Sumber daya untuk membuat konektor kustom Microsoft Azure Sentinel
Microsoft Sentinel menyediakan berbagai konektor siap pakai untuk layanan Azure dan solusi eksternal, dan juga mendukung penyerapan data dari beberapa sumber tanpa konektor khusus.
Jika Anda tidak dapat menghubungkan sumber data ke Microsoft Azure Sentinel menggunakan salah satu solusi yang tersedia, pertimbangkan untuk membuat konektor sumber data Anda sendiri.
Untuk daftar lengkap konektor yang didukung, lihat Menemukan konektor data Microsoft Azure Sentinel Anda).
Membandingkan metode konektor kustom
Tabel berikut membandingkan detail penting tentang setiap metode untuk membuat konektor kustom yang dijelaskan dalam artikel ini. Pilih link dalam tabel untuk detail selengkapnya terkait setiap metode.
Deskripsi metode | Kemampuan | Tanpa server | Kompleksitas |
---|---|---|---|
Platform Konektor Tanpa Kode (CCP) Terbaik untuk audiens yang kurang teknis untuk membuat konektor SaaS menggunakan file konfigurasi alih-alih pengembangan lanjutan. |
Mendukung semua kemampuan yang tersedia dengan kode. | Ya | Rendah; pengembangan sederhana tanpa kode |
Agen Azure Monitor Terbaik untuk mengumpulkan file dari sumber lokal dan IaaS |
Pengumpulan file, transformasi data | No | Kurang Penting |
Logstash Terbaik untuk sumber lokal dan IaaS, sumber apa pun di mana plugin tersedia, dan organisasi yang sudah familier dengan Logstash |
Mendukung semua kemampuan Agen Azure Monitor | Tidak; memerlukan kluster VM atau VM untuk dijalankan | Rendah; mendukung banyak skenario dengan plugin |
Aplikasi Logika Biaya tinggi; hindari untuk data volume tinggi Terbaik untuk sumber cloud dengan volume rendah |
Pemrograman tanpa kode memungkinkan fleksibilitas terbatas, tanpa dukungan untuk implementasi algoritme. Jika tidak ada tindakan yang tersedia yang sudah mendukung kebutuhan Anda, membuat tindakan kustom dapat menambah kompleksitas. |
Ya | Rendah; pengembangan sederhana tanpa kode |
API Penyerapan Log di Azure Monitor Terbaik untuk ISV yang mengimplementasikan integrasi, dan untuk persyaratan pengumpulan yang unik |
Mendukung semua kemampuan yang tersedia dengan kode. | Tergantung pada implementasinya | Sangat Penting |
Azure Functions Terbaik untuk sumber cloud dengan volume tinggi dan untuk persyaratan pengumpulan yang unik |
Mendukung semua kemampuan yang tersedia dengan kode. | Ya | Tinggi; membutuhkan pengetahuan pemrograman |
Tip
Untuk perbandingan penggunaan Logic Apps dan Azure Functions untuk konektor yang sama, lihat:
- Menyerap log Web Application Firewall Dengan Cepat ke Microsoft Azure Sentinel
- Office 365 (komunitas GitHub Microsoft Azure Sentinel): Konektor Aplikasi Logika | Konektor Azure Function
Menyambungkan dengan Platform Konektor Tanpa Kode
Codeless Connector Platform (CCP) menyediakan file konfigurasi yang dapat digunakan oleh pelanggan dan mitra, lalu disebarkan ke ruang kerja Anda sendiri, atau sebagai solusi untuk hub konten Microsoft Sentinel.
Konektor yang dibuat menggunakan CCP sepenuhnya SaaS, tanpa persyaratan apa pun untuk penginstalan layanan, dan juga menyertakan pemantauan kesehatan dan dukungan penuh dari Microsoft Sentinel.
Untuk informasi selengkapnya, lihat Membuat konektor tanpa kode untuk Microsoft Sentinel.
Menyambungkan dengan Agen Azure Monitor
Jika sumber data Anda mengirimkan peristiwa dalam file teks, kami sarankan Anda menggunakan Agen Azure Monitor untuk membuat konektor kustom Anda.
Untuk informasi selengkapnya, lihat Mengumpulkan log dari file teks dengan Agen Azure Monitor.
Untuk contoh metode ini, lihat Mengumpulkan log dari file JSON dengan Agen Azure Monitor.
Tersambung dengan Logstash
Jika tidak asing dengan Logstash, sebaiknya Anda menggunakan Logstash dengan plug-in output Logstash untuk Microsoft Azure Sentinel untuk membuat konektor kustom.
Dengan plugin Output Logstash Microsoft Azure Sentinel, Anda dapat menggunakan plugin pemfilteran dan input Logstash apa pun, dan mengonfigurasi Microsoft Azure Sentinel sebagai output alur Logstash. Logstash memiliki pustaka plugin besar yang memungkinkan input dari berbagai sumber, seperti layanan Pusat Aktivitas, Apache Kafka, Files, Databases, dan Cloud. Gunakan plug-in pemfilteran untuk mengurai peristiwa, memfilter peristiwa yang tidak perlu, mengaburkan nilai, dan lainnya.
Untuk contoh penggunaan Logstash sebagai konektor kustom, lihat:
- Berburu Capital One Breach TTP di log AWS menggunakan Microsoft Azure Sentinel (blog)
- Panduan implementasi Radware Microsoft Azure Sentinel
Untuk contoh plugin Logstash yang berguna, lihat:
- Plugin input Cloudwatch
- Plugin Azure Event Hubs
- Plugin input Google Cloud Storage
- Plugin input Google_pubsub
Tip
Logstash juga memungkinkan pengumpulan data berskala menggunakan kluster. Untuk informasi selengkapnya, lihat Menggunakan VM Logstash yang seimbang beban dalam skala besar.
Tersambung dengan Logic Apps
Gunakan Azure Logic Apps untuk membuat konektor kustom tanpa server untuk Microsoft Azure Sentinel.
Catatan
Saat membuat konektor tanpa server penggunaan Logic Apps mungkin akan sesuai, penggunaan Logic Apps untuk konektor Anda mungkin mahal untuk data dengan volume besar.
Sebaiknya gunakan metode ini hanya untuk sumber data dengan volume rendah, atau memperkaya unggahan data Anda.
Gunakan salah satu pemicu berikut untuk memulai Logic Apps Anda:
Pemicu Deskripsi Tugas berulang Misalnya, jadwalkan Logic Apps Anda untuk mengambil data secara teratur dari file, database, atau API eksternal tertentu.
Untuk informasi selengkapnya, lihat Membuat, menjadwalkan, dan menjalankan tugas dan alur kerja berulang di Azure Logic Apps.Memicu sesuai permintaan Jalankan Logic Apps Anda sesuai permintaan untuk pengumpulan dan pengujian data manual.
Untuk informasi selengkapnya, lihat Memanggil, memicu, atau menyarangkan aplikasi logika menggunakan titik akhir HTTPS.Titik akhir HTTP/S Disarankan untuk streaming, dan jika sistem sumber dapat memulai transfer data.
Untuk informasi selengkapnya, lihat Titik akhir layanan panggilan melalui HTTP atau HTTP.Gunakan salah satu konektor Logic Apps yang membaca informasi untuk mendapatkan peristiwa Anda. Contohnya:
Tip
Konektor kustom ke REST API, SQL Server, dan sistem file juga mendukung pengambilan data dari sumber data lokal. Untuk informasi selengkapnya, lihat dokumentasi Memasang gateway data lokal.
Siapkan informasi yang ingin Anda ambil.
Misalnya, gunakan tindakan JSON uraikan untuk mengakses properti dalam konten JSON, memungkinkan Anda memilih properti tersebut dari daftar konten dinamis saat Anda menentukan input untuk Logic Apps.
Untuk informasi selengkapnya, lihat Melakukan operasi data di Azure Logic Apps.
Tulis data ke Analitik Log.
Untuk informasi selengkapnya, lihat dokumentasi Pengumpil Data Analitik Log Azure.
Untuk contoh cara membuat konektor kustom untuk Microsoft Azure Sentinel menggunakan Logic Apps, lihat:
- Membuat alur data dengan API Pengumpul Data
- Konektor Aplikasi Logika Palo Alto Prisma menggunakan webhook (komunitas GitHub Microsoft Azure Sentinel)
- Mengamankan panggilan Microsoft Teams Anda dengan aktivasi terjadwal (blog)
- Menyerap indikator ancaman AlienVault OTX ke Microsoft Azure Sentinel (blog)
Menyambungkan dengan API Penyerapan Log
Anda dapat mengalirkan peristiwa ke Microsoft Azure Sentinel menggunakan API Pengumpul Data Log Analytics untuk memanggil titik akhir RESTful secara langsung.
Meskipun pemanggilan titik akhir RESTful secara langsung membutuhkan lebih banyak pemrograman, tindakan ini juga memberikan lebih banyak fleksibilitas.
Untuk informasi lebih lanjut, baca artikel berikut:
- API Penyerapan Log di Azure Monitor.
- Kode sampel untuk mengirim data ke Azure Monitor menggunakan API penyerapan Log.
Menyambungkan dengan Azure Functions
Gunakan Azure Functions bersama RESTful API dan berbagai bahasa pengkodean, seperti PowerShell, untuk membuat konektor kustom tanpa server.
Untuk contoh metode ini, lihat:
- Menghubungkan VMware Carbon Black Cloud Endpoint Standard ke Microsoft Azure Sentinel dengan Azure Function
- Menghubungkan SSO Okta ke Microsoft Azure Sentinel dengan Azure Function
- Menghubungkan Proofpoint TAP ke Microsoft Azure Sentinel dengan Fungsi Azure
- Menghubungkan VM Qualys ke Microsoft Azure Sentinel dengan Azure Function
- Menyerap XML, CSV, atau format data lainnya
- Memantau Zoom dengan Microsoft Azure Sentinel (blog)
- Menyebarkan Aplikasi Fungsi untuk mendapatkan data Office 365 Management API ke dalam Microsoft Azure Sentinel (Komunitas GitHub Microsoft Azure Sentinel)
Mengurai data konektor kustom Anda
Untuk memanfaatkan data yang dikumpulkan dengan konektor kustom Anda, kembangkan pengurai Model Informasi Keamanan Tingkat Lanjut (ASIM) untuk bekerja dengan konektor Anda. Menggunakan ASIM memungkinkan konten bawaan Microsoft Sentinel untuk menggunakan data kustom Anda dan memudahkan analis untuk mengkueri data.
Jika metode konektor Anda memungkinkan untuk melakukannya, Anda dapat menerapkan bagian dari penguraian sebagai bagian dari konektor untuk meningkatkan performa penguraian waktu kueri:
- Jika Anda telah menggunakan Logstash, gunakan plugin filter Grok untuk mengurai data Anda.
- Jika Anda telah menggunakan fungsi Azure, uraikan data Anda dengan kode.
Anda masih perlu menerapkan pengurai ASIM, tetapi menerapkan bagian penguraian langsung dengan konektor menyederhanakan penguraian dan meningkatkan performa.
Langkah berikutnya
Gunakan data yang diserap ke dalam Microsoft Azure Sentinel untuk mengamankan lingkungan Anda dengan salah satu proses berikut: