Använd Azure Functions för att ansluta Microsoft Sentinel till din datakälla

Du kan använda Azure Functions, tillsammans med olika kodningsspråk som PowerShell eller Python, för att skapa en serverlös anslutningsapp till REST API-slutpunkterna för dina kompatibla datakällor. Azure Funktionsappar kan du sedan ansluta Microsoft Sentinel till datakällans REST API för att hämta loggar.

I den här artikeln beskrivs hur du konfigurerar Microsoft Sentinel för användning av Azure Function Apps. Du kan också behöva konfigurera källsystemet och du kan hitta länkar för leverantörs- och produktspecifik information på varje dataanslutningsapps sida i portalen eller avsnittet för din tjänst på referenssidan för Microsoft Sentinel dataanslutningsprogram.

Obs!

När data har matats in i Microsoft Sentinel lagras data på den geografiska platsen för arbetsytan där du kör Microsoft Sentinel.

För långsiktig kvarhållning kanske du också vill lagra data i loggtyper som extraloggar. Mer information finns i Logglagringsplaner i Microsoft Sentinel.
Om du använder Azure Functions för att mata in data i Microsoft Sentinel kan det leda till ytterligare kostnader för datainmatning. Mer information finns på sidan Azure Functions prissättning.

Förhandskrav

Kontrollera att du har följande behörigheter och autentiseringsuppgifter innan du använder Azure Functions för att ansluta Microsoft Sentinel till datakällan och hämta loggarna till Microsoft Sentinel:

Du måste ha läs- och skrivbehörighet på Microsoft Sentinel arbetsyta.
Du måste ha läsbehörighet till delade nycklar för arbetsytan. Läs mer om arbetsytenycklar.
Du måste ha läs- och skrivbehörighet för Azure Functions för att skapa en funktionsapp. Läs mer om Azure Functions.
Du behöver också autentiseringsuppgifter för att komma åt produktens API – antingen ett användarnamn och lösenord, en token, en nyckel eller någon annan kombination. Du kan också behöva annan API-information, till exempel en slutpunkts-URI.

Mer information finns i dokumentationen för den tjänst som du ansluter till och avsnittet för din tjänst på referenssidan för Microsoft Sentinel dataanslutningsappar.
Installera lösningen som innehåller din Azure Functions-baserade anslutningsapp från innehållshubben i Microsoft Sentinel. Mer information finns i Identifiera och hantera Microsoft Sentinel inbyggt innehåll.

Konfigurera och ansluta din datakälla

Obs!

Du kan lagra arbetsytor och API-auktoriseringsnycklar eller token på ett säkert sätt i Azure Key Vault. Azure Key Vault tillhandahåller en säker mekanism för att lagra och hämta nyckelvärden. Följ de här anvisningarna om du vill använda Azure Key Vault med en Azure funktionsapp.
Vissa dataanslutningar är beroende av en parser som baseras på en Kusto-funktion för att fungera som förväntat. Se avsnittet för din tjänst på referenssidan för Microsoft Sentinel dataanslutningsprogram för länkar till instruktioner för att skapa Kusto-funktionen och aliaset.

Azure Functions körningskonfiguration

Obs!

Microsoft Sentinel anslutningsappar som använder Azure Functions inkludera förkompilerade Python-beroenden. Azure Funktionsappens körningsmiljö, inklusive Python-versionen, är förkonfigurerad i lösningens ARM-mall och bör inte ändras.

Steg 1: Hämta källsystemets API-autentiseringsuppgifter

Följ källsystemets instruktioner för att hämta dess API-autentiseringsuppgifter/auktoriseringsnycklar/token. Kopiera och klistra in dem i en textfil för senare bruk.

Du hittar information om de exakta autentiseringsuppgifter som du behöver och länkar till produktens instruktioner för att hitta eller skapa dem på sidan för dataanslutningsappen i portalen och i avsnittet för din tjänst på referenssidan för Microsoft Sentinel dataanslutningsappar.

Du kan också behöva konfigurera loggning eller andra inställningar i källsystemet. Du hittar relevanta instruktioner tillsammans med dem i föregående stycke.

Steg 2: Distribuera anslutningsappen och den associerade Azure funktionsappen

Välj ett distributionsalternativ

Den här metoden tillhandahåller en automatiserad distribution av din Azure funktionsbaserade anslutningsapp med hjälp av en ARM-mall.

I Microsoft Sentinel-portalen väljer du Dataanslutningsprogram. Välj din Azure Functions-baserade anslutningsapp i listan och sedan sidan Öppna anslutningsapp.
Under Konfiguration kopierar du Microsoft Sentinel arbetsyte-ID och primärnyckel och klistrar in dem åt sidan.
Välj Distribuera för att Azure. (Du kan behöva rulla nedåt för att hitta knappen.)
Skärmen Anpassad distribution visas.
- Välj en prenumeration, resursgrupp och region där funktionsappen ska distribueras.
- Ange dina API-autentiseringsuppgifter/auktoriseringsnycklar/token som du sparade i steg 1 ovan.
- Ange ditt Microsoft Sentinel arbetsyte-ID och arbetsytenyckel (primärnyckel) som du kopierade och lade åt sidan.
  
  Obs!
  
  Om du använder Azure Key Vault hemligheter för något av värdena ovan använder du @Microsoft.KeyVault(SecretUri={Security Identifier}) schemat i stället för strängvärdena. Mer information finns i dokumentationen om Key Vault referenser.
- Fyll i andra fält i formuläret på skärmen Anpassad distribution . Se sidan för dataanslutningsappen i portalen eller avsnittet för din tjänst på referenssidan för Microsoft Sentinel dataanslutningsappar.
- Välj Granska + skapa. När verifieringen är klar väljer du Skapa.

Använd följande stegvisa instruktioner för att manuellt distribuera Azure Functions-baserade anslutningsappar som använder PowerShell-funktioner.

I Microsoft Sentinel-portalen väljer du Dataanslutningsprogram. Välj din Azure Functions-baserade anslutningsapp i listan och sedan sidan Öppna anslutningsapp.
Under Konfiguration kopierar du Microsoft Sentinel arbetsyte-ID och primärnyckel och klistrar in dem åt sidan.
Skapa en funktionsapp
1. Från Azure Portal söker du efter och väljer Funktionsapp.
2. På sidan Funktionsapp väljer du Skapa. Guiden Skapa funktionsapp öppnas.
3. På fliken Grunder :
  - Välj en prenumeration och resursgrupp.
  - Ge funktionsappen ett namn.
  - Ställ in Körningsstack påPowerShell Core.
  - Välj rätt versionsnummer.
  - Välj den region där du vill distribuera och välj sedan Nästa: Värd.
4. På fliken Värd :
  - Välj det lagringskonto som du vill använda eller skapa ett nytt.
  - Välj Förbrukning (serverlös) som typ av plan.
5. Gör eventuella andra konfigurationsändringar som du behöver och välj sedan Granska + skapa.
6. Vänta tills meddelandet "Valideringen har godkänts" och välj sedan Skapa.
7. När distributionen är klar väljer du Gå till resurs.
Importera funktionsappkod
1. I den nyligen skapade funktionsappen väljer du Funktioner på navigeringsmenyn.
2. På sidan Funktioner väljer du + Lägg till.
3. I panelen Lägg till funktion väljer du timerutlösaren .
4. Ange ett unikt namn för funktionen och ange ett cron-uttryck för att ange schemat. Standardintervallet är var femte minut.
5. När funktionen har skapats väljer du Koda + testa i den vänstra rutan.
6. Ladda ned funktionsappkoden som tillhandahålls av källsystemets leverantör och kopiera och klistra in den i funktionsappenrun.ps1 redigeraren, och ersätt det som finns där som standard. Du hittar nedladdningslänken på anslutningssidan eller i avsnittet för din tjänst på referenssidan för Microsoft Sentinel dataanslutningsappar.
7. Välj Spara.
Konfigurera funktionsappen
1. På funktionsappens sida väljer du Konfiguration under Inställningar på navigeringsmenyn.
2. På fliken Programinställningar väljer du + Ny programinställning.
3. Lägg till de föreskrivna programinställningarna för produkten individuellt, med respektive skiftlägeskänsliga strängvärden. Se sidan för dataanslutningsappen eller produktavsnittet i avsnittet för din tjänst på referenssidan för Microsoft Sentinel dataanslutningsappar.
  
  Tips
  
  Om det är tillämpligt använder du programinställningen logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten om du använder ett dedikerat moln. Om du till exempel använder det offentliga molnet lämnar du värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.

Använd följande stegvisa instruktioner för att manuellt distribuera Azure Functions-baserade anslutningsappar som använder Python-funktioner. Den här typen av distribution kräver Visual Studio Code.

I Microsoft Sentinel-portalen väljer du Dataanslutningsprogram. Välj din Azure Functions-baserade anslutningsapp i listan och sedan sidan Öppna anslutningsapp.
Under Konfiguration kopierar du Microsoft Sentinel arbetsyte-ID och primärnyckel och klistrar in dem åt sidan.
Distribuera en funktionsapp

Obs!

Du måste förbereda Visual Studio Code (VS Code) för Azure funktionsutveckling.
1. Ladda ned Azure funktionsappfilen med hjälp av länken på sidan för dataanslutningsappen och i avsnittet för din tjänst på referenssidan för Microsoft Sentinel dataanslutningsappar. Extrahera arkivet till din lokala utvecklingsdator.
2. Starta VS Code. På menyraden väljer du Arkiv > Öppna mapp....
3. Välj mappen på den översta nivån från filerna som extraheras från arkivet.
4. Välj ikonen Azure i aktivitetsfältet för VS Code (till vänster). I området Azure: Functions väljer du sedan knappen Distribuera till funktionsapp.
  
  Obs!
  
  Om du inte redan är inloggad väljer du ikonen Azure i aktivitetsfältet. I området Azure: Functions väljer du Sedan Logga in för att Azure.
  Om du redan är inloggad går du till nästa steg.
5. Ange följande information i prompterna:
  - Välj mapp: Välj en mapp från arbetsytan eller bläddra till en mapp som innehåller din funktionsapp.
  - Välj prenumeration: Välj den prenumeration som ska användas.
  - Välj Skapa ny funktionsapp i Azure. (Välj inte alternativet Avancerat .)
  - Ange ett globalt unikt namn för funktionsappen: Ge funktionsappen ett namn som skulle vara giltigt i en URL-sökväg. Namnet du väljer verifieras för att se till att det är unikt i hela Azure Functions.
  - Välj en körning: Välj Python 3.8.
6. Distributionen påbörjas. Ett meddelande visas när funktionsappen har skapats och distributionspaketet har tillämpats.
7. Gå tillbaka till funktionsappens sida för konfiguration.
Konfigurera funktionsappen
1. På funktionsappens sida väljer du Konfiguration under Inställningar på navigeringsmenyn.
2. På fliken Programinställningar väljer du + Ny programinställning.
3. Lägg till de föreskrivna programinställningarna för produkten individuellt, med respektive skiftlägeskänsliga strängvärden. Se sidan för dataanslutningsappen eller avsnittet för din tjänst på referenssidan för Microsoft Sentinel dataanslutningsprogram för programinställningarna som ska läggas till.
  - Om det är tillämpligt använder du programinställningen logAnalyticsUri för att åsidosätta LOG Analytics API-slutpunkten om du använder ett dedikerat moln. Om du till exempel använder det offentliga molnet lämnar du värdet tomt. för Azure GovUS-molnmiljö anger du värdet i följande format: https://<CustomerId>.ods.opinsights.azure.us.

Hitta dina data

När en lyckad anslutning har upprättats visas data i Loggar under CustomLogs, i tabellerna som anges i avsnittet för din tjänst på referenssidan för Microsoft Sentinel dataanslutningsappar.

Om du vill fråga efter data anger du ett av dessa tabellnamn – eller relevant Kusto-funktionsalias – i frågefönstret.

Se fliken Nästa steg på anslutningssidan för några användbara exempelfrågor.

Verifiera anslutningen

Det kan ta upp till 20 minuter innan loggarna börjar visas i Log Analytics.

Nästa steg

I det här dokumentet har du lärt dig hur du ansluter Microsoft Sentinel till din datakälla med hjälp av Azure Functions-baserade anslutningsappar. Mer information om Microsoft Sentinel finns i följande artiklar:

Lär dig hur du får insyn i dina data och potentiella hot.
Kom igång med att identifiera hot med Microsoft Sentinel.
Använd arbetsböcker för att övervaka dina data.

Feedback

Var den här sidan till hjälp?

Last updated on 2026-04-23

Använd Azure Functions för att ansluta Microsoft Sentinel till din datakälla

Förhandskrav

Konfigurera och ansluta din datakälla

Azure Functions körningskonfiguration

Steg 1: Hämta källsystemets API-autentiseringsuppgifter

Steg 2: Distribuera anslutningsappen och den associerade Azure funktionsappen

Välj ett distributionsalternativ

Hitta dina data

Verifiera anslutningen

Nästa steg

Feedback

Ytterligare resurser