Gebruik Azure Functions om Microsoft Sentinel te verbinden met uw gegevensbron

Deze methode biedt een geautomatiseerde implementatie van uw Azure functieconnector met behulp van een ARM-sjabloon.

1. Selecteer gegevensconnectors in de Microsoft Sentinel-portal. Selecteer de connector op basis van Azure Functions in de lijst en vervolgens de pagina Connector openen.

2. Kopieer onder Configuratie de Microsoft Sentinel werkruimte-id en primaire sleutel en plak deze opzij.

3. Selecteer Implementeren in Azure. (Mogelijk moet u omlaag schuiven om de knop te vinden.)

4. Het scherm Aangepaste implementatie wordt weergegeven.

   • Selecteer een abonnement, resourcegroep en regio waarin u uw functie-app wilt implementeren.

   • Voer uw API-referenties/autorisatiesleutels/tokens in die u in stap 1 hierboven hebt opgeslagen.

   • Voer uw Microsoft Sentinel Werkruimte-id en Werkruimtesleutel (primaire sleutel) in die u hebt gekopieerd en opzij hebt gezet.

     Opmerking

     Als u Azure Key Vault geheimen gebruikt voor een van de bovenstaande waarden, gebruikt u het @Microsoft.KeyVault(SecretUri={Security Identifier}) schema in plaats van de tekenreekswaarden. Raadpleeg de documentatie over Key Vault verwijzingen voor meer informatie.

   • Vul alle andere velden in het formulier in op het scherm Aangepaste implementatie . Zie de pagina van uw gegevensconnector in de portal of de sectie voor uw service op de referentiepagina Microsoft Sentinel gegevensconnectors.

   • Selecteer Beoordelen en maken. Wanneer de validatie is voltooid, selecteert u Maken.

Gebruik de volgende stapsgewijze instructies om handmatig Azure Functions-connectors te implementeren die gebruikmaken van PowerShell-functies.

1. Selecteer gegevensconnectors in de Microsoft Sentinel-portal. Selecteer de connector op basis van Azure Functions in de lijst en vervolgens de pagina Connector openen.

2. Kopieer onder Configuratie de Microsoft Sentinel werkruimte-id en primaire sleutel en plak deze opzij.

3. Een functie-app maken

   1. Zoek en selecteer functie-app in de Azure Portal.

   2. Selecteer maken op de pagina Functie-app. De wizard Functie-app maken wordt geopend.

   3. Op het tabblad Basisbeginselen :

      • Selecteer een abonnement en resourcegroep.
      • Geef uw functie-app een naam.
      • Stel Runtime-stack in op PowerShell Core.
      • Selecteer het juiste versienummer.
      • Selecteer de regio waarin u wilt implementeren en selecteer vervolgens Volgende: Hosting.

   4. Op het tabblad Hosting :

      • Kies het opslagaccount dat u wilt gebruiken of maak een nieuw account.
      • Selecteer Verbruik (serverloos) als abonnementstype.

   5. Breng eventuele andere configuratiewijzigingen aan die u nodig hebt en selecteer vervolgens Beoordelen en maken.

   6. Wacht tot het bericht 'Validatie is geslaagd' en selecteer vervolgens Maken.

   7. Wanneer de implementatie is voltooid, selecteert u Ga naar resource.

4. Code voor functie-app importeren

   1. Selecteer in de zojuist gemaakte functie-app de optie Functies in het navigatiemenu.

   2. Selecteer op de pagina Functionsde optie + Toevoegen.

   3. Selecteer in het deelvenster Functie toevoegen de trigger Timer .

   4. Voer een unieke naam in voor uw functie en voer een cron-expressie in om de planning op te geven. Het standaardinterval is elke 5 minuten.

   5. Wanneer de functie is gemaakt, selecteert u Code + Test in het linkerdeelvenster.

   6. Download de functie-app-code die is geleverd door de leverancier van uw bronsysteem en kopieer en plak deze in de run.ps1-editor van de functie-app, waarbij u vervangt wat er standaard aanwezig is. U vindt de downloadkoppeling op de connectorpagina of in de sectie voor uw service op de referentiepagina Microsoft Sentinel gegevensconnectors.

   7. Klik op Opslaan.

5. De functie-app configureren

   1. Selecteer configuratie onder Instellingen in het navigatiemenu op de pagina van uw functie-app.

   2. Selecteer op het tabblad Toepassingsinstellingende optie + Nieuwe toepassingsinstelling.

   3. Voeg de voorgeschreven toepassingsinstellingen voor uw product afzonderlijk toe, met de bijbehorende hoofdlettergevoelige tekenreekswaarden. Zie de gegevensconnectorpagina of de sectie van uw product van de sectie voor uw service op de referentiepagina Microsoft Sentinel gegevensconnectors.

      Tip

      Gebruik indien van toepassing de toepassingsinstelling logAnalyticsUri om het eindpunt van de Log Analytics-API te overschrijven als u een toegewezen cloud gebruikt. Als u bijvoorbeeld de openbare cloud gebruikt, laat u de waarde leeg. geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling: https://<CustomerId>.ods.opinsights.azure.us.

Gebruik de volgende stapsgewijze instructies om handmatig Azure Functions connectors te implementeren die gebruikmaken van Python-functies. Voor dit type implementatie is Visual Studio Code vereist.

1. Selecteer gegevensconnectors in de Microsoft Sentinel-portal. Selecteer de connector op basis van Azure Functions in de lijst en vervolgens de pagina Connector openen.

2. Kopieer onder Configuratie de Microsoft Sentinel werkruimte-id en primaire sleutel en plak deze opzij.

3. Een functie-app implementeren

   Opmerking

   U moet Visual Studio Code (VS Code) voorbereiden op Azure-functieontwikkeling.

   1. Download het bestand Azure Functie-app via de koppeling op de pagina van de gegevensconnector en in de sectie voor uw service op de referentiepagina Microsoft Sentinel gegevensconnectors. Pak het archief uit op uw lokale ontwikkelcomputer.

   2. Start VS Code. Selecteer In de menubalk de optie Map > openen....

   3. Selecteer de map op het hoogste niveau uit de bestanden die uit het archief zijn geëxtraheerd.

   4. Kies het pictogram Azure op de balk VS Code-activiteit (aan de linkerkant). Kies vervolgens in het gebied Azure: Functies de knop Implementeren naar functie-app.

      Opmerking

      Als u nog niet bent aangemeld, kiest u het pictogram Azure op de activiteitsbalk. Kies vervolgens in het gebied Azure: Functionsde optie Aanmelden bij Azure.
      Als u al bent aangemeld, gaat u naar de volgende stap.

   5. Geef de volgende informatie op bij de prompts:

      • Map selecteren: kies een map in uw werkruimte of blader naar een map met uw functie-app.
      • Abonnement selecteren: kies het abonnement dat u wilt gebruiken.
      • Selecteer Nieuwe functie-app maken in Azure. (Kies niet de optie Geavanceerd .)
      • Voer een globaal unieke naam in voor de functie-app: Geef uw functie-app een naam die geldig is in een URL-pad. De naam die u kiest, wordt gevalideerd om ervoor te zorgen dat deze uniek is in Azure Functions.
      • Selecteer een runtime: Kies Python 3.8.

   6. De implementatie wordt gestart. Er wordt een melding weergegeven nadat uw functie-app is gemaakt en het implementatiepakket is toegepast.

   7. Ga terug naar de pagina van uw functie-app voor configuratie.

4. De functie-app configureren

   1. Selecteer configuratie onder Instellingen in het navigatiemenu op de pagina van uw functie-app.

   2. Selecteer op het tabblad Toepassingsinstellingende optie + Nieuwe toepassingsinstelling.

   3. Voeg de voorgeschreven toepassingsinstellingen voor uw product afzonderlijk toe, met de bijbehorende hoofdlettergevoelige tekenreekswaarden. Zie de pagina gegevensconnector of de sectie voor uw service op de referentiepagina Microsoft Sentinel gegevensconnectors voor de toepassingsinstellingen die u wilt toevoegen.

      • Gebruik indien van toepassing de toepassingsinstelling logAnalyticsUri om het eindpunt van de Log Analytics-API te overschrijven als u een toegewezen cloud gebruikt. Als u bijvoorbeeld de openbare cloud gebruikt, laat u de waarde leeg. geef voor Azure GovUS-cloudomgeving de waarde op in de volgende indeling: https://<CustomerId>.ods.opinsights.azure.us.