用于创建 Microsoft Sentinel 自定义连接器的资源

Microsoft Sentinel 提供各种适用于 Azure 服务和外部解决方案的现成可用连接器,还支持从某些来源引入数据,无需使用专用连接器。

如果你无法使用任何可用的现有解决方案将数据源连接至 Microsoft Sentinel,请考虑创建自己的数据源连接器。

有关支持的连接器的完整列表,请参阅查找 Microsoft Sentinel 数据连接器

自定义连接器方法对比

下表对本文介绍的每种创建自定义连接器的方法的基本详细信息进行对比。 如需每种方法的更多详细信息,请选择表中的链接。

方法说明 功能 无服务器 复杂性
Azure Monitor 代理
最适合从本地和 IaaS 源收集文件
文件收集,数据转换
Logstash
最适合用于本地和 IaaS 源、任何有可用插件的源,以及已熟悉 Logstash 的组织
支持 Azure Monitor 代理的所有功能 否;需要 VM 或 VM 群集才能运行 低;支持许多使用插件的方案
逻辑应用程序
高成本;避免大量数据
最适合用于低数据量的云源
无代码编程可实现有限的灵活性,不支持实现算法。

没有任何可用操作已支持你的需求时,创建自定义操作可能会增加复杂性。
低;简单、无代码的开发
Azure Monitor 中的日志引入 API
最适合用于实现集成的 ISV,以及用于独特的收集需求
支持所有通过代码提供的功能。 取决于实现
Azure Functions
最适合用于大数据量的云源,以及用于独特的收集需求
支持所有通过代码提供的功能。 高;需要编程知识

提示

有关将逻辑应用和 Azure Functions 用于同一连接器的比较,请参阅:

使用 Azure Monitor 代理进行连接

如果数据源以文本文件的形式交付事件,则建议使用 Azure Monitor 代理创建自定义连接器。

使用 Logstash 进行连接

如果熟悉 Logstash,你可将 Logstash 与适用于 Microsoft Sentinel 的 Logstash 输出插件结合使用,以创建自定义连接器。

利用 Microsoft Sentinel Logstash 输出插件,你可使用任何 Logstash 输入和筛选插件,并将 Microsoft Sentinel 配置为 Logstash 管道的输出。 Logstash 有一个大型插件库,其中的插件支持从各种源(例如,事件中心、Apache Kafka、文件、数据库和云服务)进行输入。 使用筛选插件可以分析事件、筛选不必要的事件、混淆值,等等。

如需使用 Logstash 作为自定义连接器的示例,请参阅:

如需实用 Logstash 插件的示例,请参阅:

提示

利用 Logstash,你还可以使用群集进行大规模数据收集。 有关详细信息,请参阅大规模使用负载平衡的 Logstash VM

使用逻辑应用进行连接

使用 Azure 逻辑应用创建适用于 Microsoft Sentinel 的无服务器自定义连接器。

注意

使用逻辑应用创建无服务器的连接器可能很方便,但数据量较大时,将逻辑应用用于连接器的成本可能很高。

建议仅将此方法用于低数据量的数据源,或者用于扩充数据上传。

  1. 使用以下触发器之一启动逻辑应用:

    触发器 说明
    重复性任务 例如,编制逻辑应用的计划,定期从特定文件、数据库或外部 API 检索数据。
    有关详细信息,请参阅在 Azure 逻辑应用中创建、计划和运行重复性任务与工作流
    按需触发 按需运行逻辑应用,以进行手动数据收集和测试。
    有关详细信息,请参阅使用 HTTPS 终结点调用、触发或嵌套逻辑应用
    HTTP/S 终结点 建议用于流式处理,并在源系统可以启动数据传输的情况下使用。
    有关详细信息,请参阅通过 HTTP 或 HTTPS 调用服务终结点
  2. 使用任何可读取信息的逻辑应用连接器获取事件。 例如:

    提示

    用于 REST API、SQL Server 和文件系统的自定义连接器还支持从本地数据源检索数据。 有关详细信息,请参阅安装本地数据网关文档。

  3. 准备要检索的信息。

    例如,使用分析 JSON 操作可以访问 JSON 内容中的属性,因此在为逻辑应用指定输入时,能够从动态内容列表中选择这些属性。

    有关详细信息,请参阅在 Azure 逻辑应用中执行数据操作

  4. 将数据写入 Log Analytics。

    有关详细信息,请参阅Azure Log Analytics 数据收集器文档。

有关如何使用逻辑应用为 Microsoft Sentinel 创建自定义连接器的示例,请参阅:

使用日志引入 API 进行连接

通过使用 Log Analytics 数据收集器 API 直接调用 RESTful 终结点,可以将事件流式传输到 Microsoft Sentinel。

直接调用 RESTful 终结点需要较多的编程,但更加灵活。

有关详细信息,请参阅以下文章:

使用 Azure Functions 进行连接

将 Azure Functions 与 RESTful API 和各种编码语言(例如,PowerShell)结合使用,以创建无服务器的自定义连接器。

如需这种方法的示例,请参阅:

分析自定义连接器数据

若要利用使用自定义连接器收集的数据,请开发高级安全信息模型 (ASIM) 分析程序以使用连接器。 通过使用 ASIM,Microsoft Sentinel 的内置内容可以使用你的自定义数据,使分析师可以更轻松地查询数据。

如果连接器方法允许,可以将部分分析作为连接器的一部分实现,以提高查询时分析性能:

  • 如果你已使用 Logstash,请使用 Grok 筛选器插件来分析数据。
  • 如果你已使用 Azure 函数,请使用代码分析数据。

你仍然需要实现 ASIM 分析程序,但直接使用连接器实现部分分析可简化分析并提高性能。

后续步骤

利用下列任何过程,使用已引入到 Microsoft Sentinel 的数据来保护环境: