Risorse per la creazione di connettori personalizzati di Microsoft Sentinel
Microsoft Sentinel offre un'ampia gamma di connettori predefiniti per i servizi di Azure e le soluzioni esterne e supporta anche l'inserimento di dati da alcune origini senza un connettore dedicato.
Se non è possibile connettere l'origine dati a Microsoft Sentinel usando una delle soluzioni esistenti disponibili, valutare la creazione di un connettore di origine dati personalizzato.
Per un elenco completo dei connettori supportati, vedere Trovare il connettore dati di Microsoft Sentinel).
Confrontare i metodi dei connettori personalizzati
La tabella seguente confronta i dettagli essenziali su ogni metodo per la creazione di connettori personalizzati descritti in questo articolo. Selezionare i collegamenti nella tabella per altri dettagli su ogni metodo.
| Descrizione del metodo | Funzionalità | Senza server | Complessità |
|---|---|---|---|
| Codeless Connector Platform (CCP=) Ideale per gli utenti meno tecnici per creare connettori SaaS usando un file di configurazione anziché uno sviluppo avanzato. |
Supporta tutte le funzionalità disponibili con il codice. | Sì | Basso; sviluppo semplice e senza codice |
| Agente di Monitoraggio di Azure Ideale per la raccolta di file da origini locali e IaaS |
Raccolta di file, trasformazione dei dati | No | Basso |
| Logstash Ideale per le origini locali e IaaS, qualsiasi origine per cui è disponibile un plug-in e le organizzazioni hanno già familiarità con Logstash |
Supporta tutte le funzionalità dell'agente di Monitoraggio di Azure | No; richiede l'esecuzione di una macchina virtuale o di un cluster di macchine virtuali | Basso; supporta molti scenari con plug-in |
| App per la logica Costo elevato; evitare per dati con volumi elevati Ideale per le origini cloud a volume ridotto |
La programmazione senza codice consente una flessibilità limitata, senza supporto per l'implementazione di algoritmi. Se nessuna azione disponibile supporta già i requisiti, la creazione di un'azione personalizzata può aggiungere complessità. |
Sì | Basso; sviluppo semplice e senza codice |
| API di inserimento log in Monitoraggio di Azure Ideale per gli ISV che implementano l'integrazione e per requisiti di raccolta unici |
Supporta tutte le funzionalità disponibili con il codice. | Dipende dall'implementazione | Alto |
| Funzioni di Azure Ideale per le origini cloud a volume elevato e per requisiti di raccolta unici |
Supporta tutte le funzionalità disponibili con il codice. | Sì | Alto; richiede conoscenze di programmazione |
Suggerimento
Per i confronti dell'uso di App per la logica e Funzioni di Azure per lo stesso connettore, vedere:
- Inserire i log Web application firewall di Fastly in Microsoft Sentinel
- Office 365 (community GitHub di Microsoft Sentinel): Connettore app per la logica | Connettore Funzioni di Azure
Connettersi con Codeless Connector Platform
La piattaforma CCP (Codeless Connector Platform) fornisce un file di configurazione che può essere usato sia dai clienti che dai partner e quindi distribuito nell'area di lavoro personale o come soluzione all'hub del contenuto di Microsoft Sentinel.
I connettori creati con CCP sono completamente SaaS, senza requisiti per le installazioni di servizi e includono anche il monitoraggio dell'integrità e il supporto completo di Microsoft Sentinel.
Per altre informazioni, vedere Creare un connettore senza codice per Microsoft Sentinel.
Connettersi con l'agente di Monitoraggio di Azure
Se l'origine dati recapita eventi nei file di testo, è consigliabile usare l'agente di Monitoraggio di Azure per creare il connettore personalizzato.
Per altre informazioni, vedere Raccogliere log da un file di testo con l'agente di Monitoraggio di Azure.
Per un esempio di questo metodo, vedere Raccogliere i log da un file JSON con l'agente di Monitoraggio di Azure.
Connettersi con Logstash
Se si ha familiarità con Logstash, è possibile usare Logstash con il plug-in di output Logstash per Microsoft Sentinel per creare il connettore personalizzato.
Con il plug-in di output Logstash di Microsoft Sentinel, è possibile usare qualsiasi plug-in di input e filtro Logstash e configurare Microsoft Sentinel come output per una pipeline Logstash. Logstash ha una vasta libreria di plug-in che consentono l'input da varie origini, ad esempio Hub eventi, Apache Kafka, File, Database e Servizi cloud. Usare i plug-in di filtro per analizzare gli eventi, filtrare gli eventi non necessari, offuscare i valori e altro ancora.
Per esempi di uso di Logstash come connettore personalizzato, vedere:
- Ricerca di TTP di violazione di Capital One nei log AWS con Microsoft Sentinel (blog)
- Guida all'implementazione di Microsoft Sentinel di Radware
Per esempi di plug Logstash utili, vedere:
- Plug-in di input CloudWatch
- Plug-in Hub eventi di Azure
- Plug-in di input di Google Cloud Storage
- Plug-in di input Google_pubsub
Suggerimento
Logstash abilita anche la raccolta di dati ridimensionata usando un cluster. Per altre informazioni, vedere Uso di una macchina virtuale Logstash con carico bilanciato su larga scala.
Connettersi con App per la logica
Usare App per la logica di Azure per creare un connettore personalizzato serverless per Microsoft Sentinel.
Nota
Anche se la creazione di connettori serverless con App per la logica può risultare utile, l'uso di App per la logica per i connettori potrebbe essere costoso per volumi elevati di dati.
È consigliabile usare questo metodo solo per origini dati a basso volume o per arricchire i caricamenti dei dati.
Usare uno dei trigger seguenti per avviare App per la logica:
Trigger Descrizione Un'attività ricorrente Ad esempio, pianificare App per la logica per recuperare regolarmente i dati da file, database o API esterne specifici.
Per altre informazioni, vedere Creare, pianificare ed eseguire attività e flussi di lavoro ricorrenti in App per la logica di Azure.Attivazione su richiesta Eseguire App per la logica su richiesta per il test e la raccolta manuale dei dati.
Per altre informazioni, vedere Chiamare, attivare o annidare App per la logica usando endpoint HTTPS.Endpoint HTTP/S Consigliato per lo streaming e se il sistema di origine può avviare il trasferimento dei dati.
Per altre informazioni, vedere Chiamare gli endpoint del servizio tramite HTTP o HTTPS.Usare uno dei connettori di App per la logica che leggono informazioni per ottenere gli eventi. Ad esempio:
Suggerimento
I connettori personalizzati per le API REST, i server SQL e i file system supportano anche il recupero di dati da origini dati locali. Per altre informazioni, vedere la documentazione Installare il gateway dati locale.
Preparare le informazioni da recuperare.
Ad esempio, usare l'azione di analisi JSON per accedere alle proprietà nel contenuto JSON, per avere la possibilità di selezionare tali proprietà dall'elenco di contenuto dinamico quando si specificano gli input per App per la logica.
Per altre informazioni, vedere Eseguire operazioni sui dati in App per la logica di Azure.
Scrivere i dati in Log Analytics.
Per altre informazioni, vedere la documentazione di Agente di raccolta dati di Azure Log Analytics.
Per esempi di come creare un connettore personalizzato per Microsoft Sentinel usando App per la logica, vedere:
- Creare una pipeline di dati con l'API dell'agente di raccolta dati
- Connettore di app per la logica Palo Alto Prisma con un webhook (community GitHub di Microsoft Sentinel)
- Proteggere le chiamate di Microsoft Teams con l'attivazione pianificata (blog)
- Inserimento di indicatori di minaccia di AlienVault OTX in Microsoft Sentinel (blog)
Connettersi con l'API di inserimento log
È possibile trasmettere eventi a Microsoft Sentinel usando l'API dell'agente di raccolta dati di Log Analytics per chiamare direttamente un endpoint RESTful.
Anche se la chiamata diretta di un endpoint RESTful richiede più programmazione, offre anche maggiore flessibilità.
Per altre informazioni, vedere gli articoli seguenti:
- API di inserimento log in Monitoraggio di Azure.
- Codice di esempio per inviare dati a Monitoraggio di Azure usando l'API di inserimento dei log.
Connettersi con Funzioni di Azure
Usare Funzioni di Azure insieme a un'API RESTful e a vari linguaggi di codifica, ad esempio PowerShell, per creare un connettore personalizzato serverless.
Per esempi di questo metodo, vedere:
- Connettere VMware Carbon Black Cloud Endpoint Standard a Microsoft Sentinel con Funzioni di Azure
- Connettere l'accesso Single Sign-On di Okta a Microsoft Sentinel con Funzioni di Azure
- Connettere Proofpoint TAP a Microsoft Sentinel con Funzione di Azure
- Connettere Qualys VM a Microsoft Sentinel con Funzioni di Azure
- Inserimento di XML, CSV o altri formati di dati
- Monitoraggio di Zoom con Microsoft Sentinel (blog)
- Distribuire un'app per le funzioni per ottenere i dati dell'API di gestione di Office 365 in Microsoft Sentinel (community GitHub di Microsoft Sentinel)
Analizzare i dati del connettore personalizzato
Per sfruttare i vantaggi dei dati raccolti con il connettore personalizzato, sviluppare parser ASIM (Advanced Security Information Model) per lavorare con il connettore. L'uso di ASIM consente al contenuto predefinito di Microsoft Sentinel di usare i dati personalizzati e semplifica l'esecuzione di query sui dati da parte degli analisti.
Se il metodo del connettore lo consente, è possibile implementare parte dell'analisi come parte del connettore per migliorare le prestazioni di analisi del tempo di query:
- Se si è usato Logstash, usare il plug-in di filtro Grok per analizzare i dati.
- Se si è usata una funzione di Azure, analizzare i dati con il codice.
Sarà comunque necessario implementare i parser ASIM, ma l'implementazione di parte dell'analisi direttamente con il connettore semplifica l'analisi e migliora le prestazioni.
Passaggi successivi
Usare i dati inseriti in Microsoft Sentinel per proteggere l'ambiente con uno dei processi seguenti: