Microsoft Sentinel özel bağlayıcıları oluşturmaya yönelik kaynaklar
Microsoft Sentinel, Azure hizmetleri ve dış çözümler için kullanıma hazır çok çeşitli bağlayıcılar sağlar ve ayrıca ayrılmış bağlayıcısı olmayan bazı kaynaklardan veri alımını destekler.
Mevcut çözümlerden herhangi birini kullanarak veri kaynağınızı Microsoft Sentinel'e bağlayamıyorsanız kendi veri kaynağı bağlayıcınızı oluşturmayı göz önünde bulundurun.
Desteklenen bağlayıcıların tam listesi için bkz . Microsoft Sentinel veri bağlayıcınızı bulma).
Özel bağlayıcı yöntemlerini karşılaştırma
Aşağıdaki tabloda, bu makalede açıklanan özel bağlayıcıları oluşturmaya yönelik her yöntemle ilgili temel ayrıntılar karşılaştırılmaktadır. Her yöntem hakkında daha fazla ayrıntı için tablodaki bağlantıları seçin.
| Yöntem açıklaması | Özellik | Sunucusuz | Karmaşıklık |
|---|---|---|---|
| Kodsuz Bağlayıcı Platformu (CCP) Daha az teknik hedef kitlenin gelişmiş geliştirme yerine bir yapılandırma dosyası kullanarak SaaS bağlayıcıları oluşturması için en iyi yöntemdir. |
Kodla kullanılabilen tüm özellikleri destekler. | Yes | Alçak; basit, kodsuz geliştirme |
| Azure İzleyici Aracısı Şirket içi ve IaaS kaynaklarından dosya toplamak için en iyi yöntem |
Dosya toplama, veri dönüştürme | Hayır | Düşük |
| Logstash Şirket içi ve IaaS kaynakları, eklentinin kullanılabildiği tüm kaynaklar ve Logstash hakkında zaten bilgi sahibi olan kuruluşlar için en iyi |
Azure İzleyici Aracısı'nın tüm özelliklerini destekler | Hayır; bir VM veya VM kümesinin çalıştırılmasını gerektirir | Alçak; eklentilerle birçok senaryo destekler |
| Logic Apps Yüksek maliyet; yüksek hacimli veriler için kaçının Düşük hacimli bulut kaynakları için en iyi |
Kodsuz programlama, algoritmaları uygulama desteği olmadan sınırlı esneklik sağlar. Gereksinimlerinizi zaten destekleyen bir eylem yoksa, özel eylem oluşturmak karmaşıklık katabilir. |
Yes | Alçak; basit, kodsuz geliştirme |
| Azure İzleyici'de Günlük Alımı API'si Tümleştirme uygulayan ISV'ler ve benzersiz koleksiyon gereksinimleri için en iyi |
Kodla kullanılabilen tüm özellikleri destekler. | Uygulamaya bağlıdır | Yüksek |
| Azure Functions Yüksek hacimli bulut kaynakları ve benzersiz koleksiyon gereksinimleri için en iyi |
Kodla kullanılabilen tüm özellikleri destekler. | Yes | Yüksek; programlama bilgisi gerektirir |
İpucu
Aynı bağlayıcı için Logic Apps ve Azure İşlevleri kullanma karşılaştırmaları için bkz:
- Hızlı Web Uygulaması Güvenlik Duvarı günlüklerini Microsoft Sentinel'e alma
- Office 365 (Microsoft Sentinel GitHub topluluğu): Logic Uygulama bağlayıcısı | Azure İşlev bağlayıcısı
Kodsuz Bağlayıcı Platformu ile bağlanma
Kodsuz Bağlayıcı Platformu (CCP), hem müşteriler hem de iş ortakları tarafından kullanılabilen ve ardından kendi çalışma alanınıza dağıtabileceğiniz veya Microsoft Sentinel'in içerik hub'ına çözüm olarak dağıtabileceğiniz bir yapılandırma dosyası sağlar.
CCP kullanılarak oluşturulan bağlayıcılar, hizmet yüklemeleri için herhangi bir gereksinim olmadan tamamen SaaS'dir ve ayrıca sistem durumu izleme ve Microsoft Sentinel'den tam destek içerir.
Daha fazla bilgi için bkz . Microsoft Sentinel için kodsuz bağlayıcı oluşturma.
Azure İzleyici Aracısı ile bağlanma
Veri kaynağınız metin dosyalarında olaylar teslim ederse, özel bağlayıcınızı oluşturmak için Azure İzleyici Aracısı'nı kullanmanızı öneririz.
Daha fazla bilgi için bkz . Azure İzleyici Aracısı ile bir metin dosyasından günlükleri toplama.
Bu yöntemin bir örneği için bkz . Azure İzleyici Aracısı ile JSON dosyasından günlükleri toplama.
Logstash ile bağlanma
Logstash hakkında bilginiz varsa, özel bağlayıcınızı oluşturmak için Logstash'i Microsoft Sentinel için Logstash çıkış eklentisiyle kullanmak isteyebilirsiniz.
Microsoft Sentinel Logstash Output eklentisiyle, logstash giriş ve filtreleme eklentilerini kullanabilir ve Microsoft Sentinel'i Logstash işlem hattının çıktısı olarak yapılandırabilirsiniz. Logstash, Event Hubs, Apache Kafka, Dosyalar, Veritabanları ve Bulut hizmetleri gibi çeşitli kaynaklardan giriş sağlayan büyük bir eklenti kitaplığına sahiptir. Olayları ayrıştırmak, gereksiz olayları filtrelemek, değerleri karartmak ve daha fazlası için filtreleme eklentilerini kullanın.
Logstash'i özel bağlayıcı olarak kullanma örnekleri için bkz:
- Microsoft Sentinel kullanarak AWS günlüklerinde Capital One İhlali TTP'lerini avlama (blog)
- Radware Microsoft Sentinel uygulama kılavuzu
Yararlı Logstash eklentilerinin örnekleri için bkz:
- Cloudwatch giriş eklentisi
- Azure Event Hubs eklentisi
- Google Cloud Storage giriş eklentisi
- Google_pubsub giriş eklentisi
İpucu
Logstash ayrıca küme kullanarak ölçeklendirilmiş veri toplamayı da etkinleştirir. Daha fazla bilgi için bkz . Büyük ölçekte yük dengeli Logstash VM kullanma.
Logic Apps ile bağlanma
Azure Logic Apps'i kullanarak Microsoft Sentinel için sunucusuz, özel bir bağlayıcı oluşturun.
Not
Logic Apps kullanarak sunucusuz bağlayıcılar oluşturmak kullanışlı olabilir ancak bağlayıcılarınız için Logic Apps'i kullanmak büyük hacimli veriler için maliyetli olabilir.
Bu yöntemi yalnızca düşük hacimli veri kaynakları için veya veri yüklemelerinizi zenginleştirmek için kullanmanızı öneririz.
Logic Apps'inizi başlatmak için aşağıdaki tetikleyicilerden birini kullanın:
Tetikle Açıklama Yinelenen görev Örneğin, Mantıksal Uygulamanızı belirli dosyalardan, veritabanlarından veya dış API'lerden düzenli olarak veri alacak şekilde zamanlayın.
Daha fazla bilgi için bkz . Azure Logic Apps'te yinelenen görevleri ve iş akışlarını oluşturma, zamanlama ve çalıştırma.İsteğe bağlı tetikleme El ile veri toplama ve test için Logic App'inizi isteğe bağlı olarak çalıştırın.
Daha fazla bilgi için bkz . HTTPS uç noktalarını kullanarak mantıksal uygulamaları çağırma, tetikleme veya iç içe yerleştirme.HTTP/S uç noktası Akış için önerilir ve kaynak sistemin veri aktarımını başlatıp başlatamadığını gösterir.
Daha fazla bilgi için bkz . HTTP veya HTTPs üzerinden hizmet uç noktalarını çağırma.Olaylarınızı almak için bilgileri okuyan Logic Uygulama bağlayıcısı'lerden herhangi birini kullanın. Örneğin:
İpucu
REST API'leri, SQL Sunucuları ve dosya sistemlerine yönelik özel bağlayıcılar da şirket içi veri kaynaklarından veri almayı destekler. Daha fazla bilgi için bkz . Şirket içi veri ağ geçidini yükleme belgeleri.
Almak istediğiniz bilgileri hazırlayın.
Örneğin, JSON içeriğindeki özelliklere erişmek için JSON ayrıştır eylemini kullanarak Mantıksal Uygulamanız için girişler belirttiğinizde dinamik içerik listesinden bu özellikleri seçmenize olanak tanıyın.
Daha fazla bilgi için bkz . Azure Logic Apps'te veri işlemleri gerçekleştirme.
Verileri Log Analytics'e yazın.
Daha fazla bilgi için Azure Log Analytics Veri Toplayıcı belgelerine bakın.
Logic Apps kullanarak Microsoft Sentinel için özel bağlayıcı oluşturma örnekleri için bkz:
- Veri Toplayıcı API'siyle veri işlem hattı oluşturma
- Palo Alto Prisma Logic Uygulama bağlayıcısı kullanarak web kancası (Microsoft Sentinel GitHub topluluğu)
- Zamanlanmış etkinleştirme ile Microsoft Teams aramalarınızın güvenliğini sağlama (blog)
- AlienVault OTX tehdit göstergelerini Microsoft Sentinel'e alma (blog)
Günlük Alımı API'siyle bağlanma
ReSTful uç noktasını doğrudan çağırmak için Log Analytics Veri Toplayıcı API'sini kullanarak olayları Microsoft Sentinel'e aktarabilirsiniz.
RESTful uç noktasını çağırmak daha fazla programlama gerektirir ancak daha fazla esneklik de sağlar.
Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Azure İzleyici'de Günlük Alımı API'si.
- Günlük alımı API'sini kullanarak Azure İzleyici'ye veri göndermek için örnek kod.
Azure İşlevleri ile bağlanma
Sunucusuz özel bağlayıcı oluşturmak için restful API ve PowerShell gibi çeşitli kodlama dilleri ile birlikte Azure İşlevleri kullanın.
Bu yöntemin örnekleri için bkz:
- Azure İşlevi ile VMware Carbon Black Cloud Endpoint Standard'ınızı Microsoft Sentinel'e bağlama
- Azure İşlevi ile Okta Çoklu Oturum Açma özelliğinizi Microsoft Sentinel'e bağlama
- Proofpoint TAP'nizi Azure İşlevi ile Microsoft Sentinel'e bağlama
- Azure İşlevi ile Qualys VM'nizi Microsoft Sentinel'e bağlama
- XML, CSV veya diğer veri biçimlerini alma
- Microsoft Sentinel ile Yakınlaştırmayı İzleme (blog)
- Office 365 Yönetim API'sini Microsoft Sentinel'e (Microsoft Sentinel GitHub topluluğu) almak için bir İşlev Uygulaması dağıtma
Özel bağlayıcı verilerinizi ayrıştırma
Özel bağlayıcınızla toplanan verilerden yararlanmak için, bağlayıcınızla çalışacak Gelişmiş Güvenlik Bilgi Modeli (ASIM) ayrıştırıcıları geliştirin. ASIM kullanmak, Microsoft Sentinel'in yerleşik içeriğinin özel verilerinizi kullanmasını sağlar ve analistlerin verileri sorgulamasını kolaylaştırır.
Bağlayıcı yönteminiz buna izin veriyorsa, sorgu zamanı ayrıştırma performansını geliştirmek için ayrıştırma işleminin bir bölümünü bağlayıcının bir parçası olarak uygulayabilirsiniz:
- Logstash kullandıysanız verilerinizi ayrıştırmak için Grok filtre eklentisini kullanın.
- Bir Azure işlevi kullandıysanız verilerinizi kodla ayrıştırabilirsiniz.
ASIM ayrıştırıcılarını yine de uygulamanız gerekir, ancak ayrıştırma işleminin bir kısmını doğrudan bağlayıcıyla uygulamak ayrıştırma işlemini basitleştirir ve performansı artırır.
Sonraki adımlar
Aşağıdaki işlemlerden herhangi biriyle ortamınızın güvenliğini sağlamak için Microsoft Sentinel'e alınan verileri kullanın: