proporcione la siguiente información en los mensajes:
  - Seleccionar carpeta: elija una carpeta del área de trabajo o vaya a una carpeta que contenga la aplicación de funciones.
  - Seleccionar suscripción: elija la suscripción que se va a usar.
  - Seleccione Crear nueva aplicación de funciones en Azure. (No elija la opción Avanzadas ).
  - Escriba un nombre único global para la aplicación de funciones: asigne a la aplicación de funciones un nombre que sería válido en una ruta de acceso url. El nombre que elija se validará para asegurarse de que es único a lo largo de Azure Functions.
  - Seleccione un entorno de ejecución: elija Python 3.8.
6. Se iniciará la implementación. Se muestra una notificación después de crear la aplicación de funciones y aplicar el paquete de implementación.
7. Vuelva a la página de function app para la configuración.
Configuración de la aplicación de funciones
1. En la página de function app, seleccione Configuración en Configuración en el menú de navegación.
2. En la pestaña Configuración de la aplicación , seleccione + Nueva configuración de aplicación.
3. Agregue la configuración de aplicación prescrita para el producto individualmente, con sus respectivos valores de cadena que distinguen mayúsculas de minúsculas. Consulte la página del conector de datos o la sección del servicio en la página de referencia de conectores de datos Microsoft Sentinel para ver la configuración de la aplicación que se va a agregar.
  - Si procede, use la configuración de la aplicación logAnalyticsUri para invalidar el punto de conexión de la API de Log Analytics si usa una nube dedicada. Por ejemplo, si usa la nube pública, deje el valor vacío; para Azure entorno en la nube de GovUS, especifique el valor en el formato siguiente: https://<CustomerId>.ods.opinsights.azure.us.

Búsqueda de los datos

Una vez establecida una conexión correcta, los datos aparecen en Registros en CustomLogs, en las tablas enumeradas en la sección del servicio en la página de referencia de conectores de datos Microsoft Sentinel.

Para consultar datos, escriba uno de esos nombres de tabla (o el alias de función Kusto pertinente) en la ventana de consulta.

Consulte la pestaña Pasos siguientes de la página del conector para ver algunas consultas de ejemplo útiles.

Validación de la conectividad

Los registros pueden tardar hasta 20 minutos en aparecer en Log Analytics.

Pasos siguientes

En este documento, ha aprendido a conectar Microsoft Sentinel al origen de datos mediante conectores basados en Azure Functions. Para obtener más información sobre Microsoft Sentinel, consulte los artículos siguientes:

Obtenga información sobre cómo obtener visibilidad sobre los datos y las posibles amenazas.
Empiece a detectar amenazas con Microsoft Sentinel.
Use libros para supervisar los datos.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-23

Uso de Azure Functions para conectar Microsoft Sentinel al origen de datos

Requisitos previos

Configuración y conexión del origen de datos

Azure Functions configuración en tiempo de ejecución

Paso 1: Obtención de las credenciales de API del sistema de origen

Paso 2: Implementación del conector y la aplicación de funciones Azure asociada

Elegir una opción de implementación

Búsqueda de los datos

Validación de la conectividad

Pasos siguientes

Comentarios

Recursos adicionales