Ressourcen zum Erstellen benutzerdefinierter Microsoft Sentinel-Connectors
Microsoft Sentinel bietet eine Vielzahl sofort einsatzbereiter Connectors für Azure-Dienste und externe Lösungen und unterstützt außerdem das Erfassen von Daten aus einigen Quellen ohne einen dedizierten Connector.
Wenn Sie Ihre Datenquelle mit keiner der verfügbaren vorhandenen Lösungen mit Microsoft Sentinel verbinden können, sollten Sie die Erstellung Ihres eigenen Datenquellenconnectors in Erwägung ziehen.
Eine vollständige Liste der unterstützten Connectors finden Sie unter Suchen Ihres Microsoft Sentinel-Datenconnectors).
Vergleichen von benutzerdefinierten Connectormethoden
In der folgenden Tabelle werden wesentliche Details jeder Methode zum Erstellen von benutzerdefinierten Connectors verglichen, die in diesem Artikel beschrieben werden. Wählen Sie die Links in der Tabelle aus, um weitere Informationen zu den einzelnen Methoden zu erhalten.
| Methodenbeschreibung | Funktion | Serverlos | Komplexität |
|---|---|---|---|
| Codeless Connector Platform (CCP) Für technisch weniger versierte Zielgruppen ist es am besten, SaaS-Connectors mithilfe einer Konfigurationsdatei zu erstellen, anstatt sie weiterzuentwickeln. |
Unterstützt alle mit dem Code verfügbaren Funktionen. | Ja | Niedrig; einfache Entwicklung ohne Code. |
| Azure Monitor-Agent Optimal zum Sammeln von Dateien aus lokalen und IaaS-Quellen. |
Dateisammlung, Datentransformation | No | Niedrig |
| Logstash Optimal für lokale und IaaS-Quellen, für jede Quelle, für die ein Plug-In verfügbar ist, und für Organisationen, die bereits mit Logstash vertraut sind. |
Unterstützt alle Funktionen des Azure Monitor-Agents | Nein; zur Ausführung ist eine VM oder ein VM-Cluster erforderlich. | Niedrig; unterstützt viele Szenarien mit Plug-Ins. |
| Logic Apps Hohe Kosten; bei hohen Datenvolumen zu vermeiden. Optimal für Cloudquellen mit niedrigen Volumen. |
Codelose Programmierung ermöglicht eingeschränkt Flexibilität, ohne die Implementierung von Algorithmen zu unterstützen. Wenn Ihre Anforderungen von keiner der verfügbaren Aktionen bereits unterstützt werden, kann das Erstellen einer benutzerdefinierten Aktion die Komplexität erhöhen. |
Ja | Niedrig; einfache Entwicklung ohne Code. |
| Protokollerfassungs-API in Azure Monitor Optimal für ISVs, die Integration implementieren, und für sehr spezifische Sammlungsanforderungen. |
Unterstützt alle mit dem Code verfügbaren Funktionen. | Von der Implementierung abhängig. | Hoch |
| Azure Functions Optimal für Cloudquellen mit hohen Volumen sowie für sehr spezifische Sammlungsanforderungen. |
Unterstützt alle mit dem Code verfügbaren Funktionen. | Ja | Hoch; erfordert Programmierkenntnisse. |
Tipp
Vergleiche der Verwendung von Logic Apps und Azure Functions mit demselben Connector finden Sie unter:
- Schnelles Erfassen von Web Application Firewall-Protokollen in Microsoft Sentinel
- Office 365 (Microsoft Sentinel-GitHub-Community): Logik-App-Connector | Azure Functions-Connector
Verbinden mit der Codeless Connector Platform
Die Codeless Connector Platform (CCP) stellt eine Konfigurationsdatei bereit, die sowohl von Kunden als auch von Partnern verwendet und dann in Ihrem eigenen Arbeitsbereich oder als Lösung im Inhaltshub der Microsoft Sentinel-Lösung bereitgestellt werden kann.
Connectors, die mithilfe der CCP erstellt werden, sind vollständig SaaS-basiert. Es müssen keine Dienste installiert werden. Außerdem sind Funktionen zur Systemüberwachung enthalten, und es besteht eine vollständige Unterstützung durch Microsoft Sentinel.
Weitere Informationen finden Sie unter Erstellen eines codelosen Connectors für Microsoft Sentinel.
Herstellen einer Verbindung mit dem Azure Monitor-Agent
Wenn Ihre Datenquelle Ereignisse in Textdateien liefert, wird empfohlen, dass Sie den Azure Monitor-Agent verwenden, um Ihren benutzerdefinierten Connector zu erstellen.
Weitere Informationen finden Sie unter Sammeln von Protokollen aus einer Textdatei mit dem Azure Monitor-Agent.
Ein Beispiel für diese Methode finden Sie unter Sammeln von Protokollen aus einer JSON-Datei mit dem Azure Monitor-Agent.
Verbinden mit Logstash
Wenn Sie mit Logstashvertraut sind, können Sie Logstash mit dem Logstash-Ausgabe-Plug-In für Microsoft Sentinel verwenden, um Ihren benutzerdefinierten Connector zu erstellen.
Mit dem Microsoft Sentinel Logstash-Ausgabe-Plug-In können Sie beliebige Logstash-Plug-Ins für Eingabe und Filterung verwenden und Microsoft Sentinel als Ausgabe für eine Logstash-Pipeline konfigurieren. Logstash verfügt über eine große Bibliothek von Plug-Ins, die die Eingabe aus verschiedenen Quellen ermöglichen, z. B. Event Hubs, Apache Kafka, Dateien, Datenbanken und Clouddiensten. Verwenden Sie Filter-Plug-Ins, um Ereignisse zu analysieren, unnötige Ereignisse zu filtern, Werte zu verbergen und vieles mehr.
Beispiele für die Verwendung von Logstash als benutzerdefinierten Connector finden Sie unter:
- Suchen nach Capital One Breach TTPs in AWS-Protokollen mithilfe von Microsoft Sentinel (Blog)
- Leitfaden für die Microsoft Sentinel-Implementierung von Radware
Beispiele für nützliche Logstash-Plug-Ins finden Sie unter:
- Cloudwatch-Eingabe-Plug-In
- Azure Event Hubs-Plug-In
- Google Cloud Storage-Eingabe-Plug-In
- Google_pubsub-Eingabe-Plug-In
Tipp
Logstash ermöglicht außerdem die skalierte Datensammlung mithilfe eines Clusters. Weitere Informationen finden Sie unter Verwenden eines virtuellen Logstash-Computers mit Lastenausgleich im großen Stil.
Verbinden mit Logic Apps
Verwenden Sie Azure Logik-Apps, um einen serverlosen, benutzerdefinierten Connector für Microsoft Sentinel zu erstellen.
Hinweis
Zwar kann das Erstellen von serverlosen Connectors mit Logic Apps praktisch sein, doch kann die Verwendung von Logic Apps für ihre Connectors bei großen Datenmengen kostenintensiv sein.
Es wird empfohlen, diese Methode nur für Datenquellen mit geringen Datenvolumen zu verwenden oder Ihre Datenuploads anzureichern.
Verwenden Sie einen der folgenden Trigger, um Ihre Logic Apps zu starten:
Trigger BESCHREIBUNG Eine wiederkehrende Aufgabe Planen Sie Ihre Logik-App beispielsweise so, dass Daten regelmäßig aus bestimmten Dateien, Datenbanken oder externen APIs abgerufen werden.
Weitere Informationen finden Sie unter Erstellen, Planen und Ausführen wiederkehrender Aufgaben und Workflows mit Azure Logic Apps.On-Demand-Trigger Führen Sie Ihre Logik-App bei Bedarf für manuelle Datenerfassung und Tests aus.
Weitere Informationen finden Sie unter Aufrufen, Auslösen oder Schachteln von Logik-Apps mithilfe von HTTPS-Endpunkten.HTTP/S-Endpunkt Empfohlen für das Streaming und wenn das Quellsystem die Datenübertragung starten kann.
Weitere Informationen finden Sie unter Aufrufen von Dienstendpunkten über HTTP oder HTTPS.Verwenden Sie einen der Logik-App-Connectors, die Informationen lesen, um Ihre Ereignisse abzurufen. Beispiel:
- Herstellen einer Verbindung mit einer REST-API
- Herstellen einer Verbindung mit SQL Server
- Herstellen einer Verbindung mit einem Dateisystem
Tipp
Benutzerdefinierte Connectors für REST-APIs, SQL-Server und Dateisysteme unterstützen auch das Abrufen von Daten aus lokalen Datenquellen. Weitere Informationen finden Sie in der Dokumentation zum Installieren eines lokalen Datengateways.
Bereiten Sie die Informationen vor, die Sie abrufen möchten.
Verwenden Sie beispielsweise die Aktion „JSON analysieren“, um auf Eigenschaften in JSON-Inhalten zuzugreifen, was Ihnen ermöglicht, diese Eigenschaften aus der Liste dynamischer Inhalte auszuwählen, wenn Sie Eingaben für Ihre Logik-App angeben.
Weitere Informationen finden Sie unter Ausführen von Datenvorgängen in Azure Logic Apps.
Schreiben Sie die Daten in Log Analytics.
Weitere Informationen finden Sie in der Dokumentation zum Azure Log Analytics-Datensammler.
Beispiele dazu, wie Sie einen benutzerdefinierten Connector für Microsoft Sentinel mithilfe von Logic Apps erstellen können, finden Sie unter:
- Erstellen einer Datenpipeline mit der Datensammler-API
- Palo Alto Prisma Logik-App-Connector mithilfe eines Webhooks (Microsoft Sentinel-GitHub-Community)
- Sichern Ihrer Microsoft Teams-Anrufe mit geplanter Aktivierung (Blog)
- Erfassen von AlienVault OTX-Bedrohungsindikatoren in Microsoft Sentinel (Blog)
Herstellen einer Verbindung mit der Protokollaufnahme-API
Sie können Ereignisse an Microsoft Sentinel streamen, indem Sie die Log Analytics-Datensammler-API verwenden, um einen RESTful-Endpunkt direkt aufzurufen.
Zwar erfordert das direkte Aufrufen eines RESTful-Endpunkts mehr Programmieraufwand, doch bietet es auch mehr Flexibilität.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Protokollerfassungs-API in Azure Monitor.
- Beispielcode zum Senden von Daten an Azure Monitor mithilfe der Protokollerfassungs-API.
Verbinden mit Azure Functions
Verwenden Sie Azure Functions in Verbindung mit einer RESTful-API und verschiedenen Programmiersprachen, z. B. PowerShell, um einen serverlosen, benutzerdefinierten Connector zu erstellen.
Beispiele für diese Methode finden Sie unter:
- Verbinden Ihres VMware Carbon Black Cloud Endpoint Standard mithilfe von Azure Functions mit Microsoft Sentinel
- Verbinden von Okta Single Sign-On mit Microsoft Sentinel über Azure Functions
- Verknüpfen von Proofpoint TAP mit Microsoft Sentinel per Azure Functions
- Verknüpfen von Qualys VM mit Microsoft Sentinel per Azure Functions
- Erfassen von XML-, CSV- oder anderen Datenformaten
- Überwachen von Zoom mit Microsoft Sentinel (Blog)
- Bereitstellen einer Funktions-App zum Abrufen von Office 365-Verwaltungs-API-Daten in Microsoft Sentinel (Microsoft Sentinel-GitHub-Community)
Analysieren der Daten Ihres benutzerdefinierten Connectors
Um die mit Ihrem benutzerdefinierten Connector gesammelten Daten zu nutzen, entwickeln Sie ASIM-Parser (Advanced Security Information Model) zur Arbeit mit Ihrem Connector. Die Verwendung von ASIM ermöglicht den integrierten Inhalten von Microsoft Sentinel, Ihre benutzerdefinierten Daten zu verwenden, und erleichtert Analysten das Abfragen der Daten.
Wenn Ihre Connectormethode dies zulässt, können Sie einen Teil der Analyse als Teil des Connectors implementieren, um die Analyseleistung hinsichtlich der Abfragezeit zu verbessern:
- Wenn Sie Logstash verwendet haben, verwenden Sie das Grok-Filter-Plug-In, um Ihre Daten zu analysieren.
- Wenn Sie eine Azure-Funktion verwendet haben, analysieren Sie Ihre Daten mit Code.
Sie müssen weiterhin ASIM-Parser implementieren, aber die direkte Implementierung eines Teils der Analyse mit dem Connector vereinfacht die Analyse und verbessert die Leistung.
Nächste Schritte
Verwenden Sie die in Microsoft Sentinel erfassten Daten, um Ihre Umgebung mit einem der folgenden Prozesse zu sichern: