استخدام Azure Functions لتوصيل Microsoft Sentinel بمصدر البيانات

مقالة
06/05/2023

يمكنك استخدام Azure Functions، جنبا إلى جنب مع لغات الترميز المختلفة مثل PowerShell أو Python، لإنشاء موصل بلا خادم إلى نقاط نهاية واجهة برمجة تطبيقات REST لمصادر البيانات المتوافقة. تطبيقات Azure Function تسمح لك بعد ذلك بتوصيل Microsoft Sentinel بواجهة برمجة تطبيقات REST لمصدر البيانات لسحب السجلات.

هذه المقالة توضح كيفية تكوين Microsoft Sentinel لاستخدام Azure Function Apps. كما قد تحتاج إلى تكوين نظام المصدر الخاص بك، ويمكنك العثور على ارتباطات معلومات خاصة بالمورد والمنتج في صفحة كل موصل بيانات في المدخل، أو قسم خدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel.

إشعار

بمجرد استيعابها في Microsoft Sentinel، يتم تخزين البيانات في الموقع الجغرافي لمساحة العمل التي تقوم بتشغيل Microsoft Sentinel فيها.

للاحتفاظ طويل الأجل، قد تحتاج أيضا إلى تخزين البيانات في أنواع السجلات مثل السجلات الإضافية أو السجلات الأساسية. لمزيد من المعلومات، راجع خطط استبقاء السجل في Microsoft Sentinel.
استخدام Azure Functions قد يؤدي لاستيعاب البيانات في Microsoft Sentinel إلى تكاليف إضافية لاستيعاب البيانات. لمزيدٍ من المعلومات، راجع صفحة تسعير Azure Functions.

المتطلبات الأساسية

تأكد من أن لديك الأذونات وبيانات الاعتماد التالية قبل استخدام Azure Functions لتوصيل Microsoft Sentinel بمصدر البيانات الخاص بك، وسحب سجلاته إلى Microsoft Sentinel:

يجب أن يكون لديك أذونات القراءة والكتابة على مساحة عمل Microsoft Sentinel.
لابد أن تكون قد قرأت أذونات المفاتيح المشتركة لمساحة العمل. تعرف على المزيد حول مفاتيح مساحة العمل.
يجب أن يكون لديك أذونات القراءة والكتابة على Azure Functions لإنشاء Function App. تعرف على المزيد بشأن Azure Event Grid.
كما ستحتاج إلى بيانات اعتماد للوصول إلى واجهة برمجة تطبيقات المنتج - إما اسم مستخدم وكلمة مرور أو رمز مميز أو مفتاح أو مجموعة أخرى. قد تحتاج أيضًا إلى معلومات واجهة برمجة تطبيقات أخرى مثل معرف الموارد المنتظم لنقطة النهاية.

لمزيد من المعلومات، راجع وثائق الخدمة التي تتصل بها وقسم الخدمة في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel.
قم بتثبيت الحل الذي يحتوي على الموصل المستند إلى Azure Functions من مركز المحتوى في Microsoft Sentinel. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

تكوين مصدر البيانات الخاص بك وتوصيله

إشعار

يمكنك تخزين مفاتيح تفويض مساحة العمل وواجهة برمجة التطبيقات أو الرموز المميزة بأمان في Azure Key Vault. Azure Key Vault يوفر آلية آمنة لتخزين القيم الرئيسية واستردادها. اتبع هذه الإرشادات لاستخدام Azure Key Vault مع Azure Function App.
بعض موصلات البيانات تعتمد على محلل يستند إلى وظيفة Kusto للعمل كما هو متوقع. راجع قسم الخدمة في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel للحصول على ارتباطات إلى إرشادات لإنشاء وظيفة Kusto والاسم المستعار.

الخطوة 1: الحصول على بيانات اعتماد واجهة برمجة التطبيقات للنظام المصدر

اتبع إرشادات النظام المصدر للحصول على بيانات اعتماد واجهة برمجة التطبيقات الخاصة به/ مفاتيح التفويض/ الرموز المميزة. انسخها والصقها في ملف نصي لاحقًا.

يمكنك العثور على تفاصيل حول بيانات الاعتماد الدقيقة التي ستحتاجها، وارتباطات إلى إرشادات المنتج للعثور عليها أو إنشائها، على صفحة موصل البيانات في المدخل وفي قسم الخدمة في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel.

كما قد تحتاج إلى تكوين التسجيل أو الإعدادات الأخرى على نظام المصدر الخاص بك. ستجد الإرشادات ذات الصلة مع تلك الموجودة في الفقرة السابقة.

الخطوة 2: نشر الموصل وAzure Function App المقترن

اختيار أحد خيارات النشر

هذا الأسلوب يوفر توزيعًا تلقائيًا للموصل المستند إلى Azure Function باستخدام قالب ARM.

من مدخل Microsoft Sentinel، حدد Data connectors. حدد الموصل المستند إلى Azure Functions من القائمة، ثم افتح صفحة موصل.
ضمن التكوين، انسخ معرف مساحة عمل Microsoft Sentinel والمفتاح الأساسي والصقهما جانبا.
حدد Deploy to Azure. (قد تحتاج إلى التمرير لأسفل للعثور على الزر.)
ستظهر شاشة التوزيع المخصص.
- حدد اشتراكا ومجموعة موارد ومنطقة لتوزيع Function App الخاص بك.
- أدخل بيانات اعتماد واجهة برمجة التطبيقات/ مفاتيح التفويض/ الرموز المميزة التي حفظتها في الخطوة 1 أعلاه.
- أدخل معرف مساحة عمل Microsoft Sentinel ومفتاح مساحة العمل (المفتاح الأساسي) الذي قمت بنسخه ووضعه جانبا.
  
  إشعار
  
  إذا كنت تستخدم أسرار Azure Key Vault لأي من القيم أعلاه، فاستخدم المخطط @Microsoft.KeyVault(SecretUri={Security Identifier}) بدلا من قيم السلسلة. راجع وثائق مراجع Key Vault للحصول على مزيد من التفاصيل.
- أكمل أي حقول أخرى في النموذج على شاشة التوزيع المخصص. راجع صفحة موصل البيانات في المدخل، أو قسم خدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel.
- حدد "Review + create". عند اكتمال التحقق من الصحة، حدد Create.

استخدم الإرشادات التالية خطوة بخطوة لتوزيع الموصلات المستندة إلى Azure Functions يدويا التي تستخدم وظائف PowerShell.

من مدخل Microsoft Sentinel، حدد Data connectors. حدد الموصل المستند إلى Azure Functions من القائمة، ثم افتح صفحة موصل.
ضمن التكوين، انسخ معرف مساحة عمل Microsoft Sentinel والمفتاح الأساسي والصقهما جانبا.
إنشاء Function App
1. من ⁩مدخل Microsoft Azure⁧، ابحث عن Function Appوحدده.
2. في صفحة Function App، حدد Create. سيتم فتح معالج Create Function App.
3. في علامة التبويب Basics:
  - حدد اشتراك ومجموعة موارد.
  - امنح تطبيق الدالات اسمًا.
  - قم بتعيين مكدس وقت التشغيل إلى PowerShell Core.
  - حدد رقم الإصدار المناسب.
  - حدد المنطقة التي تريد التوزيع فيها، ثم حدد التالي : الاستضافة.
4. في علامة التبويب Hosting:
  - اختر حساب التخزين الذي تريد استخدامه، أو أنشئ حساب جديد.
  - حدد Consumption (Serverless) ليكون نوع الخطة.
5. قم بإجراء أي تغييرات تكوين أخرى تحتاج إليها، ثم حدد Review + create.
6. انتظر رسالة "Validation passed"، ثم حدد Create.
7. بمجرد اكتمال النشر، حدد الانتقال إلى المورد.
استيراد Function App Code
1. في Function App الذي تم إنشاؤه حديثا، حدد Functions من قائمة التنقل.
2. في صفحة Functions، حدد + Add.
3. في لوحة Add function، حدد مشغل المؤقت.
4. أدخل اسما فريدًا للدالة، وأدخل تعبير cron لتحديد الجدول. الفاصل الزمني الافتراضي كل 5 دقائق.
5. عند إنشاء الدالة، حدد Code + Test في الجزء الأيمن.
6. قم بتنزيل Function App Code الذي يوفره مورد النظام المصدر الخاص بك وانسخه والصقه في محرر Function Apprun.ps1 ، واستبدل ما هو موجود بشكل افتراضي. يمكنك العثور على ارتباط التنزيل على صفحة الموصل أو في قسم الخدمة في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel.
7. حدد حفظ.
تكوين Function App
1. في صفحة Function App، حدد Configuration ضمن Settings في قائمة التنقل.
2. في علامة التبويب إعدادات التطبيق، حدد + إعداد التطبيق الجديد.
3. أضف إعدادات التطبيق المحددة لمنتجك بشكل فردي، مع قيم السلسلة الحساسة لحالة الأحرف الخاصة بها. راجع صفحة موصل البيانات في قسم المنتج الخاص بك للقسم في خدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel.
  
  تلميح
  
  إذا كان ذلك ممكنا، استخدم إعداد تطبيق logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل، إذا كنت تستخدم سحابة مخصصة. لذلك، على سبيل المثال، إذا كنت تستخدم السحابة العامة، اترك القيمة فارغة. بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.

استخدم الإرشادات التالية خطوة بخطوة لتوزيع الموصلات المستندة إلى Azure Functions يدويا التي تستخدم وظائف Python. هذا النوع من التوزيع يتطلب Visual Studio Code.

من مدخل Microsoft Sentinel، حدد Data connectors. حدد الموصل المستند إلى Azure Functions من القائمة، ثم افتح صفحة موصل.
ضمن التكوين، انسخ معرف مساحة عمل Microsoft Sentinel والمفتاح الأساسي والصقهما جانبا.
توزيع Function App

إشعار

لتطوير Azure Function، ستحتاج إلى إعداد Visual Studio Code (VS Code).
1. قم بتنزيل ملف Azure Function App باستخدام الارتباط المتوفر في صفحة موصل البيانات وفي قسم خدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel. استخرج الأرشيف إلى كمبيوتر التطوير المحلي الخاص بك.
2. ابدأ تشغيل رمز VS. من شريط القائمة، حدد File > Open Folder....
3. حدد مجلد المستوى الأعلى من الملفات المستخرجة من الأرشيف.
4. اختر رمز Azure في شريط نشاط VS Code (على اليسار). ثم، في منطقة Azure: Functions، اختر زر Deploy to function app.
  
  إشعار
  
  إذا لم تُسجل الدخول بالفعل، فاختر رمز Azure في شريط "النشاط". ثم في منطقة Azure: Functions، اختر تسجيل الدخول إلى Azure....
  إذا قمت بتسجيل الدخول بالفعل، فانتقل إلى الخطوة التالية.
5. قدِّم المعلومات التالية في المطالبات:
  - تحديد المجلد: حدد مجلد من مساحة عملك أو استعرض إلى مجلد يتضمن تطبيق الدوال.
  - تحديد الاشتراك: اختر اشتراك للاستخدام.
  - حدد Create new Function App in Azure. (لا تحدد الخيار خيارات متقدمة.)
  - إدخال اسمًا فريدًا عالميًا لتطبيق الدوال: امنح تطبيق الدوال اسمًا صحيحًا في مسار عنوان موقع الويب. سيتم التحقق من صحة الاسم الذي تختاره للتأكد من أنه فريد في جميع دوال Azure.
  - تحديد وقت التشغيل: اختر Python 3.8.
6. ستبدأ عملية التوزيع. يعرض تنبيه بعد إنشاء تطبيق الوظيفة وتطبيق حزمة التوزيع.
7. ارجع إلى صفحة Function App للتكوين.
تكوين Function App
1. في صفحة Function App، حدد Configuration ضمن Settings في قائمة التنقل.
2. في علامة التبويب إعدادات التطبيق، حدد + إعداد التطبيق الجديد.
3. أضف إعدادات التطبيق المحددة لمنتجك بشكل فردي، مع قيم السلسلة الحساسة لحالة الأحرف الخاصة بها. راجع صفحة موصل البيانات في القسم في خدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel لإعدادات التطبيق لإضافتها.
  - إذا كان ذلك ممكنا، استخدم إعداد تطبيق logAnalyticsUri لتجاوز نقطة نهاية واجهة برمجة تطبيقات تحليلات السجل، إذا كنت تستخدم سحابة مخصصة. لذلك، على سبيل المثال، إذا كنت تستخدم السحابة العامة، اترك القيمة فارغة. بالنسبة لبيئة سحابة Azure GovUS، حدد القيمة بالتنسيق التالي: https://<CustomerId>.ods.opinsights.azure.us.

العثور على بياناتك

بعد تأسيس اتصال ناجح، تظهر البيانات في Logs ضمن CustomLogs، في الجداول المدرجة في قسم خدمتك في الصفحة المرجعية لموصلات بيانات Microsoft Sentinel.

للاستعلام عن البيانات، أدخل أحد أسماء الجداول هذه - أو الاسم المستعار لدالة Kusto ذات الصلة - في نافذة الاستعلام.

راجع علامة التبويب الخطوات التالية في صفحة الموصل للحصول على بعض استعلامات العينة المفيدة.

التحقق من صحة الاتصال

قد يستغرق الأمر ما يصل إلى 20 دقيقة حتى تبدأ السجلات الخاصة بك في الظهور في Log Analytics.

الخطوات التالية

في هذا المستند، تعلمت كيفية توصيل Microsoft Sentinel بمصدر البيانات باستخدام الموصلات المستندة إلى Azure Functions. راجع المقالات التالية للتعرُّف على المزيد حول Microsoft Azure Sentinel:

تعرّف على كيفية الحصول على رؤية لبياناتك والتهديدات المحتملة.
ابدأ في اكتشاف التهديدات باستخدام Microsoft Azure Sentinel.
استخدم المصنفات لمراقبة بياناتك.

مشاركة عبر