Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Microsoft Sentinel tarjoaa laajan valikoiman käyttövalmiita liittimiä Azure palveluille ja ulkoisille ratkaisuille. Lisäksi se tukee tietojen käsittelyä joistakin lähteistä ilman erillistä liitintä.
Jos et pysty yhdistämään tietolähdettä Microsoft Sentinel käyttämällä olemassa olevia ratkaisuja, harkitse oman tietolähdeliittimen luomista.
Täydellinen luettelo tuetuista liittimistä on kohdassa Etsi Microsoft Sentinel tietoyhdistin).
Mukautettujen liitinmenetelmien vertailu
Seuraavassa taulukossa verrataan olennaisia tietoja kustakin menetelmästä tässä artikkelissa kuvattujen mukautettujen liittimien luomiseksi. Saat lisätietoja kustakin menetelmästä valitsemalla taulukon linkit.
| Menetelmän kuvaus | Valmiudet | Palvelimettomat palvelimet | Monimutkaisuus |
|---|---|---|---|
|
Kooditon liitinkehys (CCF) Paras vähemmän teknisille käyttäjäryhmille luoda SaaS-liittimiä määritystiedoston avulla edistyneen kehityksen sijaan. |
Tukee kaikkia koodin käytettävissä olevia ominaisuuksia. | Kyllä | Alhainen; yksinkertainen, koodaton kehitys |
|
Azure monitoriagentti Soveltuu parhaiten paikallisten ja IaaS-lähteiden tiedostojen keräämiseen |
Tiedostokokoelma, tietojen muuntaminen | Ei | Alhainen |
|
Lokitiedosto Sopii parhaiten paikallisille ja IaaS-lähteille, mille tahansa lähteelle, johon laajennus on saatavilla, ja organisaatioille, jotka ovat jo perehtyneet Logstashiin |
Tukee kaikkia Azure Monitor Agentin ominaisuuksia | Ei; edellyttää VM- tai VM-klusterin suorittamista | Alhainen; tukee monia skenaarioita laajennuksia käyttämällä |
|
Logic Apps Korkeat kustannukset; vältä suuren määrän tietoja Sopii parhaiten pienen volyymin pilvilähteisiin |
Kooditon ohjelmointi mahdollistaa rajoitetun joustavuuden ilman tukea algoritmien toteuttamiselle. Jos mikään käytettävissä oleva toiminto ei tue jo vaatimuksiasi, mukautetun toiminnon luominen voi lisätä monimutkaisuutta. |
Kyllä | Alhainen; yksinkertainen, koodaton kehitys |
|
Log Ingestion API in Azure Monitor Sopii parhaiten ohjelmistotoimittajille, jotka toteuttavat integrointia, ja yksilöllisiä keräysvaatimuksia varten |
Tukee kaikkia koodin käytettävissä olevia ominaisuuksia. | Riippuu toteutuksesta | Korkea |
|
Azure-funktiot Sopii parhaiten suuren volyymin pilvilähteisiin ja yksilöllisiä keräysvaatimuksia varten |
Tukee kaikkia koodin käytettävissä olevia ominaisuuksia. | Kyllä | Korkea; edellyttää ohjelmointiosaamista |
Vihje
Jos haluat vertailla Logic Appsin ja Azure-funktiot käyttöä samassa liittimessä, katso:
- Sisäänotto nopeasti verkkosovelluksen palomuuri kirjautuu Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub-yhteisö): Logic App -yhdistin | Azure Function-yhdistin
Koodittoman liitinkehyksen avulla yhdistäminen
CCF (Codeless Connector Framework) tarjoaa määritystiedoston, jota sekä asiakkaat että kumppanit voivat käyttää ja joka otetaan sitten käyttöön omassa työtilassasi tai ratkaisuna Microsoft Sentinel sisältökeskukseen.
CCF:n avulla luodut liittimet ovat täysin SaaS-liittimiä ilman palveluasennuksia koskevia vaatimuksia, ja ne sisältävät myös kunnon seurannan ja täyden tuen Microsoft Sentinel.
Lisätietoja on artikkelissa Koodittoman liittimen luominen Microsoft Sentinel varten.
Yhteyden muodostaminen Azure tarkkailuagentin kanssa
Jos tietolähteesi toimittaa tapahtumia tekstitiedostoissa, suosittelemme, että luot mukautetun liittimesi valvonta-agentin Azure avulla.
Lisätietoja on artikkelissa Lokien kerääminen tekstitiedostosta Azure Monitor Agentin kanssa.
Esimerkki tästä menetelmästä on artikkelissa Lokien kerääminen JSON-tiedostosta Azure Monitor Agentin kanssa.
Yhteyden muodostaminen Logstash-tunnuksen avulla
Jos Logstash on sinulle tuttu, kannattaa ehkä luoda mukautettu liitin Logstash-laajennuksen ja Logstash-lähtölaajennuksen avulla Microsoft Sentinel.
Microsoft Sentinel Logstash Output -laajennuksen avulla voit käyttää mitä tahansa Logstash-syötettä ja suodatuslaajennuksia ja määrittää Microsoft Sentinel Logstash-putken tulosteena. Logstash sisältää suuren kirjaston laajennuksia, jotka mahdollistavat syötteen eri lähteistä, kuten tapahtumatoiminnoista, Apache Kafkasta, Files, tietokannoista ja pilvipalveluista. Suodatuslaajennusten avulla voit jäsentää tapahtumia, suodattaa tarpeettomia tapahtumia, hämärtää arvoja ja paljon muuta.
Esimerkkejä Logstashin käyttämisestä mukautettuna liittimenä on seuraavissa aiheissa:
- Capital One Breach TTP:den metsästys AWS-lokeissa Microsoft Sentinel avulla (blogi)
- Radware Microsoft Sentinel toteutusopas
Katso esimerkkejä hyödyllisistä Logstash-laajennuksista seuraavista ohjeaiheista:
- Cloudwatch-syötelaajennus
- Azure tapahtumatoimintolaajennus
- Google Cloud Storagen syötelaajennus
- Google_pubsub syöttölaajennus
Vihje
Logstash mahdollistaa myös skaalatun tiedonkeruun klusterin avulla. Lisätietoja on artikkelissa Kuormituksen mukaan tasapainotetun Logstash-näennäiskoneen käyttäminen mittakaavassa.
Yhteyden muodostaminen Logic Appsin avulla
Azure Logic Appsin avulla voit luoda palvelimettoman mukautetun liittimen Microsoft Sentinel.
Huomautus
Vaikka Palvelimettomien liittimien luominen Logic Appsin avulla voi olla kätevää, Logic Appsin käyttäminen liittimille voi olla kallista suurille tietomäärille.
Suosittelemme, että käytät tätä menetelmää vain pienissä tietolähteissä tai täydennät tietojen latauksia.
Käynnistä Logic Apps jollakin seuraavista käynnistimistä:
Laukaista Kuvaus Toistuva tehtävä Voit esimerkiksi ajoittaa Logic Appin noutamaan tietoja säännöllisesti tietyistä tiedostoista, tietokannoista tai ulkoisista ohjelmointirajapinnoista.
Lisätietoja on artikkelissa Toistuvien tehtävien ja työnkulkujen luominen, ajoittaminen ja suorittaminen Azure Logic Appsissa.Pyydettäessä suoritettava käynnistys Suorita Logic App pyydettäessä manuaalista tietojen keräämistä ja testausta varten.
Lisätietoja on artikkelissa Kutsu-, käynnistin- tai sisäkkäiset logiikkasovellukset HTTPS-päätepisteiden avulla.HTTP/S-päätepiste Suositellaan suoratoistoon ja siihen, voiko lähdejärjestelmä aloittaa tiedonsiirron.
Lisätietoja on artikkelissa Puhelupalvelun päätepisteet HTTP: n tai HTTPS: n kautta.Voit käyttää mitä tahansa Logic App -yhdistimiä, jotka lukevat tietoja tapahtumien hakemiseksi. Esimerkki:
- Yhteyden muodostaminen REST-ohjelmointirajapintaan
- Yhteyden muodostaminen SQL Server
- Yhteyden muodostaminen tiedostojärjestelmään
Vihje
Mukautetut liittimet REST-ohjelmointirajapintoihin, SQL-palvelimiin ja tiedostojärjestelmiin tukevat myös tietojen noutamista paikallisista tietolähteistä. Lisätietoja on paikallisen tietoyhdyskäytävän asentamisen dokumentaatiossa.
Valmistele noudettavat tiedot.
Voit esimerkiksi käyttää JSON-sisällön ominaisuuksia Jäsennä JSON -toiminnolla , jonka avulla voit valita nämä ominaisuudet dynaamisen sisällön luettelosta, kun määrität syötteitä Logic Appille.
Lisätietoja on artikkelissa Tietotoimintojen suorittaminen Azure Logic Appsissa.
Kirjoita tiedot Log Analytics -kirjaan.
Lisätietoja on Azure Log Analytics Data Collector -dokumentaatiossa.
Esimerkkejä mukautetun liittimen luomisesta Microsoft Sentinel Logic Appsin avulla on seuraavissa sovelluksissa:
- Tietoputken luominen tiedonkeruutyökalun ohjelmointirajapinnan avulla
- Palo Alto Prisma Logic App -liitin webhookin (Microsoft Sentinel GitHub-yhteisön) avulla
- Microsoft Teams -puhelujen suojaaminen ajoitetussa aktivoinnissa (blogi)
- AlienVault OTX-uhkailmaisimien käyttö Microsoft Sentinel (blogi)
Yhteyden muodostaminen Log Ingestion -ohjelmointirajapinnan avulla
Voit suoratoistaa tapahtumia Microsoft Sentinel käyttämällä Log Analytics Data Collector -ohjelmointirajapintaa restful-päätepisteen kutsumiseen suoraan.
Vaikka RESTful-päätepisteen kutsuminen suoraan edellyttää enemmän ohjelmointia, se tarjoaa myös enemmän joustavuutta.
Lisätietoja on seuraavissa artikkeleissa:
- Kirjaa tietojen käsittelyrajapinta Azure näyttöön.
- Mallikoodi tietojen lähettämiseen Azure Monitoriin lokien käsittely -ohjelmointirajapinnan avulla.
Yhteyden muodostaminen Azure-funktiot
Luo palvelimeton mukautettu liitin käyttämällä Azure-funktiot yhdessä RESTful-ohjelmointirajapinnan ja eri koodauskielten, kuten PowerShellin, kanssa.
Esimerkkejä tästä menetelmästä on seuraavissa aiheissa:
- Yhdistä VMware Carbon Black Cloud -Standard Microsoft Sentinel Azure Functionilla
- Okta Single Sign-On yhdistäminen Microsoft Sentinel Azure-funktiolla
- Proofpoint-napautuksen yhdistäminen Microsoft Sentinel Azure-funktiolla
- Qualys-näennäiskoneen yhdistäminen Microsoft Sentinel Azure-funktiolla
- Xml-, CSV- tai muiden tietomuotojen käyttö
- Zoomauksen valvonta Microsoft Sentinel avulla (blogi)
- Ota käyttöön funktiosovellus Office 365 hallinnan ohjelmointirajapinnan tietojen saamiseksi Microsoft Sentinel (Microsoft Sentinel GitHub-yhteisössä)
Mukautetun liittimen tietojen jäsentäminen
Jos haluat hyödyntää mukautetulla liittimellä kerättyjä tietoja, kehitä ASIM (Advanced Security Information Model) -jäsentimet , jotka toimivat liittimesi kanssa. ASIM:n avulla Microsoft Sentinel sisäinen sisältö voi käyttää mukautettuja tietojasi ja analyytikot voivat tehdä tietoihin kyselyjä.
Jos liitinmenetelmäsi sallii sen, voit ottaa osan jäsennystä käyttöön osana yhdistintä kyselyajan jäsennystehon parantamiseksi:
- Jos olet käyttänyt Logstash-toimintoa, käytä Grok-suodatinlaajennusta tietosi jäsentämiseen.
- Jos olet käyttänyt Azure funktiota, jäsennä tietosi koodilla.
Sinun on edelleen otettava KÄYTTÖÖN ASIM-jäsennykset, mutta jäsennyksen osan toteuttaminen suoraan liittimen avulla yksinkertaistaa jäsennystä ja parantaa suorituskykyä.
Seuraavat vaiheet
Voit suojata ympäristösi seuraavilla prosesseilla käyttämällä Microsoft Sentinel tuotuja tietoja: