Utilizar Azure Functions para ligar Microsoft Sentinel à sua origem de dados

Pode utilizar Azure Functions, em conjunto com várias linguagens de codificação, como o PowerShell ou Python, para criar um conector sem servidor para os pontos finais da API REST das suas origens de dados compatíveis. Azure Function Apps permitem-lhe ligar Microsoft Sentinel à API REST da sua origem de dados para obter registos.

Este artigo descreve como configurar Microsoft Sentinel para utilizar o Azure Function Apps. Também poderá ter de configurar o seu sistema de origem e pode encontrar ligações de informações específicas do fornecedor e do produto na página de cada conector de dados no portal ou na secção do seu serviço na página de referência dos conectores de dados Microsoft Sentinel.

Observação

Depois de ingeridos no Microsoft Sentinel, os dados são armazenados na localização geográfica da área de trabalho na qual está a executar Microsoft Sentinel.

Para retenção de longo prazo, também poderá querer armazenar dados em tipos de registo, como registos Auxiliares. Para obter mais informações, veja Planos de retenção de registos no Microsoft Sentinel.
A utilização de Azure Functions para ingerir dados em Microsoft Sentinel pode resultar em custos adicionais de ingestão de dados. Para obter mais informações, veja a página de preços do Azure Functions.

Pré-requisitos

Certifique-se de que tem as seguintes permissões e credenciais antes de utilizar Azure Functions para ligar Microsoft Sentinel à sua origem de dados e solicitar os respetivos registos para Microsoft Sentinel:

Tem de ter permissões de leitura e escrita na área de trabalho Microsoft Sentinel.
Tem de ter permissões de leitura para chaves partilhadas para a área de trabalho. Saiba mais sobre as chaves da área de trabalho.
Tem de ter permissões de leitura e escrita no Azure Functions para criar uma Aplicação de Funções. Saiba mais sobre Azure Functions.
Também precisará de credenciais para aceder à API do produto: um nome de utilizador e palavra-passe, um token, uma chave ou outra combinação. Também poderá precisar de outras informações da API, como um URI de ponto final.

Para obter mais informações, veja a documentação do serviço ao qual se está a ligar e a secção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel.
Instale a solução que contém o conector baseado em Azure Functions a partir do Hub de Conteúdos no Microsoft Sentinel. Para obter mais informações, consulte Detetar e gerir Microsoft Sentinel conteúdo inicial.

Configurar e ligar a origem de dados

Observação

Pode armazenar chaves ou tokens de autorização de API e área de trabalho de forma segura no Azure Key Vault. Azure Key Vault fornece um mecanismo seguro para armazenar e obter valores de chave. Siga estas instruções para utilizar Azure Key Vault com uma Aplicação de Funções Azure.
Alguns conectores de dados dependem de um analisador baseado numa Função Kusto para funcionar conforme esperado. Consulte a secção do seu serviço na página de referência Microsoft Sentinel conectores de dados para obter ligações para instruções para criar a função e o alias do Kusto.

configuração do runtime Azure Functions

Observação

Microsoft Sentinel conectores que utilizam Azure Functions incluem dependências python pré-instaladas. O Azure runtime da Aplicação de Funções, incluindo a versão do Python, está pré-configurado no modelo arm da solução e não deve ser modificado.

Passo 1: Obter as credenciais da API do sistema de origem

Siga as instruções do sistema de origem para obter as respetivas credenciais de API/chaves de autorização/tokens. Copie e cole-os num ficheiro de texto para mais tarde.

Pode encontrar detalhes sobre as credenciais exatas de que irá precisar e ligações para as instruções do produto para encontrá-las ou criá-las, na página do conector de dados no portal e na secção do seu serviço na página de referência dos conectores de dados Microsoft Sentinel.

Também poderá ter de configurar o registo ou outras definições no seu sistema de origem. Encontrará as instruções relevantes juntamente com as do parágrafo anterior.

Passo 2: Implementar o conector e a Aplicação de Funções Azure associada

Escolher uma opção de implementação

Este método fornece uma implementação automatizada do conector baseado em funções Azure através de um modelo do ARM.

No portal Microsoft Sentinel, selecione Conectores de dados. Selecione o conector baseado em Azure Functions na lista e, em seguida, abrir página do conector.
Em Configuração, copie o ID da área de trabalho Microsoft Sentinel e a chave primária e cole-os de lado.
Selecione Implementar no Azure. (Poderá ter de se deslocar para baixo para encontrar o botão.)
Será apresentado o ecrã Implementação personalizada .
- Selecione uma subscrição, um grupo de recursos e uma região na qual pretende implementar a Aplicação de Funções.
- Introduza as credenciais/chaves de autorização/tokens da API que guardou no Passo 1 acima.
- Introduza o ID da Área de Trabalho do Microsoft Sentinel e a Chave de Área de Trabalho (chave primária) que copiou e pôs de lado.
  
  Observação
  
  Se utilizar Azure Key Vault segredos para qualquer um dos valores acima, utilize o @Microsoft.KeyVault(SecretUri={Security Identifier}) esquema em vez dos valores da cadeia. Veja Key Vault documentação de referências para obter mais detalhes.
- Preencha quaisquer outros campos no formulário no ecrã Implementação personalizada . Veja a página do conector de dados no portal ou a secção do seu serviço na página de referência dos conectores de dados Microsoft Sentinel.
- Selecione Rever + criar. Quando a validação estiver concluída, selecione Criar.

Utilize as seguintes instruções passo a passo para implementar manualmente conectores baseados em Azure Functions que utilizam funções do PowerShell.

No portal Microsoft Sentinel, selecione Conectores de dados. Selecione o conector baseado em Azure Functions na lista e, em seguida, abrir página do conector.
Em Configuração, copie o ID da área de trabalho Microsoft Sentinel e a chave primária e cole-os de lado.
Criar uma Aplicação de Funções
1. No portal do Azure, procure e selecione Aplicação de Funções.
2. Na página Aplicação de Funções , selecione Criar. O assistente Criar Aplicação de Funções será aberto.
3. No separador Noções Básicas :
  - Selecione uma subscrição e um grupo de recursos.
  - Dê um nome à sua aplicação de funções.
  - Defina a pilha de Runtime como PowerShell Core.
  - Selecione o número de versão adequado.
  - Selecione a região na qual pretende implementar e, em seguida, selecione Seguinte: Alojamento.
4. No separador Alojamento :
  - Selecione a Conta de armazenamento que pretende utilizar ou crie uma nova.
  - Selecione Consumo (Sem Servidor) como o tipo de Plano.
5. Efetue quaisquer outras alterações de configuração necessárias e, em seguida, selecione Rever + criar.
6. Aguarde pela mensagem "Validação aprovada" e, em seguida, selecione Criar.
7. Quando a implementação estiver concluída, selecione Ir para recurso.
Importar Código da Aplicação de Funções
1. Na Aplicação de Funções recém-criada, selecione Funções no menu de navegação.
2. Na página Funções , selecione + Adicionar.
3. No painel Adicionar função , selecione o acionador Temporizador .
4. Introduza um nome exclusivo para a sua função e introduza uma expressão cron para especificar a agenda. O intervalo padrão é a cada 5 minutos.
5. Quando a função tiver sido criada, selecione Código + Teste no painel esquerdo.
6. Transfira o Código da Aplicação de Funções fornecido pelo fornecedor do seu sistema de origem e copie-o e cole-o no editor de run.ps1 da Aplicação de Funções, substituindo o que está lá por predefinição. Pode encontrar a ligação de transferência na página do conector ou na secção do seu serviço na página de referência dos conectores de dados Microsoft Sentinel.
7. Selecione Salvar.
Configurar a Aplicação de Funções
1. Na página da Aplicação de Funções, selecione Configuração em Definições no menu de navegação.
2. No separador Definições da aplicação, selecione + Nova definição da aplicação.
3. Adicione as definições de aplicação prescritas para o seu produto individualmente, com os respetivos valores de cadeia sensíveis às maiúsculas e minúsculas. Veja a página do conector de dados ou a secção do produto da secção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel.
  
  Dica
  
  Se aplicável, utilize a definição da aplicação logAnalyticsUri para substituir o ponto final da API de análise de registos se estiver a utilizar uma cloud dedicada. Por exemplo, se estiver a utilizar a cloud pública, deixe o valor vazio; para Azure ambiente de cloud GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us.

Utilize as seguintes instruções passo a passo para implementar manualmente conectores baseados em Azure Functions que utilizam funções python. Este tipo de implementação requer Visual Studio Code.

No portal Microsoft Sentinel, selecione Conectores de dados. Selecione o conector baseado em Azure Functions na lista e, em seguida, abrir página do conector.
Em Configuração, copie o ID da área de trabalho Microsoft Sentinel e a chave primária e cole-os de lado.
Implementar uma Aplicação de Funções

Observação

Terá de preparar Visual Studio Code (VS Code) para o desenvolvimento da Função Azure.
1. Transfira o ficheiro Azure Function App com a ligação fornecida na página do conector de dados e na secção do seu serviço na página de referência dos conectores de dados Microsoft Sentinel. Extraia o arquivo para o seu computador de desenvolvimento local.
2. Inicie o VS Code. Na barra de menus, selecione Abrir Pasta de Ficheiros > ....
3. Selecione a pasta de nível superior a partir dos ficheiros extraídos do arquivo.
4. Selecione o ícone de Azure na barra de Atividade do VS Code (à esquerda). Em seguida, na área Azure: Funções, selecione o botão Implementar na aplicação de funções.
  
  Observação
  
  Se ainda não tiver sessão iniciada, selecione o ícone Azure na Barra de atividade. Em seguida, na área Azure: Funções, selecione Iniciar sessão para Azure.
  Se já tiver sessão iniciada, avance para o passo seguinte.
5. Indique as seguintes informações nos pedidos:
  - Selecionar pasta: selecione uma pasta a partir da área de trabalho ou navegue para uma pasta que contenha a sua aplicação de funções.
  - Selecionar subscrição: selecione a subscrição a utilizar.
  - Selecione Criar nova Aplicação de Funções no Azure. (Não escolha a opção Avançadas .)
  - Introduza um nome globalmente exclusivo para a aplicação de funções: atribua um nome válido à aplicação de funções num caminho de URL. O nome que escolher será validado para se certificar de que é exclusivo ao longo de Azure Functions.
  - Selecione um runtime: selecionePython 3.8.
6. A implementação será iniciada. É apresentada uma notificação após a criação da aplicação de funções e a aplicação do pacote de implementação.
7. Regresse à página da Aplicação de Funções para configuração.
Configurar a Aplicação de Funções
1. Na página da Aplicação de Funções, selecione Configuração em Definições no menu de navegação.
2. No separador Definições da aplicação, selecione + Nova definição da aplicação.
3. Adicione as definições de aplicação prescritas para o seu produto individualmente, com os respetivos valores de cadeia sensíveis às maiúsculas e minúsculas. Veja a página do conector de dados ou a secção do seu serviço na página de referência Microsoft Sentinel conectores de dados para obter as definições da aplicação a adicionar.
  - Se aplicável, utilize a definição da aplicação logAnalyticsUri para substituir o ponto final da API de análise de registos se estiver a utilizar uma cloud dedicada. Por exemplo, se estiver a utilizar a cloud pública, deixe o valor vazio; para Azure ambiente de cloud GovUS, especifique o valor no seguinte formato: https://<CustomerId>.ods.opinsights.azure.us.

Localizar os seus dados

Depois de estabelecida uma ligação com êxito, os dados são apresentados em Registos em Registos Personalizados, nas tabelas listadas na secção do seu serviço na página de referência dos conectores de dados Microsoft Sentinel.

Para consultar dados, introduza um desses nomes de tabela ( ou o alias de função Kusto relevante ) na janela de consulta.

Veja o separador Passos seguintes na página do conector para obter algumas consultas de exemplo úteis.

Validar a conectividade

Pode demorar até 20 minutos até que os registos comecem a aparecer no Log Analytics.

Próximas etapas

Neste documento, aprendeu a ligar Microsoft Sentinel à sua origem de dados com conectores baseados em Azure Functions. Para saber mais sobre Microsoft Sentinel, consulte os seguintes artigos:

Saiba como obter visibilidade sobre os seus dados e potenciais ameaças.
Comece a detetar ameaças com Microsoft Sentinel.
Utilize livros para monitorizar os seus dados.

Comentários

Esta página foi útil?

Last updated on 2026-04-23

Utilizar Azure Functions para ligar Microsoft Sentinel à sua origem de dados

Pré-requisitos

Configurar e ligar a origem de dados

configuração do runtime Azure Functions

Passo 1: Obter as credenciais da API do sistema de origem

Passo 2: Implementar o conector e a Aplicação de Funções Azure associada

Escolher uma opção de implementação

Localizar os seus dados

Validar a conectividade

Próximas etapas

Comentários

Recursos adicionais