A Microsoft Sentinel csatlakoztatása az adatforráshoz az Azure Functions használatával

Cikk
06/14/2024

Az Azure Functions különböző kódolási nyelvekkel, például a PowerShell vagy a Python használatával kiszolgáló nélküli összekötőt hozhat létre a kompatibilis adatforrások REST API-végpontjaihoz. Az Azure Function Apps ezután lehetővé teszi a Microsoft Sentinel csatlakoztatását az adatforrás REST API-hoz a naplók lekéréséhez.

Ez a cikk bemutatja, hogyan konfigurálhatja a Microsoft Sentinelt az Azure Function Apps használatára. Előfordulhat, hogy a forrásrendszert is konfigurálnia kell, és az egyes adatösszekötők portálon található oldalán, illetve a Microsoft Sentinel adatösszekötők referenciaoldalának szolgáltatásához tartozó szakaszban találhat szállítói és termékspecifikus információs hivatkozásokat.

Feljegyzés

A Microsoft Sentinelbe való betöltés után az adatok annak a munkaterületnek a földrajzi helyén lesznek tárolva, ahol a Microsoft Sentinelt futtatja.

A hosszú távú megőrzés érdekében érdemes lehet olyan naplótípusokban is tárolni az adatokat, mint a kiegészítő naplók vagy az alapszintű naplók. További információ: Naplómegőrzési csomagok a Microsoft Sentinelben.
Ha az Azure Functions használatával adatokat tölt be a Microsoft Sentinelbe, az további adatbetöltési költségeket eredményezhet. További információkért tekintse meg az Azure Functions díjszabási oldalát.

Előfeltételek

Győződjön meg arról, hogy rendelkezik a következő engedélyekkel és hitelesítő adatokkal, mielőtt az Azure Functions használatával csatlakoztatja a Microsoft Sentinelt az adatforráshoz, és lekéri a naplóit a Microsoft Sentinelbe:

Olvasási és írási engedélyekkel kell rendelkeznie a Microsoft Sentinel-munkaterületen.
Olvasási engedélyekkel kell rendelkeznie a munkaterület megosztott kulcsaihoz. További információ a munkaterületkulcsokról.
Függvényalkalmazás létrehozásához olvasási és írási engedélyekkel kell rendelkeznie az Azure Functionsben. További információ az Azure Functionsről.
A termék API-jának eléréséhez hitelesítő adatokra is szüksége lesz – felhasználónévre és jelszóra, jogkivonatra, kulcsra vagy más kombinációra. Egyéb API-információkra, például végponti URI-ra is szükség lehet.

További információt a microsoft sentinel adatösszekötők referenciaoldalán talál a szolgáltatás dokumentációjában és a szolgáltatáshoz tartozó szakaszban.
Telepítse az Azure Functions-alapú összekötőt tartalmazó megoldást a Microsoft Sentinel Content Hubjából . További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

Az adatforrás konfigurálása és csatlakoztatása

Feljegyzés

Biztonságosan tárolhat munkaterület- és API-engedélyezési kulcsokat vagy jogkivonatokat az Azure Key Vaultban. Az Azure Key Vault biztonságos mechanizmust biztosít a kulcsértékek tárolásához és lekéréséhez. Kövesse az alábbi utasításokat az Azure Key Vault Azure-függvényalkalmazással való használatához.
Egyes adatösszekötők egy Kusto-függvényen alapuló elemzőtől függenek, hogy a várt módon működjenek. A Kusto-függvény és -alias létrehozásához szükséges utasításokra mutató hivatkozásokat a Microsoft Sentinel adatösszekötők referenciaoldalán találja.

1. lépés: A forrásrendszer API-hitelesítő adatainak lekérése

Kövesse a forrásrendszer utasításait az API hitelesítő adatainak/ engedélyezési kulcsainak / jogkivonatainak lekéréséhez. Másolja és illessze be őket egy későbbi szövegfájlba.

A pontos hitelesítő adatokról, valamint a termék megkeresésére vagy létrehozására vonatkozó utasításokra mutató hivatkozásokat a portál adatösszekötő oldalán, valamint a Szolgáltatáshoz tartozó szakaszban, a Microsoft Sentinel adatösszekötők referenciaoldalán találhatja meg.

Előfordulhat, hogy a naplózást vagy más beállításokat is konfigurálnia kell a forrásrendszeren. A vonatkozó utasításokat az előző bekezdésben szereplőkkel együtt találja meg.

2. lépés: Az összekötő és a kapcsolódó Azure-függvényalkalmazás üzembe helyezése

Központi telepítési lehetőség kiválasztása

Ez a módszer egy ARM-sablon használatával biztosítja az Azure-függvényalapú összekötő automatikus üzembe helyezését.

A Microsoft Sentinel portálon válassza az Adatösszekötők lehetőséget. Válassza ki az Azure Functions-alapú összekötőt a listából, majd nyissa meg az összekötő oldalát.
A Konfiguráció területen másolja ki a Microsoft Sentinel-munkaterület azonosítóját és elsődleges kulcsát, és illessze be őket.
Válassza az Üzembe helyezés az Azure-ban lehetőséget. (Előfordulhat, hogy le kell görgetnie a gomb megkereséséhez.)
Megjelenik az Egyéni üzembehelyezési képernyő.
- Válassza ki azt az előfizetést, erőforráscsoportot és régiót, amelyben üzembe szeretné helyezni a függvényalkalmazást.
- Adja meg a fenti 1. lépésben mentett API-hitelesítő adatokat/ engedélyezési kulcsokat/ jogkivonatokat.
- Adja meg a Másolt és félretett Microsoft Sentinel-munkaterület azonosítóját és munkaterületkulcsát (elsődleges kulcsot).
  
  Feljegyzés
  
  Ha a fenti értékek bármelyikéhez Azure Key Vault-titkos kódokat használ, használja a sztringértékek @Microsoft.KeyVault(SecretUri={Security Identifier}) helyett a sémát. További részletekért tekintse meg a Key Vault referenciáinak dokumentációját.
- Töltse ki az űrlap bármely más mezőjét az Egyéni üzembe helyezés képernyőn. Tekintse meg az adatösszekötő lapját a portálon, vagy a szolgáltatás szakaszát a Microsoft Sentinel adatösszekötők referenciaoldalán .
- Válassza az Áttekintés + létrehozás lehetőséget. Amikor az érvényesítés befejeződött, válassza a Létrehozás lehetőséget.

A PowerShell-függvényeket használó Azure Functions-alapú összekötők manuális üzembe helyezéséhez kövesse az alábbi lépésenkénti utasításokat.

A Microsoft Sentinel portálon válassza az Adatösszekötők lehetőséget. Válassza ki az Azure Functions-alapú összekötőt a listából, majd nyissa meg az összekötő oldalát.
A Konfiguráció területen másolja ki a Microsoft Sentinel-munkaterület azonosítóját és elsődleges kulcsát, és illessze be őket.
Függvényalkalmazás létrehozása
1. Az Azure Portalon keresse meg és válassza ki a függvényalkalmazást.
2. A Függvényalkalmazás lapon válassza a Létrehozás lehetőséget. Ekkor megnyílik a Függvényalkalmazás létrehozása varázsló.
3. Az Alapismeretek lapon:
  - Válasszon ki egy előfizetést és egy erőforráscsoportot.
  - Adjon nevet a függvényalkalmazásnak.
  - Állítsa be a futtatókörnyezeti vermet a PowerShell Core-ra.
  - Válassza ki a megfelelő verziószámot.
  - Válassza ki azt a régiót , amelyben telepíteni szeretné az üzembe helyezést, majd válassza a Tovább: Üzemeltetés lehetőséget.
4. Az Üzemeltetés lapon:
  - Válassza ki a használni kívánt Tárfiókot , vagy hozzon létre egy újat.
  - Válassza a Használat (kiszolgáló nélküli) lehetőséget a csomag típusaként.
5. Végezze el a szükséges egyéb konfigurációs módosításokat, majd válassza a Véleményezés + létrehozás lehetőséget.
6. Várja meg az "Ellenőrzés átadott" üzenetet, majd válassza a Létrehozás lehetőséget.
7. Amikor az üzembe helyezés befejeződött, válassza az Ugrás az erőforráshoz lehetőséget.
Függvényalkalmazás kódjának importálása
1. Az újonnan létrehozott függvényalkalmazásban válassza a Függvények lehetőséget a navigációs menüből.
2. A Függvények lapon válassza a + Hozzáadás lehetőséget.
3. A Függvény hozzáadása panelen válassza ki az Időzítő eseményindítót.
4. Adjon meg egy egyedi nevet a függvénynek, és adjon meg egy cron kifejezést az ütemezés megadásához. Az alapértelmezett időköz 5 percenként.
5. A függvény létrehozásakor válassza a Kód + Teszt lehetőséget a bal oldali panelen.
6. Töltse le a forrásrendszer szállítója által megadott függvényalkalmazás-kódot, és másolja és illessze be a függvényalkalmazásrun.ps1 szerkesztőjébe, és cserélje le alapértelmezés szerint az ott található kódot. A letöltési hivatkozás az összekötő oldalán vagy a szolgáltatáshoz tartozó szakaszban található a Microsoft Sentinel adatösszekötők referenciaoldalán .
7. Válassza a Mentés lehetőséget.
A függvényalkalmazás konfigurálása
1. A függvényalkalmazás lapján válassza a Konfiguráció lehetőséget a navigációs menü Beállítások csoportjában.
2. Az Alkalmazásbeállítások lapon válassza az + Új alkalmazásbeállítás lehetőséget.
3. Adja hozzá egyenként a termékhez az előírt alkalmazásbeállításokat a kis- és nagybetűket megkülönböztető sztringértékekkel. A Microsoft Sentinel adatösszekötők referenciaoldalán megtekintheti az adatösszekötő lapját vagy a szolgáltatáshoz tartozó szakasz termékszakaszát.
  
  Tipp.
  
  Ha van ilyen, használja a logAnalyticsUri alkalmazásbeállítást a Log Analytics API-végpont felülbírálásához, ha dedikált felhőt használ. Így például ha a nyilvános felhőt használja, hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us.

Az alábbi lépésenkénti utasítások segítségével manuálisan helyezheti üzembe a Python-függvényeket használó Azure Functions-alapú összekötőket. Az ilyen típusú üzembe helyezéshez Visual Studio Code szükséges.

A Microsoft Sentinel portálon válassza az Adatösszekötők lehetőséget. Válassza ki az Azure Functions-alapú összekötőt a listából, majd nyissa meg az összekötő oldalát.
A Konfiguráció területen másolja ki a Microsoft Sentinel-munkaterület azonosítóját és elsődleges kulcsát, és illessze be őket.
Függvényalkalmazás üzembe helyezése

Feljegyzés

Elő kell készítenie a Visual Studio Code-ot (VS Code) az Azure-függvények fejlesztéséhez.
1. Töltse le az Azure-függvényalkalmazás-fájlt az adatösszekötő oldalán és a szolgáltatáshoz tartozó szakaszban található hivatkozás használatával a Microsoft Sentinel adatösszekötők referenciaoldalán . Bontsa ki az archívumot a helyi fejlesztőszámítógépre.
2. Indítsa el a VS Code-ot. A menüsávon válassza a Fájl > megnyitása mappa... lehetőséget.
3. Válassza ki a legfelső szintű mappát az archívumból kinyert fájlokból.
4. Válassza az Azure ikont a VS Code tevékenységsávján (a bal oldalon). Ezután az Azure: Functions területen válassza az Üzembe helyezés függvényalkalmazáshoz gombot.
  
  Feljegyzés
  
  Ha még nincs bejelentkezve, válassza az Azure ikont a Tevékenységsávon. Ezután az Azure: Functions területen válassza a Bejelentkezés az Azure-ba lehetőséget.
  Ha már bejelentkezett, lépjen a következő lépésre.
5. Amikor a rendszer kéri, adja meg az alábbi információkat:
  - Mappa kiválasztása: Válasszon ki egy mappát a munkaterületről, vagy keresse meg a függvényalkalmazást tartalmazó mappát.
  - Előfizetés kiválasztása: Válassza ki a használni kívánt előfizetést.
  - Válassza az Új függvényalkalmazás létrehozása az Azure-ban lehetőséget. (Ne válassza a Speciális lehetőség.)
  - Adjon meg egy globálisan egyedi nevet a függvényalkalmazásnak: Adjon meg egy olyan nevet a függvényalkalmazásnak, amely érvényes lenne egy URL-elérési úton. A választott név érvényesítve lesz, hogy biztosan egyedi legyen az Azure Functionsben.
  - Válasszon ki egy futtatókörnyezetet: Válassza a Python 3.8-at.
6. Az üzembe helyezés megkezdődik. A függvényalkalmazás létrehozása és a telepítőcsomag alkalmazása után megjelenik egy értesítés.
7. Térjen vissza a függvényalkalmazás lapjára a konfigurációhoz.
A függvényalkalmazás konfigurálása
1. A függvényalkalmazás lapján válassza a Konfiguráció lehetőséget a navigációs menü Beállítások csoportjában.
2. Az Alkalmazásbeállítások lapon válassza az + Új alkalmazásbeállítás lehetőséget.
3. Adja hozzá egyenként a termékhez az előírt alkalmazásbeállításokat a kis- és nagybetűket megkülönböztető sztringértékekkel. A hozzáadni kívánt alkalmazásbeállításokat a Microsoft Sentinel adatösszekötők referenciaoldalán találja az adatösszekötő oldalán vagy a szolgáltatás szakaszában.
  - Ha van ilyen, használja a logAnalyticsUri alkalmazásbeállítást a Log Analytics API-végpont felülbírálásához, ha dedikált felhőt használ. Így például ha a nyilvános felhőt használja, hagyja üresen az értéket; Azure GovUS felhőkörnyezet esetén adja meg az értéket a következő formátumban: https://<CustomerId>.ods.opinsights.azure.us.

Az adatok megkeresése

A sikeres kapcsolat létrejötte után az adatok megjelennek a Naplókban a CustomLogs alatt, a Szolgáltatáshoz tartozó szakaszban felsorolt táblákban a Microsoft Sentinel adatösszekötők referenciaoldalán.

Az adatok lekérdezéséhez adja meg az egyik táblanevet – vagy a megfelelő Kusto-függvény aliasát – a lekérdezési ablakban.

Néhány hasznos minta lekérdezést az összekötő oldalán a Következő lépések lapon talál.

A kapcsolat ellenőrzése

Akár 20 percig is eltarthat, amíg a naplók megjelennek a Log Analyticsben.

Következő lépések

Ebben a dokumentumban megtanulta, hogyan csatlakoztathatja a Microsoft Sentinelt az adatforráshoz Azure Functions-alapú összekötőkkel. A Microsoft Sentinelről az alábbi cikkekben olvashat bővebben:

Megtudhatja, hogyan ismerheti meg az adatokat és a potenciális fenyegetéseket.
Ismerkedés a fenyegetések észlelésével a Microsoft Sentinellel.
Munkafüzetek használatával monitorozza az adatokat.

Megosztás a következőn keresztül: