Usare Funzioni di Azure per connettersi Microsoft Sentinel all'origine dati

È possibile usare Funzioni di Azure, in combinazione con vari linguaggi di codifica, ad esempio PowerShell o Python, per creare un connettore serverless agli endpoint dell'API REST delle origini dati compatibili. Azure App per le funzioni consente quindi di connettersi Microsoft Sentinel all'API REST dell'origine dati per eseguire il pull nei log.

Questo articolo descrive come configurare Microsoft Sentinel per l'uso di app per le funzioni Azure. Potrebbe anche essere necessario configurare il sistema di origine ed è possibile trovare collegamenti informativi specifici del fornitore e del prodotto nella pagina di ogni connettore dati nel portale o nella sezione relativa al servizio nella pagina di riferimento Microsoft Sentinel connettori dati.

Nota

Una volta inseriti in Microsoft Sentinel, i dati vengono archiviati nella posizione geografica dell'area di lavoro in cui si esegue Microsoft Sentinel.

Per la conservazione a lungo termine, è anche possibile archiviare i dati nei tipi di log, ad esempio i log ausiliari. Per altre informazioni, vedere Piani di conservazione dei log in Microsoft Sentinel.
L'uso di Funzioni di Azure per inserire i dati in Microsoft Sentinel può comportare costi aggiuntivi per l'inserimento di dati. Per altre informazioni, vedere la pagina dei prezzi Funzioni di Azure.

Prerequisiti

Assicurarsi di disporre delle autorizzazioni e delle credenziali seguenti prima di usare Funzioni di Azure per connettersi Microsoft Sentinel all'origine dati ed eseguire il pull dei relativi log in Microsoft Sentinel:

È necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro Microsoft Sentinel.
È necessario disporre delle autorizzazioni di lettura per le chiavi condivise per l'area di lavoro. Altre informazioni sulle chiavi dell'area di lavoro.
Per creare un'app per le funzioni, è necessario disporre delle autorizzazioni di lettura e scrittura per Funzioni di Azure. Altre informazioni su Funzioni di Azure.
Saranno inoltre necessarie credenziali per accedere all'API del prodotto, ovvero un nome utente e una password, un token, una chiave o un'altra combinazione. Potrebbero essere necessarie anche altre informazioni sull'API, ad esempio un URI dell'endpoint.

Per altre informazioni, vedere la documentazione relativa al servizio a cui ci si sta connettendo e la sezione relativa al servizio nella pagina di riferimento Microsoft Sentinel connettori dati.
Installare la soluzione che contiene il connettore basato su Funzioni di Azure dall'hub contenuti in Microsoft Sentinel. Per altre informazioni, vedere Individuare e gestire Microsoft Sentinel contenuto predefinito.

Configurare e connettere l'origine dati

Nota

È possibile archiviare in modo sicuro le chiavi o i token di autorizzazione api e dell'area di lavoro in Azure Key Vault. Azure Key Vault fornisce un meccanismo sicuro per archiviare e recuperare i valori delle chiavi. Seguire queste istruzioni per usare Azure Key Vault con un'app per le funzioni Azure.
Alcuni connettori dati dipendono da un parser basato su una funzione Kusto per funzionare come previsto. Vedere la sezione relativa al servizio nella pagina di riferimento Microsoft Sentinel connettori dati per i collegamenti alle istruzioni per creare la funzione e l'alias Kusto.

configurazione del runtime Funzioni di Azure

Nota

Microsoft Sentinel connettori che usano Funzioni di Azure includono dipendenze Python precompilate. Il runtime dell'app per le funzioni Azure, inclusa la versione di Python, è preconfigurato nel modello arm della soluzione e non deve essere modificato.

Passaggio 1: Ottenere le credenziali API del sistema di origine

Seguire le istruzioni del sistema di origine per ottenere le credenziali dell'API, le chiavi di autorizzazione e i token. Copiarli e incollarli in un file di testo per un secondo momento.

È possibile trovare i dettagli sulle credenziali esatte necessarie e collegamenti alle istruzioni del prodotto per trovarle o crearle nella pagina del connettore dati nel portale e nella sezione relativa al servizio nella pagina di riferimento Microsoft Sentinel connettori dati.

Potrebbe anche essere necessario configurare la registrazione o altre impostazioni nel sistema di origine. Le istruzioni pertinenti sono disponibili insieme a quelle del paragrafo precedente.

Passaggio 2: Distribuire il connettore e l'app per le funzioni Azure associata

Scegliere un'opzione di distribuzione

Questo metodo fornisce una distribuzione automatizzata del connettore basato su funzione Azure usando un modello di Resource Manager.

Nel portale Microsoft Sentinel selezionare Connettori dati. Selezionare il connettore basato su Funzioni di Azure dall'elenco e quindi aprire la pagina Del connettore.
In Configurazione copiare l'ID dell'area di lavoro Microsoft Sentinel e la chiave primaria e incollarli da parte.
Selezionare Distribuisci per Azure. Potrebbe essere necessario scorrere verso il basso per trovare il pulsante.
Verrà visualizzata la schermata Distribuzione personalizzata .
- Selezionare una sottoscrizione, un gruppo di risorse e un'area in cui distribuire l'app per le funzioni.
- Immettere le credenziali dell'API, le chiavi di autorizzazione e i token salvati nel passaggio 1 precedente.
- Immettere il Microsoft Sentinel ID area di lavoro e la chiave dell'area di lavoro (chiave primaria) copiati e messi da parte.
  
  Nota
  
  Se si usano Azure Key Vault segreti per uno qualsiasi dei valori precedenti, usare lo @Microsoft.KeyVault(SecretUri={Security Identifier}) schema al posto dei valori stringa. Per altre informazioni, vedere Key Vault documentazione di riferimento.
- Completare tutti gli altri campi del modulo nella schermata Distribuzione personalizzata . Vedere la pagina del connettore dati nel portale o la sezione relativa al servizio nella pagina di riferimento Microsoft Sentinel connettori dati.
- Seleziona Rivedi + Crea. Al termine della convalida, selezionare Crea.

Usare le istruzioni dettagliate seguenti per distribuire manualmente i connettori basati su Funzioni di Azure che usano funzioni di PowerShell.

Nel portale Microsoft Sentinel selezionare Connettori dati. Selezionare il connettore basato su Funzioni di Azure dall'elenco e quindi aprire la pagina Del connettore.
In Configurazione copiare l'ID dell'area di lavoro Microsoft Sentinel e la chiave primaria e incollarli da parte.
Creare un'app per le funzioni
1. Nel portale di Azure cercare e selezionare App per le funzioni.
2. Nella pagina App per le funzioni selezionare Crea. Verrà aperta la procedura guidata Crea app per le funzioni.
3. Nella scheda Nozioni di base :
  - Selezionare una sottoscrizione e un gruppo di risorse.
  - Assegnare un nome all'app per le funzioni.
  - Impostare Stack di runtime su PowerShell Core.
  - Selezionare il numero di versione appropriato.
  - Selezionare l'area in cui si vuole distribuire e quindi selezionare Avanti: Hosting.
4. Nella scheda Hosting :
  - Scegliere l'account di archiviazione da usare o crearne uno nuovo.
  - Selezionare Consumo (serverless) come tipo di piano.
5. Apportare tutte le altre modifiche di configurazione necessarie, quindi selezionare Rivedi e crea.
6. Attendere il messaggio "Convalida superata", quindi selezionare Crea.
7. Al termine della distribuzione, selezionare Vai alla risorsa.
Importare il codice dell'app per le funzioni
1. Nell'app per le funzioni appena creata selezionare Funzioni dal menu di spostamento.
2. Nella pagina Funzioni selezionare + Aggiungi.
3. Nel pannello Aggiungi funzione selezionare il trigger Timer .
4. Immettere un nome univoco per la funzione e immettere un'espressione cron per specificare la pianificazione. L'intervallo predefinito è ogni 5 minuti.
5. Dopo aver creato la funzione, selezionare Codice e test nel riquadro sinistro.
6. Scaricare il codice dell'app per le funzioni fornito dal fornitore del sistema di origine e copiarlo e incollarlo nell'editor run.ps1dell'app per le funzioni, sostituendo gli elementi disponibili per impostazione predefinita. È possibile trovare il collegamento per il download nella pagina del connettore o nella sezione relativa al servizio nella pagina di riferimento Microsoft Sentinel connettori dati.
7. Seleziona Salva.
Configurare l'app per le funzioni
1. Nella pagina dell'app per le funzioni selezionare Configurazione in Impostazioni nel menu di spostamento.
2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.
3. Aggiungere le impostazioni dell'applicazione prescritte per il prodotto singolarmente, con i rispettivi valori stringa con distinzione tra maiuscole e minuscole. Vedere la pagina del connettore dati o la sezione del prodotto della sezione relativa al servizio nella pagina di riferimento Microsoft Sentinel connettori dati.
  
  Consiglio
  
  Se applicabile, usare l'impostazione dell'applicazione logAnalyticsUri per eseguire l'override dell'endpoint dell'API log analytics se si usa un cloud dedicato. Quindi, ad esempio, se si usa il cloud pubblico, lasciare il valore vuoto; per Azure ambito cloud GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

Usare le istruzioni dettagliate seguenti per distribuire manualmente i connettori basati su Funzioni di Azure che usano funzioni Python. Questo tipo di distribuzione richiede Visual Studio Code.

Nel portale Microsoft Sentinel selezionare Connettori dati. Selezionare il connettore basato su Funzioni di Azure dall'elenco e quindi aprire la pagina Del connettore.
In Configurazione copiare l'ID dell'area di lavoro Microsoft Sentinel e la chiave primaria e incollarli da parte.
Distribuire un'app per le funzioni

Nota

Sarà necessario preparare Visual Studio Code (VS Code) per lo sviluppo di funzioni Azure.
1. Scaricare il file Azure app per le funzioni usando il collegamento fornito nella pagina del connettore dati e nella sezione relativa al servizio nella pagina di riferimento Microsoft Sentinel connettori dati. Estrarre l'archivio nel computer di sviluppo locale.
2. Avviare VS Code. Nella barra dei menu selezionare File > Apri cartella....
3. Selezionare la cartella di primo livello dai file estratti dall'archivio.
4. Scegliere l'icona Azure nella barra attività di VS Code (a sinistra). Quindi, nell'area Azure: Funzioni scegliere il pulsante Distribuisci nell'app per le funzioni.
  
  Nota
  
  Se non è già stato eseguito l'accesso, scegliere l'icona Azure nella barra attività. Quindi, nell'area Azure: Funzioni scegliere Accedi a Azure.
  Se si è già connessi, passare al passaggio successivo.
5. Fornire le informazioni seguenti alle richieste:
  - Seleziona cartella: scegliere una cartella dall'area di lavoro o passare a una cartella che contiene l'app per le funzioni.
  - Selezionare la sottoscrizione: scegliere la sottoscrizione da usare.
  - Selezionare Crea nuova app per le funzioni in Azure. Non scegliere l'opzione Avanzate .
  - Immettere un nome univoco globale per l'app per le funzioni: assegnare all'app per le funzioni un nome valido in un percorso URL. Il nome scelto verrà convalidato per assicurarsi che sia univoco in Funzioni di Azure.
  - Selezionare un runtime: scegliere Python 3.8.
6. Verrà avviata la distribuzione. Una notifica viene visualizzata dopo la creazione dell'app per le funzioni e l'applicazione del pacchetto di distribuzione.
7. Tornare alla pagina dell'app per le funzioni per la configurazione.
Configurare l'app per le funzioni
1. Nella pagina dell'app per le funzioni selezionare Configurazione in Impostazioni nel menu di spostamento.
2. Nella scheda Impostazioni applicazione selezionare + Nuova impostazione applicazione.
3. Aggiungere le impostazioni dell'applicazione prescritte per il prodotto singolarmente, con i rispettivi valori stringa con distinzione tra maiuscole e minuscole. Per le impostazioni dell'applicazione da aggiungere, vedere la pagina del connettore dati o la sezione relativa al servizio nella pagina di riferimento Microsoft Sentinel connettori dati.
  - Se applicabile, usare l'impostazione dell'applicazione logAnalyticsUri per eseguire l'override dell'endpoint dell'API log analytics se si usa un cloud dedicato. Quindi, ad esempio, se si usa il cloud pubblico, lasciare il valore vuoto; per Azure ambito cloud GovUS, specificare il valore nel formato seguente: https://<CustomerId>.ods.opinsights.azure.us.

Trovare i dati

Dopo aver stabilito una connessione corretta, i dati vengono visualizzati in Log in CustomLogs, nelle tabelle elencate nella sezione relativa al servizio nella pagina di riferimento Microsoft Sentinel connettori dati.

Per eseguire query sui dati, immettere uno di questi nomi di tabella o l'alias della funzione Kusto pertinente nella finestra della query.

Per alcune query di esempio utili, vedere la scheda Passaggi successivi nella pagina del connettore.

Convalidare la connettività

La visualizzazione dei log in Log Analytics può richiedere fino a 20 minuti.

Passaggi successivi

In questo documento si è appreso come connettersi Microsoft Sentinel all'origine dati usando connettori basati su Funzioni di Azure. Per altre informazioni su Microsoft Sentinel, vedere gli articoli seguenti:

Informazioni su come ottenere visibilità sui dati e sulle potenziali minacce.
Introduzione al rilevamento delle minacce con Microsoft Sentinel.
Usare le cartelle di lavoro per monitorare i dati.

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-23

Usare Funzioni di Azure per connettersi Microsoft Sentinel all'origine dati

Prerequisiti

Configurare e connettere l'origine dati

configurazione del runtime Funzioni di Azure

Passaggio 1: Ottenere le credenziali API del sistema di origine

Passaggio 2: Distribuire il connettore e l'app per le funzioni Azure associata

Scegliere un'opzione di distribuzione

Trovare i dati

Convalidare la connettività

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive