Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Microsoft Sentinel biedt een breed scala aan kant-en-klare connectors voor Azure services en externe oplossingen, en ondersteunt ook het opnemen van gegevens uit sommige bronnen zonder een toegewezen connector.
Als u uw gegevensbron niet kunt verbinden met Microsoft Sentinel met behulp van een van de beschikbare oplossingen, kunt u overwegen om uw eigen gegevensbronconnector te maken.
Zie Uw Microsoft Sentinel gegevensconnector zoeken) voor een volledige lijst met ondersteunde connectors.
Aangepaste connectormethoden vergelijken
In de volgende tabel worden essentiële details over elke methode voor het maken van aangepaste connectors vergeleken die in dit artikel worden beschreven. Selecteer de koppelingen in de tabel voor meer informatie over elke methode.
| Methodebeschrijving | Functie | Serverloos | Complexiteit |
|---|---|---|---|
|
Codeless Connector Framework (CCF) Het beste voor minder technische doelgroepen om SaaS-connectors te maken met behulp van een configuratiebestand in plaats van geavanceerde ontwikkeling. |
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. | Ja | Lage; eenvoudige, codeloze ontwikkeling |
|
agent voor Azure bewaken Het meest geschikt voor het verzamelen van bestanden van on-premises en IaaS-bronnen |
Bestandsverzameling, gegevenstransformatie | Nee | Laag |
|
Logstash Geschikt voor on-premises en IaaS-bronnen, elke bron waarvoor een invoegtoepassing beschikbaar is en organisaties die al bekend zijn met Logstash |
Ondersteunt alle mogelijkheden van de Azure Monitor-agent | No; vereist dat een VM of VM-cluster wordt uitgevoerd | Lage; ondersteunt veel scenario's met invoegtoepassingen |
|
Logic Apps Hoge kosten; vermijden voor gegevens met een groot volume Het meest geschikt voor cloudbronnen met een laag volume |
Programmeren zonder code biedt beperkte flexibiliteit, zonder ondersteuning voor het implementeren van algoritmen. Als er geen beschikbare actie al aan uw vereisten voldoet, kan het maken van een aangepaste actie complexiteit toevoegen. |
Ja | Lage; eenvoudige, codeloze ontwikkeling |
|
Logboekopname-API in Azure Monitor Het meest geschikt voor ISV's die integratie implementeren en voor unieke verzamelingsvereisten |
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. | Afhankelijk van de implementatie | Hoog |
|
Azure Functions Geschikt voor cloudbronnen met een groot volume en voor unieke verzamelingsvereisten |
Ondersteunt alle mogelijkheden die beschikbaar zijn met de code. | Ja | Hoge; vereist programmeerkennis |
Tip
Zie voor vergelijkingen van het gebruik van Logic Apps en Azure Functions voor dezelfde connector:
- Snel opnemen Web Application Firewall aanmelden bij Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub-community): Connector voor | logische apps Azure functieconnector
Verbinding maken met het Codeless Connector Framework
Het Codeless Connector Framework (CCF) biedt een configuratiebestand dat kan worden gebruikt door zowel klanten als partners en vervolgens kan worden geïmplementeerd in uw eigen werkruimte, of als een oplossing voor de inhoudshub van Microsoft Sentinel.
Connectors die zijn gemaakt met behulp van de CCF zijn volledig SaaS, zonder vereisten voor service-installaties, en bevatten ook statusbewaking en volledige ondersteuning van Microsoft Sentinel.
Zie Een connector zonder code maken voor Microsoft Sentinel voor meer informatie.
Verbinding maken met de Azure Monitor-agent
Als uw gegevensbron gebeurtenissen in tekstbestanden levert, wordt u aangeraden de Azure Monitor-agent te gebruiken om uw aangepaste connector te maken.
Zie Logboeken uit een tekstbestand verzamelen met Azure Monitor-agent voor meer informatie.
Zie Logboeken verzamelen uit een JSON-bestand met Azure Monitor-agent voor een voorbeeld van deze methode.
Verbinding maken met Logstash
Als u bekend bent met Logstash, kunt u Logstash gebruiken met de Logstash-uitvoerinvoegtoepassing voor Microsoft Sentinel om uw aangepaste connector te maken.
Met de invoegtoepassing Microsoft Sentinel Logstash Output kunt u alle Logstash-invoer- en filterinvoegtoepassingen gebruiken en Microsoft Sentinel configureren als de uitvoer voor een Logstash-pijplijn. Logstash heeft een grote bibliotheek met invoegtoepassingen waarmee invoer uit verschillende bronnen mogelijk is, zoals Event Hubs, Apache Kafka, Files, databases en cloudservices. Gebruik filterinvoegtoepassingen om gebeurtenissen te parseren, onnodige gebeurtenissen te filteren, waarden te verbergen en meer.
Zie voor voorbeelden van het gebruik van Logstash als een aangepaste connector:
- Zoeken naar TTL's van Capital One-inbreuk in AWS-logboeken met behulp van Microsoft Sentinel (blog)
- Implementatiehandleiding voor Radware Microsoft Sentinel
Zie voor voorbeelden van nuttige Logstash-invoegtoepassingen:
- Cloudwatch-invoerinvoegtoepassing
- Azure Event Hubs-invoegtoepassing
- Google Cloud Storage-invoerinvoegtoepassing
- Google_pubsub-invoerinvoegtoepassing
Tip
Logstash maakt ook het schalen van gegevensverzameling met behulp van een cluster mogelijk. Zie Een Logstash-VM op schaal met gelijke taakverdeling gebruiken voor meer informatie.
Verbinding maken met Logic Apps
Gebruik Azure Logic Apps om een serverloze, aangepaste connector te maken voor Microsoft Sentinel.
Opmerking
Hoewel het maken van serverloze connectors met behulp van Logic Apps handig kan zijn, kan het gebruik van Logic Apps voor uw connectors kostbaar zijn voor grote hoeveelheden gegevens.
We raden u aan deze methode alleen te gebruiken voor gegevensbronnen met een laag volume of voor het verrijken van uw gegevensuploads.
Gebruik een van de volgende triggers om uw Logic Apps te starten:
Trigger Beschrijving Een terugkerende taak Plan bijvoorbeeld uw logische app om regelmatig gegevens op te halen uit specifieke bestanden, databases of externe API's.
Zie Terugkerende taken en werkstromen maken, plannen en uitvoeren in Azure Logic Apps voor meer informatie.Activeren op aanvraag Voer uw logische app op aanvraag uit voor het handmatig verzamelen en testen van gegevens.
Zie Logische apps aanroepen, activeren of nesten met https-eindpunten voor meer informatie.HTTP/S-eindpunt Aanbevolen voor streaming en als het bronsysteem de gegevensoverdracht kan starten.
Zie Service-eindpunten aanroepen via HTTP of HTTPS voor meer informatie.Gebruik een van de logische app-connectors die informatie lezen om uw gebeurtenissen op te halen. Bijvoorbeeld:
- Verbinding maken met een REST API
- Verbinding maken met een SQL Server
- Verbinding maken met een bestandssysteem
Tip
Aangepaste connectors voor REST API's, SQL-servers en bestandssystemen bieden ook ondersteuning voor het ophalen van gegevens uit on-premises gegevensbronnen. Zie Documentatie voor on-premises gegevensgateway installeren voor meer informatie.
Bereid de informatie voor die u wilt ophalen.
Gebruik bijvoorbeeld de actie JSON parseren om toegang te krijgen tot eigenschappen in JSON-inhoud, zodat u deze eigenschappen kunt selecteren in de lijst met dynamische inhoud wanneer u invoer voor uw logische app opgeeft.
Zie Gegevensbewerkingen uitvoeren in Azure Logic Apps voor meer informatie.
Schrijf de gegevens naar Log Analytics.
Zie de documentatie Azure Log Analytics Data Collector voor meer informatie.
Zie voor voorbeelden van hoe u een aangepaste connector kunt maken voor Microsoft Sentinel met behulp van Logic Apps:
- Een gegevenspijplijn maken met de Data Collector-API
- Palo Alto Prisma Logic App-connector met behulp van een webhook (Microsoft Sentinel GitHub-community)
- Uw Microsoft Teams-gesprekken beveiligen met geplande activering (blog)
- Opname van AlienVault OTX-bedreigingsindicatoren in Microsoft Sentinel (blog)
Verbinding maken met de Logboekopname-API
U kunt gebeurtenissen streamen naar Microsoft Sentinel met behulp van de Gegevensverzamelaar-API van Log Analytics om rechtstreeks een RESTful-eindpunt aan te roepen.
Hoewel het aanroepen van een RESTful-eindpunt rechtstreeks meer programmering vereist, biedt het ook meer flexibiliteit.
Zie de volgende artikelen voor meer informatie:
- Logboekopname-API in Azure Monitor.
- Voorbeeldcode voor het verzenden van gegevens naar Azure Monitor met behulp van logboekopname-API.
Verbinding maken met Azure Functions
Gebruik Azure Functions samen met een RESTful-API en verschillende coderingstalen, zoals PowerShell, om een serverloze aangepaste connector te maken.
Zie voor voorbeelden van deze methode:
- Uw VMware Carbon Black Cloud Endpoint Standard verbinden met Microsoft Sentinel met Azure-functie
- Uw Okta Single Sign-On verbinden met Microsoft Sentinel met Azure-functie
- Uw Proofpoint TAP verbinden met Microsoft Sentinel met Azure-functie
- Uw Qualys-VM verbinden met Microsoft Sentinel met Azure-functie
- XML-, CSV- of andere indelingen van gegevens opnemen
- Zoomen bewaken met Microsoft Sentinel (blog)
- Een functie-app implementeren voor het ophalen van Office 365 Management-API-gegevens in Microsoft Sentinel (Microsoft Sentinel GitHub-community)
Uw aangepaste connectorgegevens parseren
Als u wilt profiteren van de gegevens die met uw aangepaste connector worden verzameld, ontwikkelt u ASIM-parsers (Advanced Security Information Model) voor gebruik met uw connector. Als u ASIM gebruikt, kunnen de ingebouwde inhoud van Microsoft Sentinel uw aangepaste gegevens gebruiken en kunnen analisten eenvoudiger query's uitvoeren op de gegevens.
Als uw connectormethode dit toestaat, kunt u een deel van de parsering implementeren als onderdeel van de connector om de prestaties van het parseren van querytijd te verbeteren:
- Als u Logstash hebt gebruikt, gebruikt u de Grok-filterinvoegtoepassing om uw gegevens te parseren.
- Als u een Azure-functie hebt gebruikt, parseert u uw gegevens met code.
U moet nog steeds ASIM-parsers implementeren, maar het rechtstreeks implementeren van een deel van de parsering met de connector vereenvoudigt het parseren en verbetert de prestaties.
Volgende stappen
Gebruik de gegevens die zijn opgenomen in Microsoft Sentinel om uw omgeving te beveiligen met een van de volgende processen: