Recursos para criar conectores personalizados do Microsoft Azure Sentinel
O Microsoft Sentinel fornece uma ampla variedade de conectores prontos para uso para serviços do Azure e soluções externas e também oferece suporte à ingestão de dados de algumas fontes sem um conector dedicado.
Se não for possível conectar sua fonte de dados ao Microsoft Azure Sentinel usando qualquer uma das soluções existentes disponíveis, considere criar seu próprio conector de fonte de dados.
Para obter uma lista completa de conectores suportados, veja Encontre seu conector de dados do Microsoft Sentinel).
Comparar métodos de conectores personalizados
A tabela a seguir compara os detalhes essenciais sobre cada método para a criação de conectores personalizados descritos neste artigo. Selecione os links na tabela para obter mais detalhes sobre cada método.
| Descrição de método | Funcionalidade | Sem servidor | Complexidade |
|---|---|---|---|
| Plataforma de conector com código (CCP) Ideal para públicos menos técnicos criar conectores SaaS usando um arquivo de configuração em vez de desenvolvimento avançado. |
Dá suporte a todas as funcionalidades disponíveis com o código. | Sim | Baixa, desenvolvimento simples e com código |
| Agente do Azure Monitor Melhor para coletar arquivos de fontes locais e de IaaS |
Coleção de arquivos, transformação de dados | Não | Baixo |
| Logstash Melhor para fontes locais e IaaS, qualquer fonte para a qual um plug-in esteja disponível e organizações já familiarizados com o Logstash |
Dá suporte a todos os recursos do agente do Azure Monitor | Não; requer que uma VM ou um cluster de VM seja executado | Baixa; Dá suporte a muitos cenários com plug-ins |
| Aplicativos Lógicos Alto custo; Evite para dados de alto volume Melhor para fontes de nuvem de baixo volume |
A programação sem código permite flexibilidade limitada, não há suporte para a implementação de algoritmos. Se nenhuma ação disponível já oferecer suporte aos seus requisitos, a criação de uma ação personalizada poderá adicionar complexidade. |
Sim | Baixa, desenvolvimento simples e com código |
| PowerShell Melhor para protótipos e carregamentos de arquivos periódicos |
Suporte direto para a coleta de arquivos. O PowerShell pode ser usado para coletar mais fontes, mas exigirá codificação e configuração do script como um serviço. |
No | Baixo |
| API do Log Analytics Melhor para os ISVs que implementam a integração e para requisitos de coleção exclusivos |
Dá suporte a todas as funcionalidades disponíveis com o código. | Depende da implementação | Alto |
| Azure Functions Ideal para fontes de nuvem de alto volume e requisitos de coleção exclusivos |
Dá suporte a todas as funcionalidades disponíveis com o código. | Sim | Alta, requer conhecimento de programação |
Dica
Para comparações de uso de aplicativos lógicos e Azure Functions para o mesmo conector, consulte:
- Ingerir logs de firewall do aplicativo Web com rapidez no Microsoft Azure Sentinel
- Office 365 (Comunidade GitHub do Microsoft Azure Sentinel): conector de aplicativo lógico | Conector do Azure Function
Conectar-se com a Plataforma de Conector sem Código
A CCP (Plataforma de Conector sem Código) fornece um arquivo de configuração que pode ser usado por clientes e parceiros e, depois, implantado em seu workspace ou como uma solução para a galeria de soluções do Microsoft Sentinel.
Os conectores criados usando a CCP são integralmente SaaS, sem requisitos de instalações de serviço e também incluem monitoramento de integridade e suporte completo do Microsoft Sentinel.
Para obter mais informações, confira Criar um conector sem código para o Microsoft Sentinel.
Conectar-se ao agente do Azure Monitor
Se a fonte de dados fornecer eventos em arquivos de texto, é recomendável usar o agente do Azure Monitor para criar seu conector personalizado.
Para obter mais informações, consulte Coletar logs de um arquivo de texto com o agente do Azure Monitor.
Para obter um exemplo desse método, consulte Coletar logs de um arquivo JSON com o agente do Azure Monitor.
Conectar-se ao Logstash
Se você estiver familiarizado com o Logstash, convém usar o Logstash com o plug-in de saída Logstash para o Microsoft Azure Sentinel para criar seu conector personalizado.
Com o plug-in de saída Logstash do Microsoft Azure Sentinel, você pode usar quaisquer plug-ins de entrada e filtragem do Logstash e configurar o Microsoft Azure Sentinel como a saída para um pipeline Logstash. O Logstash tem uma grande biblioteca de plug-ins que habilitam a entrada de várias fontes, como hubs de eventos, Apache Kafka, Arquivos, Bancos de Dados e serviços de Nuvem. Use os plug-ins de filtragem para analisar eventos, filtrar eventos desnecessários, ofuscar valores e muito mais.
Para obter exemplos de como usar o Logstash como um conector personalizado, consulte:
- Procurando TTPS da violação do Capital One em logs do AWS usando o Microsoft Azure Sentinel (blog)
- Guia de implementação do Microsoft Azure Sentinel Radware
Para obter exemplos de plug-ins úteis do Logstash, consulte:
- Plug-in de entrada CloudWatch
- Exemplos de Hubs de Eventos do Azure
- Plug-in de entrada do Google Cloud Storage
- Plug-in de entrada Google_pubsub
Dica
O Logstash também habilita a coleta de dados dimensionada usando um cluster. Para obter mais informações, consulte usando uma VM Logstash com balanceamento de carga em escala.
Conectar-se aos Aplicativos Lógicos
Use os Aplicativos Lógicos do Azure para criar um conector personalizado sem servidor para o Microsoft Azure Sentinel.
Observação
Embora a criação de conectores sem servidor usando Aplicativos Lógicos possa ser conveniente, o uso de Aplicativos Lógicos para seus conectores pode ser dispendioso para grandes volumes de dados.
É recomendável que você use esse método somente para fontes de dados de volume baixo ou enriquecendo os carregamentos de dados.
Use um dos seguintes gatilhos para iniciar seus aplicativos lógicos:
Gatilho Descrição Uma tarefa recorrente Por exemplo, agende seu aplicativo lógico para recuperar dados regularmente de arquivos específicos, bancos de dados ou APIs externas.
Para obter mais informações, consulte Cria, agendar e executar tarefas e fluxos de trabalho recorrentes com os Aplicativos Lógicos do Azure.Gatilho sob demanda Execute seu aplicativo lógico sob demanda para a coleta e teste manuais de dados.
Para obter mais informações, confira Chamar, acionar ou aninhar aplicativos lógicos usando pontos de extremidade HTTPS.Ponto de extremidade HTTP/S Recomendado para streaming e se o sistema de origem puder iniciar a transferência de dados.
Para obter mais informações, consulte chamar pontos de extremidade de serviço por HTTP ou HTTPS.Use qualquer um dos conectores de Aplicativos Lógicos que lêem informações para obter seus eventos. Por exemplo:
Dica
Os conectores personalizados para APIs REST, SQL Servers e sistemas de arquivos também oferecem suporte à recuperação de dados de fontes de dados locais. Para obter mais informações, consulte Instalar a documentação do gateway de dados local.
Prepare as informações que você deseja recuperar.
Por exemplo, use a ação analisar JSON para acessar propriedades no conteúdo JSON, permitindo que você selecione essas propriedades na lista de conteúdo dinâmico quando especificar entradas para seu aplicativo lógico.
Para obter mais informações, consulte executar operações de dados em Aplicativos Lógicos do Azure.
Grave os dados em log Analytics.
Para obter mais informações, consulte a documentação do coletor de dados do Azure log Analytics.
Para obter exemplos de como você pode criar um conector personalizado para o Microsoft Azure Sentinel usando Aplicativos Lógicos do Azure, confira:
- Criar um pipeline de dados com a API do Coletor de Dados
- Conector de aplicativos lógicos do Palo Alto Prisma usando um webhook (Comunidade GitHub do Microsoft Azure Sentinel)
- Proteja suas chamadas do Microsoft Teams com a ativação agendada (blog)
- Ingerir indicadores de ameaça do AlienVault OTX no Microsoft Azure Sentinel (blog)
Conectar-se com o PowerShell
O script do PowerShell Upload-AzMonitorLog permite que você use o PowerShell para transmitir eventos ou informações de contexto para o Microsoft Azure Sentinel na linha de comando. Esse streaming cria efetivamente um conector personalizado entre sua fonte de dados e o Microsoft Azure Sentinel.
