Federatieve gegevensconnectors instellen in Microsoft Sentinel data lake

In dit artikel wordt uitgelegd hoe u federatieve gegevensconnectors configureert om query's op externe gegevensbronnen uit de Microsoft Sentinel Data Lake in te schakelen. U kunt federeren met Azure Databricks, Azure Data Lake Storage (ADLS) Gen 2 en Microsoft Fabric.

Vereisten

Voordat u gegevensfederatie instelt, moet u voldoen aan de volgende vereisten:

  • Sentinel data lake-onboarding: uw tenant moet worden ge onboardd naar de Sentinel Data Lake. Zie Onboard to Microsoft Sentinel data lake (Onboarden naar Microsoft Sentinel data lake) voor meer informatie.

  • Openbare toegankelijkheid: De externe bron moet openbaar toegankelijk zijn. Privé-eindpunten worden momenteel niet ondersteund.

  • Service-principal: een service-principal met de juiste machtigingen in de gegevensbron waarmee u verbinding wilt maken, is vereist voor Azure Databricks- en Azure Data Lake Storage Gen2-bronnen. Zie Microsoft Entra ID app-registraties voor meer informatie.

  • Azure Key Vault: er is een Azure Key Vault geconfigureerd met het clientgeheim van de service-principal vereist. De Microsoft Sentinel toepassings-id heeft machtigingen nodig die zijn toegewezen aan de sleutelkluis. Zie Azure Sleutelkluizen voor meer informatie over het configureren van Azure Sleutelkluizen.

  • Microsoft Sentinel machtigingen: machtigingen voor gegevens (beheren) voor systeemtabellen om een connector voor gegevensfederatie te configureren. Zie Rollen en machtigingen in het Microsoft Sentinel-platform voor meer informatie.

Een service-principal maken

Voor Azure Databricks- en ADLS Gen 2-federatie hebt u een service-principal nodig met toegangsreferenties die zijn opgeslagen in Azure Key Vault. U kunt een bestaande service-principal gebruiken of de volgende stappen gebruiken om een nieuwe service-principal te maken.

  1. Een Microsoft Entra ID-toepassingsregistratie maken:

    1. Navigeer in de Azure Portal naar Microsoft Entra ID>App-registraties.
    2. Selecteer Nieuwe registratie.
    3. Voer een naam in voor de toepassing.
    4. Laat de omleidings-URI leeg (niet vereist voor dit scenario).
    5. Selecteer Registreren.

  2. Een clientgeheim maken:

    1. Ga in uw app-registratie naar Certificaten & geheimen.
    2. Selecteer Nieuw clientgeheim.
    3. Voer een beschrijving in en selecteer een verloopperiode.
    4. Kies Toevoegen.
    5. Kopieer de waarde van het clientgeheim onmiddellijk voor gebruik in de volgende sectie. U kunt deze waarde niet meer ophalen nadat u de pagina hebt verlaten.

  3. Noteer de toepassingsdetails:

    • Toepassings-id (client)
    • Object-id
    • Map-id (tenant)

Zie Microsoft Entra ID app-registraties voor meer informatie over het maken van service-principals.

Een Azure Key Vault maken en referenties opslaan

U kunt een bestaande Azure Key Vault gebruiken en de onderstaande stappen uitvoeren om Key Vault toegang te configureren of een nieuwe Key Vault maken met behulp van de volgende stappen:

  1. Een Azure Key Vault maken:

    1. Maak in de Azure Portal een nieuwe Azure Key Vault.
    2. Gebruik het machtigingsmodel Azure op rollen gebaseerd toegangsbeheer (aanbevolen).
    3. Schakel beveiligingsinstellingen voor voorlopig verwijderen en opschonen in voor de sleutelkluis.
    4. Noteer de Key Vault URI na het maken.

  2. Key Vault toegang configureren:

    1. Wijs de rol Key Vault Geheimengebruiker toe aan de beheerde identiteit van het Microsoft Sentinel-platform. De identiteit wordt voorafgegaan door msg-resources-.
    2. Als u toegangsbeleid voor Key Vaults gebruikt in plaats van Azure op rollen gebaseerd toegangsbeheer, geeft u de machtigingen op voor Ophalen en Weergeven voor bewerkingen voor geheim beheer.

  3. Sla het clientgeheim op in Key Vault:

    1. Ga in uw Key Vault naar Geheimen>genereren/importeren.
    2. Maak een nieuw geheim met het clientgeheim van de service-principal.
    3. Noteer de geheime naam. Deze wordt gebruikt bij het configureren van het exemplaar van de gegevensfederatieconnector.

Zie Azure Sleutelkluizen voor meer informatie over het configureren van Azure Sleutelkluizen.

Federatieve gegevensconnectors

Federatieve connectors worden beheerd op de pagina Gegevensconnectors in Microsoft Sentinel in de Defender-portal.

  1. Navigeer naar Microsoft Sentinel>Configuratiegegevensconnectors>.

  2. Selecteer onder Gegevensfederatiede optie Catalogus om de beschikbare federatieve connectors weer te geven.

    Op de cataloguspagina wordt het volgende weergegeven:

    • Beschikbare typen federatieconnector
    • Aantal geconfigureerde exemplaren voor elke connector
    • Informatie over uitgever en ondersteuning

    Schermopname van de catalogus met gegevensfederatie met beschikbare connectors.

  3. Selecteer de pagina Mijn connectors om alle geconfigureerde connectorexemplaren weer te geven. De pagina bevat de gegevensfederatieconnector-exemplaren van uw tenant, samen met hun weergavenaam, versie, status en ondersteuningsprovider.

  4. Selecteer elk exemplaar om details weer te geven, configuraties te bewerken of het exemplaar te verwijderen.

Schermopname van de pagina Mijn connectors met geconfigureerde federatie-exemplaren.

Een connectorexemplaren maken

Het proces voor het maken van een connectorexemplaren is afhankelijk van de externe gegevensbron waarmee u verbinding maakt. Volg de instructies voor uw specifieke gegevensbrontype.

Een Microsoft Fabric-connectorexemplaren maken

Voordat u het exemplaar van de Fabric-connector configureert, moet u machtigingen instellen in de Microsoft Fabric-omgeving om Microsoft Sentinel toegang te geven tot de gegevens.

  • Configureer de beheerdersinstellingen in Microsoft Fabric zodat de tenant is ingeschakeld voor het delen van externe gegevens. Zie Een externe gegevensshare maken voor meer informatie

  • Configureer de beheerdersinstellingen in Microsoft Fabric, zodat de instelling is ingeschakeld voor service-principals die openbare Fabric-API's kunnen aanroepen. Zie Service-principals kunnen openbare Fabric-API's aanroepen voor meer informatie

  • Voeg de Sentinel-platformidentiteit toe, voorafgegaan door msg-resources- als werkruimtelid in het Lakehouse van waaruit u tabellen wilt federeren. Zie Toegang verlenen tot werkruimten voor meer informatie.

  1. Selecteer op de pagina Gegevensfederatiecatalogus> de rij Microsoft Fabric.

  2. Selecteer een connector verbinden in het zijpaneel.

  3. Geef de volgende gegevens op:

    Veld Beschrijving
    Exemplaarnaam Een beschrijvende naam voor dit connectorexemplaren. Deze instantienaam wordt vanuit dit exemplaar toegevoegd aan de tabellen die in de lake worden weergegeven.
    Id van infrastructuurwerkruimte Id van de infrastructuurwerkruimte die moet worden gefedereerd. Wanneer u naar de infrastructuurwerkruimte of Lakehouse navigeert, bevindt de werkruimte-id zich in de URL na /groups/
    Tabel-id lakehouse Id van de tabel Fabric Lakehouse die moet worden gefedereerd. Wanneer u naar het lakehouse fabric navigeert, wordt de lakehouse-id weergegeven in de URL na /lakehouses/.

  4. Selecteer Volgende.

    Schermopname van het formulier Microsoft Fabric-verbindingsgegevens.

  5. Selecteer de tabellen die u wilt federeren.

  6. Selecteer Volgende.

  7. Controleer de configuratie van het federatiedoel.

  8. Selecteer Verbinding maken om het verbindingsexemplaren te maken.

Opmerking

De bestanden in uw doelgegevensbron moeten een delta parquet-indeling hebben om te kunnen worden gelezen vanuit de Sentinel Data Lake.

Tabellen van uw connectorexemplaren controleren

Nadat u een connectorexemplaren hebt gemaakt, controleert u of de tabellen die u hebt gefedereerd, beschikbaar zijn in Microsoft Sentinel.

  1. Navigeer naar Microsoft Sentinel > Configuratietabellen>.

  2. Filter op Type Federatief om alle federatieve tabellen weer te geven.

  3. Zoek op de naam van het connectorexemplaren.

  4. Tabellen van uw connectorexemplaren worden weergegeven met hun naam, gevolgd door _instance name. Als de naam van het exemplaar van uw gegevensconnector bijvoorbeeld was GlobalHRData en de tabel was aangeroepen hrlogs, wordt de tabelnaam weergegeven als hrlogs_GlobalHRData.

  5. Selecteer een tabel in de lijst om het detailvenster te openen.

  6. Selecteer het tabblad Overzicht om het tabeltype en de federatieprovider weer te geven.

  7. Selecteer het tabblad Gegevensbron om de gegevensprovider van het connectorexemplaren en het bronproduct voor de tabel weer te geven. Als u de naam van het connectorexemplaren selecteert, gaat u naar dat exemplaar in Mijn connectors binnen Gegevensconnectors.

  8. Selecteer het tabblad Schema om het tabelschema weer te geven.

  9. Selecteer vernieuwen op het tabblad Schema om het tabelschema te vernieuwen dat is gekoppeld aan de federatieve tabel.

Schermopname van het federatieve tabelschema.

Connectorexemplaren beheren

Een connectorexemplaren wijzigen of verwijderen:

  1. Ga naar de pagina Gegevensfederatie>Mijn connectors.
  2. Selecteer het connectorexemplaren dat u wilt beheren.
  3. Gebruik in het detailvenster de beschikbare opties om het volgende te doen:
    • Verbindingsinstellingen bewerken
    • Federatieve tabellen toevoegen of verwijderen
    • Het connectorexemplaren verwijderen

Opmerking

Microsoft Fabric-verbindingsexemplaren bieden geen ondersteuning voor bewerken. U kunt een nieuwe federatieve verbinding maken om meer tabellen toe te voegen, of u kunt het exemplaar van de Infrastructuurverbinding verwijderen en opnieuw maken met dezelfde instantienaam en een andere set tabellen geselecteerd.

Schermopname van de pagina Mijn connectors.

Problemen oplossen

Verbinding mislukt

  • Controleer of de door Sentinel beheerde identiteit van het platform de msg-resources- juiste machtigingen heeft voor Azure Key Vault.

  • Als uw verbindingsbron Azure Databricks of Azure Data Lake Storage Gen2 is, moet u ervoor zorgen dat het Key Vault geheim het juiste clientgeheim voor uw service-principal bevat.

  • Het Key Vault netwerken moet worden ingesteld op Openbare toegang vanaf alle netwerken toestaan tijdens de connectorconfiguratie. Dit is de standaardconfiguratie van Key Vault. Deze kan worden gewijzigd na het maken of bewerken van de connector.

  • Controleer of de externe gegevensbron openbaar toegankelijk is.

  • Controleer of de service-principal de juiste machtigingen heeft voor de doelgegevensbron voor Azure Databricks en ADLS.

  • Als de doelgegevensbron Fabric is, controleert u of het msg-resources- voorvoegsel voor Microsoft Sentinel is gemachtigd als werkruimtelid.

  • Controleer of u niet meer dan 100 verbindingsexemplaren hebt.

Opmerking

ADLS en Azure Databricks gebruiken één verbindingsexemplaren per federatieve verbinding. Fabric kan meer exemplaren per federatieve verbinding gebruiken. Voor Fabric telt elk lakehouse-schema in uw federatieve verbinding mee voor de limiet van 100 exemplaren.

Tabellen worden niet weergegeven

  • Controleer of de service-principal leestoegang heeft tot de doeltabellen voor ADLS en Azure Databricks en of de service-principal zich in dezelfde tenant bevindt als deze gegevensbronnen.

  • Voor Databricks moet u ervoor zorgen dat u zowel de vooraf ingestelde ingebouwde machtiging Gegevenslezer als de machtiging Schema voor extern gebruik hebt verleend aan de service-principal.

  • Voor ADLS Gen 2 controleert u of de rol Lezer van opslagblobgegevens is toegewezen aan de service-principal.

Prestatieproblemen met query's

  • Houd rekening met de grootte van gegevens die vanuit externe bronnen worden opgevraagd.

  • Query's optimaliseren om gegevens vroegtijdig te filteren.

  • Controleer de netwerkverbinding tussen Sentinel en de externe bron.

Volgende stappen

  • Last updated on