Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Sentinel offre un'ampia gamma di connettori predefiniti per servizi Azure e soluzioni esterne e supporta anche l'inserimento di dati da alcune origini senza un connettore dedicato.
Se non è possibile connettere l'origine dati a Microsoft Sentinel usando una delle soluzioni esistenti disponibili, provare a creare un connettore di origine dati personalizzato.
Per un elenco completo dei connettori supportati, vedere Trovare il connettore dati Microsoft Sentinel).For a full list of supported connectors, see the Find your Microsoft Sentinel data connector).
Confronta i metodi dei connettori personalizzati
Nella tabella seguente vengono confrontati i dettagli essenziali su ogni metodo per la creazione di connettori personalizzati descritti in questo articolo. Selezionare i collegamenti nella tabella per altri dettagli su ogni metodo.
| Descrizione del metodo | Funzionalità | Serverless | Complessità |
|---|---|---|---|
|
Framework del connettore senza codice (CCF) Ideale per gruppi di destinatari meno tecnici per creare connettori SaaS usando un file di configurazione anziché uno sviluppo avanzato. |
Supporta tutte le funzionalità disponibili con il codice. | Sì | Basso; sviluppo semplice e senza codice |
|
agente di monitoraggio Azure Ideale per la raccolta di file da origini locali e IaaS |
Raccolta di file, trasformazione dei dati | No | Bassa |
|
Logstash Ideale per origini locali e IaaS, qualsiasi origine per cui è disponibile un plug-in e organizzazioni che hanno già familiarità con Logstash |
Supporta tutte le funzionalità dell'agente di monitoraggio Azure | No; richiede una macchina virtuale o un cluster di macchine virtuali per l'esecuzione | Basso; supporta molti scenari con plug-in |
|
Logic Apps Costo elevato; evitare per i dati con volumi elevati Ideale per le fonti cloud a basso volume |
La programmazione senza codice consente una flessibilità limitata, senza supporto per l'implementazione di algoritmi. Se nessuna azione disponibile supporta già i requisiti, la creazione di un'azione personalizzata può aggiungere complessità. |
Sì | Basso; sviluppo semplice e senza codice |
|
API di inserimento log in monitoraggio Azure Ideale per gli ISV che implementano l'integrazione e per requisiti di raccolta univoci |
Supporta tutte le funzionalità disponibili con il codice. | Dipende dall'implementazione | Alto |
|
Funzioni di Azure Ideale per le origini cloud con volumi elevati e per i requisiti di raccolta univoci |
Supporta tutte le funzionalità disponibili con il codice. | Sì | Alto; richiede conoscenze di programmazione |
Consiglio
Per confronti sull'uso di App per la logica e Funzioni di Azure per lo stesso connettore, vedere:
- Inserire rapidamente i log di Web application firewall in Microsoft Sentinel
- Office 365 (Microsoft Sentinel community GitHub): connettore di App per la logica | connettore di Funzioni di Azure
Connettersi a Codeless Connector Framework
Il Codeless Connector Framework (CCF) fornisce un file di configurazione che può essere utilizzato sia dai clienti che dai partner e quindi distribuito nella propria area di lavoro oppure come soluzione nell'hub dei contenuti di Microsoft Sentinel.
I connettori creati con CCF sono completamente SaaS, senza requisiti per le installazioni dei servizi, e includono anche il monitoraggio dell'integrità e il supporto completo di Microsoft Sentinel.
Per altre informazioni, vedere Creare un connettore senza codice per Microsoft Sentinel.
Connettersi all'agente di monitoraggio Azure
Se l'origine dati recapita eventi in file di testo, è consigliabile usare l'agente di monitoraggio Azure per creare il connettore personalizzato.
Per altre informazioni, vedi Raccogliere i log da un file di testo con Monitoraggio di Azure Agent.
Per un esempio di questo metodo, vedere Raccogliere i log da un file JSON con Azure'agente di monitoraggio.
Connettersi con Logstash
Se si ha familiarità con Logstash, è possibile usare Logstash con il plug-in di output Logstash per Microsoft Sentinel per creare il connettore personalizzato.
Con il plug-in Microsoft Sentinel Logstash Output è possibile usare qualsiasi plug-in di input e filtro Logstash e configurare Microsoft Sentinel come output per una pipeline Logstash. Logstash include una vasta libreria di plug-in che consentono l'input da varie origini, ad esempio Hub eventi, Apache Kafka, Files, database e servizi cloud. Usare i plug-in di filtro per analizzare gli eventi, filtrare gli eventi non necessari, offuscare i valori e altro ancora.
Per esempi sull'uso di Logstash come connettore personalizzato, vedere:
- Ricerca delle TTP della violazione di Capital One nei log di AWS con Microsoft Sentinel (blog)
- Guida all'implementazione di Radware Microsoft Sentinel
Per esempi di plug-in Logstash utili, vedere:
- Plug-in di input CloudWatch
- plugin di Hub eventi di Azure
- Plug-in di input di Google Cloud Storage
- plugin di input Google_pubsub
Consiglio
Logstash consente anche la raccolta di dati con scalabilità orizzontale tramite un cluster. Per altre informazioni, vedere Uso di una macchina virtuale Logstash con bilanciamento del carico su larga scala.
Connetti con Logic Apps
Usa App per la logica di Azure per creare un connettore serverless personalizzato per Microsoft Sentinel.
Nota
Sebbene creare connettori serverless usando Logic Apps possa essere pratico, usare Logic Apps per i propri connettori può risultare costoso con volumi elevati di dati.
È consigliabile usare questo metodo solo per le origini dati a basso volume o per arricchire i caricamenti dei dati.
Usa uno dei trigger seguenti per avviare Logic Apps:
Attivatore Descrizione Attività ricorrente Ad esempio, pianifica la tua app per la logica in modo che recuperi regolarmente i dati da file specifici, database o API esterne.
Per altre informazioni, vedere Creare, pianificare ed eseguire attività e flussi di lavoro ricorrenti in app per la logica Azure.Attivazione su richiesta Esegui la Logic App su richiesta per la raccolta manuale dei dati e i test.
Per altre informazioni, vedere Chiamare, attivare o annidare app per la logica usando gli endpoint HTTPS.Endpoint HTTP/S Consigliato per lo streaming e se il sistema di origine può avviare il trasferimento dei dati.
Per altre informazioni, vedere Chiamare gli endpoint del servizio tramite HTTP o HTTPS.Usa uno qualsiasi dei connettori di Logic Apps che consentono di leggere informazioni per ottenere i tuoi eventi. Ad esempio:
Consiglio
Connettori personalizzati per API REST, SQL Server e file system supportano anche il recupero di dati da origini dati locali. Per altre informazioni, vedere La documentazione relativa all'installazione del gateway dati locale .
Preparare le informazioni da recuperare.
Ad esempio, usa l'azione Analizza JSON per accedere alle proprietà del contenuto JSON, consentendoti di selezionare tali proprietà dall'elenco del contenuto dinamico quando specifichi gli input per la tua Logic App.
Per altre informazioni, vedere Eseguire operazioni sui dati in app per la logica Azure.
Scrivere i dati in Log Analytics.
Per altre informazioni, vedere la documentazione dell'agente di raccolta dati Log Analytics di Azure.
Per esempi su come creare un connettore personalizzato per Microsoft Sentinel usando App per la logica, vedere:
- Creare una pipeline di dati con l'API agente di raccolta dati
- Connettore Palo Alto Prisma Logic App con un webhook (Microsoft Sentinel community di GitHub)
- Proteggere le chiamate di Microsoft Teams con l'attivazione pianificata (blog)
- Inserimento di indicatori di minaccia AlienVault OTX in Microsoft Sentinel (blog)
Connettersi con l'API di inserimento log
È possibile trasmettere gli eventi a Microsoft Sentinel usando l'API agente di raccolta dati di Log Analytics per chiamare direttamente un endpoint RESTful.
Anche se la chiamata a un endpoint RESTful richiede direttamente più programmazione, offre anche maggiore flessibilità.
Per altre informazioni, vedere gli articoli seguenti:
- API di inserimento log in Monitoraggio di Azure.
- Codice di esempio per inviare dati a Monitoraggio di Azure usando l'API di inserimento log.
Connettersi con Funzioni di Azure
Usare Funzioni di Azure insieme a un'API RESTful e a diversi linguaggi di codifica, ad esempio PowerShell, per creare un connettore personalizzato serverless.
Per esempi di questo metodo, vedere:
- Connettere l'endpoint cloud VMware Carbon Black Standard a Microsoft Sentinel con la funzione Azure
- Connetti il Single Sign-On di Okta a Microsoft Sentinel con Azure Functions
- Connetti Proofpoint TAP a Microsoft Sentinel con una funzione di Azure
- Connettere la macchina virtuale Qualys a Microsoft Sentinel con Azure Function
- Inserimento di xml, csv o altri formati di dati
- Monitoraggio dello zoom con Microsoft Sentinel (blog)
- Distribuisci un'App per le funzioni per acquisire i dati dell'API di gestione di Office 365 in Microsoft Sentinel (community GitHub di Microsoft Sentinel)
Analizzare i dati del connettore personalizzato
Per sfruttare i dati raccolti con il tuo connettore personalizzato, sviluppa parser ASIM (Advanced Security Information Model) da usare con il connettore. L'uso di ASIM consente al contenuto predefinito di Microsoft Sentinel di usare i dati personalizzati e semplifica l'esecuzione di query sui dati da parte degli analisti.
Se il metodo del connettore lo consente, è possibile implementare parte dell'analisi sintattica nel connettore per migliorare le prestazioni dell'analisi in fase di query:
- Se è stato usato Logstash, usare il plug-in filtro Grok per analizzare i dati.
- Se è stata usata una funzione Azure, analizzare i dati con il codice.
Sarà comunque necessario implementare i parser ASIM, ma l'implementazione di parte dell'analisi direttamente con il connettore semplifica l'analisi e migliora le prestazioni.
Passaggi successivi
Usare i dati inseriti in Microsoft Sentinel per proteggere l'ambiente con uno dei processi seguenti: