Usar o Azure Functions para conectar o Microsoft Sentinel à sua fonte de dados
Você pode usar o Azure Functions, em conjunto com várias linguagens de codificação, como PowerShell ou Python, para criar um conector sem servidor para os pontos de extremidade da API REST de suas fontes de dados compatíveis. Em seguida, os Aplicativos de Função do Azure permitem que você conecte o Microsoft Sentinel à API REST da sua fonte de dados para obter logs.
Este artigo descreve como configurar o Microsoft Sentinel para usar os Aplicativos de Função do Azure. Também pode ser necessário configurar o sistema de origem e encontrar links de informações específicas do fornecedor e do produto na página de cada conector de dados no portal ou na seção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel.
Nota
Uma vez ingeridos no Microsoft Sentinel, os dados são armazenados na localização geográfica do espaço de trabalho no qual você está executando o Microsoft Sentinel.
Para retenção de longo prazo, você também pode querer armazenar dados em tipos de log, como logs auxiliares ou logs básicos. Para obter mais informações, consulte Registrar planos de retenção no Microsoft Sentinel.
Usar o Azure Functions para ingerir dados no Microsoft Sentinel pode resultar em custos adicionais de ingestão de dados. Para obter mais informações, consulte a página de preços do Azure Functions.
Pré-requisitos
Certifique-se de que tem as seguintes permissões e credenciais antes de utilizar o Azure Functions para ligar o Microsoft Sentinel à sua origem de dados e extrair os respetivos registos para o Microsoft Sentinel:
Você deve ter permissões de leitura e gravação no espaço de trabalho do Microsoft Sentinel.
Você deve ter permissões de leitura para chaves compartilhadas para o espaço de trabalho. Saiba mais sobre chaves de espaço de trabalho.
Você deve ter permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Função. Saiba mais sobre o Azure Functions.
Você também precisará de credenciais para acessar a API do produto - um nome de usuário e senha, um token, uma chave ou alguma outra combinação. Você também pode precisar de outras informações de API, como um URI de ponto de extremidade.
Para obter mais informações, consulte a documentação do serviço ao qual você está se conectando e a seção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel.
Instale a solução que contém o conector baseado no Azure Functions a partir do Hub de Conteúdo no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.
Configurar e conectar sua fonte de dados
Nota
Você pode armazenar com segurança chaves ou tokens de autorização de espaço de trabalho e API no Cofre de Chaves do Azure. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um Aplicativo de Função do Azure.
Alguns conectores de dados dependem de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Consulte a seção do seu serviço na página de referência de conectores de dados do Microsoft Sentinel para obter links para instruções para criar a função e o alias do Kusto.
Etapa 1: Obter as credenciais de API do sistema de origem
Siga as instruções do seu sistema de origem para obter suas credenciais de API / chaves de autorização / tokens. Copie-os e cole-os em um arquivo de texto para mais tarde.
Você pode encontrar detalhes sobre as credenciais exatas necessárias e links para as instruções do seu produto para localizá-las ou criá-las na página do conector de dados no portal e na seção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel.
Também pode ser necessário configurar o registro em log ou outras configurações no sistema de origem. Você encontrará as instruções relevantes juntamente com as do parágrafo anterior.
Etapa 2: Implantar o conector e o Aplicativo Azure Function associado
Escolher uma opção de implementação
- Modelo do Azure Resource Manager (ARM)
- Implantação manual com o PowerShell
- Implementação manual com Python
Esse método fornece uma implantação automatizada do seu conector baseado em função do Azure usando um modelo ARM.
No portal do Microsoft Sentinel, selecione Conectores de dados. Selecione seu conector baseado no Azure Functions na lista e, em seguida , abra a página do conector.
Em Configuração, copie a ID do espaço de trabalho do Microsoft Sentinel e a chave primária e cole-os de lado.
Selecione Implantar no Azure. (Talvez seja necessário rolar para baixo para encontrar o botão.)
A tela Implantação personalizada será exibida.
Selecione uma assinatura, um grupo de recursos e uma região na qual implantar seu Aplicativo de Função.
Insira suas credenciais de API / chaves de autorização / tokens que você salvou na Etapa 1 acima.
Insira a ID do Microsoft Sentinel Workspace e a Chave do Espaço de Trabalho (chave primária) que você copiou e colocou de lado.
Nota
Se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o
@Microsoft.KeyVault(SecretUri={Security Identifier})
esquema no lugar dos valores de cadeia de caracteres. Consulte a documentação de referências do Key Vault para obter mais detalhes.Preencha todos os outros campos no formulário na tela Implantação personalizada. Consulte a página do conector de dados no portal ou a seção do seu serviço na página de referência dos conectores de dados do Microsoft Sentinel.
Selecione Rever + criar. Quando a validação for concluída, selecione Criar.
Encontre os seus dados
Depois que uma conexão bem-sucedida é estabelecida, os dados aparecem em Logs em CustomLogs, nas tabelas listadas na seção para seu serviço na página de referência de conectores de dados do Microsoft Sentinel.
Para consultar dados, insira um desses nomes de tabela - ou o alias de função Kusto relevante - na janela de consulta.
Consulte a guia Próximas etapas na página do conector para obter alguns exemplos de consultas úteis.
Validar a conectividade
Pode levar até 20 minutos até que seus logs comecem a aparecer no Log Analytics.
Próximos passos
Neste documento, você aprendeu como conectar o Microsoft Sentinel à sua fonte de dados usando conectores baseados no Azure Functions. Para saber mais sobre o Microsoft Sentinel, consulte os seguintes artigos:
- Saiba como obter visibilidade dos seus dados e potenciais ameaças.
- Comece a detetar ameaças com o Microsoft Sentinel.
- Use pastas de trabalho para monitorar seus dados.