Por exemplo, o script a seguir carrega um arquivo CSV para o Microsoft Azure Sentinel:
Import-Csv .\testcsv.csv
| .\Upload-AzMonitorLog.ps1
-WorkspaceId '69f7ec3e-cae3-458d-b4ea-6975385-6e426'
-WorkspaceKey $WSKey
-LogTypeName 'MyNewCSV'
-AddComputerName
-AdditionalDataTaggingName "MyAdditionalField"
-AdditionalDataTaggingValue "Foo"
O script de script do PowerShell upload-AzMonitorLog usa os seguintes parâmetros:
| Parâmetro | Descrição |
|---|---|
| espaços de trabalhoId | Sua ID do workspace do Microsoft Azure Sentinel, onde você armazenará seus dados. Encontre sua ID do espaços de trabalho e a chave. |
| WorkspaceKey | A chave primária ou secundária para o workspace do Microsoft Azure Sentinel em que você armazenará seus dados. Encontre sua ID do espaços de trabalho e a chave. |
| LogTypeName | O nome da tabela de registro personalizada em que você quer armazenar os dados. Um sufixo de _CL será adicionado automaticamente ao final do nome da tabela. |
| AddComputerName | Quando esse parâmetro existe, o script adiciona o nome do computador atual a cada registro de log, em um campo chamado computador. |
| TaggedAzureResourceId | Quando esse parâmetro existe, o script associa todos os registros de log carregados ao recurso do Azure especificado. Essa associação habilita os registros de log carregados para consultas de contexto de recurso e adere ao controle de acesso baseado em função e centrado em recursos. |
| AdditionalDataTaggingName | Quando esse parâmetro existe, o script adiciona outro campo a cada registro de log, com o nome configurado e o valor configurado para o parâmetro AdditionalDataTaggingValue. Nesse caso, AdditionalDataTaggingValue não deve estar vazio. |
| AdditionalDataTaggingValue | Quando esse parâmetro existe, o script adiciona outro campo a cada registro de log, com o valor configurado e o nome configurado para o parâmetro AdditionalDataTaggingName. Se o parâmetro AdditionalDataTaggingName estiver vazio, mas um valor for configurado, o nome do campo padrão será DataTagging. |
Encontre sua ID do espaço de trabalho e a chave
Encontre os detalhes dos parâmetros WorkspaceID e WorkspaceKey no Microsoft Azure Sentinel:
No Microsoft Azure Sentinel, selecione Configurações à esquerda e depois a guia Configurações do workspace.
Em Introdução ao log Analytics>1 conectar uma fonte de dados, selecione Gerenciamento de agentes do Windows e Linux.
Localize a ID do espaço de trabalho, a chave primária e a chave secundária nas guias servidores do Windows.
Conectar-se com a API de Log Analytics
Você pode transmitir eventos para o Microsoft Azure Sentinel usando a API do coletor de dados do Log Analytics para chamar um ponto de extremidade RESTful diretamente.
Embora chamar um ponto de extremidade RESTful diretamente exija mais programação, ele também fornece mais flexibilidade.
Para obter mais informações, consulte a API do coletor de dados log Analytics, especialmente os exemplos a seguir:
Conecte-se com o Azure Functions
Use Azure Functions junto com uma API RESTful e várias linguagens de codificação, como o PowerShell, para criar um conector personalizado sem servidor.
Para obter exemplos desse método, consulte:
- Conectar o VMware Carbon Black Cloud Endpoint Standard ao Microsoft Azure Sentinel com o Azure Function
- Conectar o logon único do Okta ao Microsoft Azure Sentinel com o Azure Function
- Conectar o Proofpoint TAP ao Microsoft Azure Sentinel com o Azure Function
- Conectar o Qualys VM ao Microsoft Azure Sentinel com o Azure Function
- Ingerindo XML, CSV ou outros formatos de dados
- Monitorar o zoom com o Microsoft Azure Sentinel (blog)
- Implantar um aplicativo de funções para obter dados da API de Gerenciamento do Office 365 no Microsoft Azure Sentinel (Comunidade GitHub do Microsoft Azure Sentinel)
Analisar os dados do conector personalizado
Para aproveitar os dados coletados com seu conector personalizado, desenvolva analisadores de SIEM (Modelo de Informações de Segurança Avançado) para trabalhar com seu conector. O uso do ASIM permite que o conteúdo integrado do Microsoft Azure Sentinel use seus dados personalizados e torna mais fácil para os analistas consultarem os dados.
Se o método do conector permitir isso, você poderá implementar parte da análise como parte do conector para melhorar o desempenho da análise de tempo de consulta:
- Se você usou o Logstash, use o plug-in de filtro do compreendo para analisar seus dados.
- Se você usou uma função do Azure, analise seus dados com o código.
Você ainda precisará implementar analisadores ASIM, mas implementar parte da análise diretamente com o conector simplifica a análise e melhora o desempenho.
Próximas etapas
Usar os dados ingeridos no Microsoft Azure Sentinel para proteger seu ambiente com qualquer um dos seguintes processos:
- Obtenha visibilidade sobre os alertas
- Visualização e monitoramento dos dados
- Investigar incidentes
- Detectar ameaças
- Automatizar prevenção contra ameaças
- Procurar ameaças
Veja também um exemplo de como criar um conector personalizado para monitorar o Zoom: Monitorar o Zoom com o Microsoft Azure Sentinel.