Bagikan melalui


Sumber daya untuk membuat konektor kustom Microsoft Azure Sentinel

Microsoft Sentinel menyediakan berbagai konektor siap pakai untuk layanan Azure dan solusi eksternal, dan juga mendukung penyerapan data dari beberapa sumber tanpa konektor khusus.

Jika Anda tidak dapat menghubungkan sumber data ke Microsoft Azure Sentinel menggunakan salah satu solusi yang tersedia, pertimbangkan untuk membuat konektor sumber data Anda sendiri.

Untuk daftar lengkap konektor yang didukung, lihat Menemukan konektor data Microsoft Azure Sentinel Anda).

Membandingkan metode konektor kustom

Tabel berikut membandingkan detail penting tentang setiap metode untuk membuat konektor kustom yang dijelaskan dalam artikel ini. Pilih link dalam tabel untuk detail selengkapnya terkait setiap metode.

Deskripsi metode Kemampuan Tanpa server Kompleksitas
Platform Konektor Tanpa Kode (CCP)
Terbaik untuk audiens yang kurang teknis untuk membuat konektor SaaS menggunakan file konfigurasi alih-alih pengembangan lanjutan.
Mendukung semua kemampuan yang tersedia dengan kode. Ya Rendah; pengembangan sederhana tanpa kode
Agen Azure Monitor
Terbaik untuk mengumpulkan file dari sumber lokal dan IaaS
Pengumpulan file, transformasi data No Kurang Penting
Logstash
Terbaik untuk sumber lokal dan IaaS, sumber apa pun di mana plugin tersedia, dan organisasi yang sudah familier dengan Logstash
Mendukung semua kemampuan Agen Azure Monitor Tidak; memerlukan kluster VM atau VM untuk dijalankan Rendah; mendukung banyak skenario dengan plugin
Aplikasi Logika
Biaya tinggi; hindari untuk data volume tinggi
Terbaik untuk sumber cloud dengan volume rendah
Pemrograman tanpa kode memungkinkan fleksibilitas terbatas, tanpa dukungan untuk implementasi algoritme.

Jika tidak ada tindakan yang tersedia yang sudah mendukung kebutuhan Anda, membuat tindakan kustom dapat menambah kompleksitas.
Ya Rendah; pengembangan sederhana tanpa kode
API Penyerapan Log di Azure Monitor
Terbaik untuk ISV yang mengimplementasikan integrasi, dan untuk persyaratan pengumpulan yang unik
Mendukung semua kemampuan yang tersedia dengan kode. Tergantung pada implementasinya Sangat Penting
Azure Functions
Terbaik untuk sumber cloud dengan volume tinggi dan untuk persyaratan pengumpulan yang unik
Mendukung semua kemampuan yang tersedia dengan kode. Ya Tinggi; membutuhkan pengetahuan pemrograman

Tip

Untuk perbandingan penggunaan Logic Apps dan Azure Functions untuk konektor yang sama, lihat:

Menyambungkan dengan Platform Konektor Tanpa Kode

Codeless Connector Platform (CCP) menyediakan file konfigurasi yang dapat digunakan oleh pelanggan dan mitra, lalu disebarkan ke ruang kerja Anda sendiri, atau sebagai solusi untuk hub konten Microsoft Sentinel.

Konektor yang dibuat menggunakan CCP sepenuhnya SaaS, tanpa persyaratan apa pun untuk penginstalan layanan, dan juga menyertakan pemantauan kesehatan dan dukungan penuh dari Microsoft Sentinel.

Untuk informasi selengkapnya, lihat Membuat konektor tanpa kode untuk Microsoft Sentinel.

Menyambungkan dengan Agen Azure Monitor

Jika sumber data Anda mengirimkan peristiwa dalam file teks, kami sarankan Anda menggunakan Agen Azure Monitor untuk membuat konektor kustom Anda.

Tersambung dengan Logstash

Jika tidak asing dengan Logstash, sebaiknya Anda menggunakan Logstash dengan plug-in output Logstash untuk Microsoft Azure Sentinel untuk membuat konektor kustom.

Dengan plugin Output Logstash Microsoft Azure Sentinel, Anda dapat menggunakan plugin pemfilteran dan input Logstash apa pun, dan mengonfigurasi Microsoft Azure Sentinel sebagai output alur Logstash. Logstash memiliki pustaka plugin besar yang memungkinkan input dari berbagai sumber, seperti layanan Pusat Aktivitas, Apache Kafka, Files, Databases, dan Cloud. Gunakan plug-in pemfilteran untuk mengurai peristiwa, memfilter peristiwa yang tidak perlu, mengaburkan nilai, dan lainnya.

Untuk contoh penggunaan Logstash sebagai konektor kustom, lihat:

Untuk contoh plugin Logstash yang berguna, lihat:

Tip

Logstash juga memungkinkan pengumpulan data berskala menggunakan kluster. Untuk informasi selengkapnya, lihat Menggunakan VM Logstash yang seimbang beban dalam skala besar.

Tersambung dengan Logic Apps

Gunakan Azure Logic Apps untuk membuat konektor kustom tanpa server untuk Microsoft Azure Sentinel.

Catatan

Saat membuat konektor tanpa server penggunaan Logic Apps mungkin akan sesuai, penggunaan Logic Apps untuk konektor Anda mungkin mahal untuk data dengan volume besar.

Sebaiknya gunakan metode ini hanya untuk sumber data dengan volume rendah, atau memperkaya unggahan data Anda.

  1. Gunakan salah satu pemicu berikut untuk memulai Logic Apps Anda:

    Pemicu Deskripsi
    Tugas berulang Misalnya, jadwalkan Logic Apps Anda untuk mengambil data secara teratur dari file, database, atau API eksternal tertentu.
    Untuk informasi selengkapnya, lihat Membuat, menjadwalkan, dan menjalankan tugas dan alur kerja berulang di Azure Logic Apps.
    Memicu sesuai permintaan Jalankan Logic Apps Anda sesuai permintaan untuk pengumpulan dan pengujian data manual.
    Untuk informasi selengkapnya, lihat Memanggil, memicu, atau menyarangkan aplikasi logika menggunakan titik akhir HTTPS.
    Titik akhir HTTP/S Disarankan untuk streaming, dan jika sistem sumber dapat memulai transfer data.
    Untuk informasi selengkapnya, lihat Titik akhir layanan panggilan melalui HTTP atau HTTP.
  2. Gunakan salah satu konektor Logic Apps yang membaca informasi untuk mendapatkan peristiwa Anda. Contohnya:

    Tip

    Konektor kustom ke REST API, SQL Server, dan sistem file juga mendukung pengambilan data dari sumber data lokal. Untuk informasi selengkapnya, lihat dokumentasi Memasang gateway data lokal.

  3. Siapkan informasi yang ingin Anda ambil.

    Misalnya, gunakan tindakan JSON uraikan untuk mengakses properti dalam konten JSON, memungkinkan Anda memilih properti tersebut dari daftar konten dinamis saat Anda menentukan input untuk Logic Apps.

    Untuk informasi selengkapnya, lihat Melakukan operasi data di Azure Logic Apps.

  4. Tulis data ke Analitik Log.

    Untuk informasi selengkapnya, lihat dokumentasi Pengumpil Data Analitik Log Azure.

Untuk contoh cara membuat konektor kustom untuk Microsoft Azure Sentinel menggunakan Logic Apps, lihat:

Menyambungkan dengan API Penyerapan Log

Anda dapat mengalirkan peristiwa ke Microsoft Azure Sentinel menggunakan API Pengumpul Data Log Analytics untuk memanggil titik akhir RESTful secara langsung.

Meskipun pemanggilan titik akhir RESTful secara langsung membutuhkan lebih banyak pemrograman, tindakan ini juga memberikan lebih banyak fleksibilitas.

Untuk informasi lebih lanjut, baca artikel berikut:

Menyambungkan dengan Azure Functions

Gunakan Azure Functions bersama RESTful API dan berbagai bahasa pengkodean, seperti PowerShell, untuk membuat konektor kustom tanpa server.

Untuk contoh metode ini, lihat:

Mengurai data konektor kustom Anda

Untuk memanfaatkan data yang dikumpulkan dengan konektor kustom Anda, kembangkan pengurai Model Informasi Keamanan Tingkat Lanjut (ASIM) untuk bekerja dengan konektor Anda. Menggunakan ASIM memungkinkan konten bawaan Microsoft Sentinel untuk menggunakan data kustom Anda dan memudahkan analis untuk mengkueri data.

Jika metode konektor Anda memungkinkan untuk melakukannya, Anda dapat menerapkan bagian dari penguraian sebagai bagian dari konektor untuk meningkatkan performa penguraian waktu kueri:

  • Jika Anda telah menggunakan Logstash, gunakan plugin filter Grok untuk mengurai data Anda.
  • Jika Anda telah menggunakan fungsi Azure, uraikan data Anda dengan kode.

Anda masih perlu menerapkan pengurai ASIM, tetapi menerapkan bagian penguraian langsung dengan konektor menyederhanakan penguraian dan meningkatkan performa.

Langkah berikutnya

Gunakan data yang diserap ke dalam Microsoft Azure Sentinel untuk mengamankan lingkungan Anda dengan salah satu proses berikut: