Usar o Azure Functions para conectar o Microsoft Azure Sentinel à fonte de dados

Você pode usar o Azure Functions, em conjunto a várias linguagens de codificação, como o PowerShell ou o Python, para criar um conector sem servidor para os pontos de extremidade da API REST das fontes de dados compatíveis. Os aplicativos do Azure Function permitem que você conecte o Microsoft Azure Sentinel à API REST da fonte de dados para efetuar pull dos logs.

Este artigo descreve como configurar o Microsoft Azure Sentinel para usar os aplicativos do Azure Function. Talvez você também precise configurar o sistema de origem e encontrar links de informações específicos do fornecedor e do produto na página de cada conector de dados no portal ou na seção do serviço na página de referência de conectores de dados do Microsoft Azure Sentinel.

Observação

  • Depois de serem ingeridos no Microsoft Azure Sentinel, os dados são armazenados na localização geográfica do workspace no qual você está executando o Microsoft Azure Sentinel.

    Para retenção de longo prazo, o ideal é também armazenar os dados em tipos de log como Logs auxiliares e Logs básicos. Para obter mais informações, confira Planos de retenção de log do Microsoft Sentinel.

  • Usar o Azure Functions para ingerir dados no Microsoft Azure Sentinel pode resultar em custos adicionais de ingestão de dados. Para saber mais, confira a página sobre preços do Azure Functions.

Pré-requisitos

Verifique se você tem as seguintes permissões e credenciais antes de usar o Azure Functions para conectar o Microsoft Azure Sentinel à fonte de dados e efetuar pull de seus logs:

  • Você precisa ter permissões de leitura e gravação no workspace do Microsoft Azure Sentinel.

  • Você precisa ter permissões de leitura nas chaves compartilhadas do workspace. Saiba mais sobre chaves do workspace.

  • Você deve ter permissões de leitura e gravação no Azure Functions para criar um Aplicativo de Funções. Saiba mais sobre o Azure Functions.

  • Você também precisará ter credenciais para acessar a API do produto: um nome de usuário e senha, um token, uma chave ou alguma outra combinação. Você também pode precisar de outras informações de API, como um URI de ponto de extremidade.

    Para obter mais informações, confira a documentação do serviço ao qual você está se conectando e a seção para o serviço na página de referência de conectores de dados do Microsoft Azure Sentinel.

  • Instale a solução que contém o conector baseado no Azure Functions do Hub de Conteúdo no Microsoft Sentinel. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.

Configurar e conectar a fonte de dados

Observação

  • Você pode armazenar com segurança chaves de autorização de espaço de trabalho e de API ou tokens no Azure Key Vault. O Azure Key Vault fornece um mecanismo seguro para armazenar e recuperar valores de chave. Siga estas instruções para usar o Azure Key Vault com um aplicativos do Azure Function.

  • Alguns conectores de dados dependem de um analisador baseado em uma função Kusto para funcionar conforme o esperado. Confira a seção sobre o serviço na página de referência de conectores de dados do Microsoft Sentinel para obter links para instruções de como criar a função e o alias do Kusto.

Etapa 1: obter as credenciais de API do seu sistema de origem

Siga as instruções do sistema de origem para obter suas credenciais/tokens/chaves de autorização de API. Copie e cole-as em um arquivo de texto para mais tarde.

Você pode encontrar detalhes sobre as credenciais exatas necessárias e links para as instruções do seu produto para localizá-las ou criá-las, na página de conector de dados no portal e na seção para o serviço na página de referência de conectores de dados do Microsoft Azure Sentinel.

Talvez você também precise configurar o registro em log ou outras configurações no sistema de origem. Você encontrará as instruções relevantes junto as instruções do parágrafo anterior.

Etapa 2: implantar o conector e o aplicativo de funções do Azure associado

Escolha uma opção de implantação

Esse método fornece uma implantação automatizada do seu conector baseado no Azure Function usando um modelo do ARM.

  1. No portal do Microsoft Azure Sentinel, selecione Conectores de dados. Selecione o conector baseado no Azure Functions na lista e abra a página do conector.

  2. Em Configuração, copie a chave primária e a ID do workspace do Microsoft Azure Sentinel e cole-as em algum lugar.

  3. Selecione Implantar no Azure. (Talvez seja preciso rolar para baixo para encontrar o botão.)

  4. A tela Implantação personalizada será exibida.

    • Selecione uma assinatura, um grupo de recursos e uma região na qual implantar seu aplicativo de funções.

    • Insira as credenciais/chaves de autorização/tokens de API que você salvou na Etapa 1 acima.

    • Insira a Chave do Workspace (chave primária) e a ID do Workspace do Microsoft Azure Sentinel que você copiou.

      Observação

      Se estiver usando segredos do Azure Key Vault para qualquer um dos valores acima, use o esquema @Microsoft.KeyVault(SecretUri={Security Identifier}) no lugar dos valores da cadeia de caracteres. Para obter mais detalhes, consulte a documentação de referências do Key Vault.

    • Preencha todos os outros campos no formulário na tela de implantação personalizada. Confira a página do conector de dados no portal ou a seção do serviço na página de referência de conectores de dados do Microsoft Azure Sentinel.

    • Selecione Examinar + criar. Após concluir a validação, selecione Criar.

Localizar seus dados

Depois de estabelecer uma conexão com êxito, os dados aparecem nos Logs em CustomLogs, nas tabelas listadas na seção para o serviço na página de referência de conectores de dados do Microsoft Azure Sentinel.

Para consultar dados, insira um desses nomes de tabela, ou o alias da função Kusto relevante, na janela de consulta.

Confira a guia Próximas etapas na página do conector para ver algumas consultas de exemplo úteis.

Validar a conectividade

Pode levar até 20 minutos até que os logs comecem a ser exibidos no Log Analytics.

Próximas etapas

Neste documento, você aprendeu a conectar o Microsoft Azure Sentinel à fonte de dados usando conectores baseados no Azure Functions. Para saber mais sobre o Microsoft Azure Sentinel, confira os artigos a seguir: