Configurare i connettori dati federati in Microsoft Sentinel data lake

Questo articolo illustra come configurare i connettori dati federati per abilitare l'esecuzione di query su origini dati esterne dal data lake Microsoft Sentinel. È possibile eseguire la federazione con Azure Databricks, Azure Data Lake Storage (ADLS) Gen 2 e Microsoft Fabric.

Prerequisiti

Prima di configurare la federazione dei dati, assicurarsi di soddisfare i requisiti seguenti:

  • Sentinel l'onboarding del data lake: è necessario eseguire l'onboarding del tenant nel data lake Sentinel. Per altre informazioni, vedere Eseguire l'onboarding in Microsoft Sentinel data lake.

  • Accessibilità pubblica: l'origine esterna deve essere accessibile pubblicamente. Gli endpoint privati non sono attualmente supportati.

  • Entità servizio: un'entità servizio con le autorizzazioni appropriate nell'origine dati con cui si vuole connettersi è necessaria per Azure origini Databricks e Azure Data Lake Storage Gen2. Per altre informazioni, vedere Microsoft Entra ID registrazioni dell'app.

  • Azure Key Vault: è necessario un Azure Key Vault configurato con il segreto client dell'entità servizio. L'identità dell'applicazione Microsoft Sentinel richiede autorizzazioni assegnate all'insieme di credenziali delle chiavi. Per altre informazioni sulla configurazione di Azure insiemi di credenziali delle chiavi, vedere Azure Key Vaults.

  • Microsoft Sentinel autorizzazioni: autorizzazioni dati (gestione) per le tabelle di sistema per configurare un connettore di federazione dati. Per altre informazioni, vedere Ruoli e autorizzazioni nella piattaforma Microsoft Sentinel.

Creare entità servizio

Per Azure federazione di Databricks e ADLS Gen 2, è necessaria un'entità servizio con credenziali di accesso archiviate in Azure Key Vault. È possibile usare un'entità servizio esistente o seguire questa procedura per creare una nuova entità servizio.

  1. Creare una registrazione dell'applicazione Microsoft Entra ID:

    1. Nel portale di Azure passare a Microsoft Entra ID>Registrazioni app.
    2. Selezionare Nuova registrazione.
    3. Immettere un nome per l'applicazione.
    4. Lasciare vuoto l'URI di reindirizzamento (non necessario per questo scenario).
    5. Selezionare Registra.

  2. Creare un segreto client:

    1. Nella registrazione dell'app passare a Certificati & segreti.
    2. Selezionare Nuovo segreto client.
    3. Immettere una descrizione e selezionare un periodo di scadenza.
    4. Selezionare Aggiungi.
    5. Copiare immediatamente il valore del segreto client per l'uso nella sezione successiva. Non è possibile recuperare questo valore dopo aver lasciato la pagina.

  3. Prendere nota dei dettagli dell'applicazione:

    • ID applicazione (client)
    • ID oggetto
    • Directory (tenant) ID

Per altre informazioni sulla creazione di entità servizio, vedere Microsoft Entra ID registrazioni dell'app.

Creare un Azure Key Vault e archiviare le credenziali

È possibile usare un Azure Key Vault esistente e seguire la procedura seguente per configurare l'accesso Key Vault o creare un nuovo Key Vault seguendo questa procedura:

  1. Creare un Azure Key Vault:

    1. Nel portale di Azure creare un nuovo Azure Key Vault.
    2. Usare il modello di autorizzazione Azure controllo degli accessi in base al ruolo (scelta consigliata).
    3. Abilitare l'eliminazione temporanea e eliminare le impostazioni di protezione per l'insieme di credenziali delle chiavi.
    4. Si noti l'URI Key Vault dopo la creazione.

  2. Configurare l'accesso Key Vault:

    1. Assegnare il ruolo Key Vault Secrets User all'identità gestita della piattaforma Microsoft Sentinel. L'identità è preceduta msg-resources-da .
    2. Se si usano criteri di accesso per Key Vaults anziché Azure controllo degli accessi in base al ruolo, specificare le autorizzazioni Per ottenere ed elencare le operazioni di gestione dei segreti.

  3. Archiviare il segreto client in Key Vault:

    1. Nel Key Vault passare aGenera/Importasegreti>.
    2. Creare un nuovo segreto contenente il segreto client dell'entità servizio.
    3. Si noti il nome del segreto. Viene usato durante la configurazione dell'istanza del connettore di federazione dati.

Per altre informazioni sulla configurazione di Azure insiemi di credenziali delle chiavi, vedere Azure Key Vaults.

Connettori dati federati

I connettori federati vengono gestiti nella pagina Connettori dati in Microsoft Sentinel nel portale di Defender.

  1. Passare a Microsoft Sentinel>Consezioni> dati di configurazione.

  2. In Federazione dati selezionare Catalogo per visualizzare i connettori federati disponibili.

    La pagina del catalogo viene visualizzata:

    • Tipi di connettori federativi disponibili
    • Numero di istanze configurate per ogni connettore
    • Informazioni sul supporto e sul server di pubblicazione

    Screenshot che mostra il catalogo di federazione dei dati con i connettori disponibili.

  3. Selezionare La pagina Connettori personali per visualizzare tutte le istanze del connettore configurate. La pagina elenca le istanze del connettore di federazione dati del tenant insieme al nome visualizzato, alla versione, allo stato e al provider di supporto.

  4. Selezionare ogni istanza per visualizzare i dettagli, modificare le configurazioni o eliminare l'istanza.

Screenshot che mostra la pagina Connettori personali con istanze di federazione configurate.

Creare un'istanza del connettore

Il processo di creazione di un'istanza del connettore varia in base all'origine dati esterna a cui ci si sta connettendo. Seguire le istruzioni per il tipo di origine dati specifico.

Creare un'istanza del connettore di Microsoft Fabric

Prima di configurare l'istanza del connettore fabric, è necessario configurare le autorizzazioni all'interno dell'ambiente Microsoft Fabric per consentire a Microsoft Sentinel di accedere ai dati.

  • Configurare le impostazioni di amministratore in Microsoft Fabric in modo che il tenant sia abilitato per la condivisione dei dati esterni. Per altre informazioni, vedere Creare una condivisione dati esterna

  • Configurare le impostazioni di amministratore in Microsoft Fabric in modo che l'impostazione sia abilitata per le entità servizio possono chiamare le API pubbliche di Fabric. Per altre informazioni, vedere Le entità servizio possono chiamare le API pubbliche di Fabric

  • Aggiungere l'identità della piattaforma Sentinel, preceduta msg-resources- da come membro dell'area di lavoro in Lakehouse da cui si vuole federatare le tabelle. Per altre informazioni, vedere Concedere l'accesso alle aree di lavoro.

  1. Nella paginaCatalogofederazione> dati selezionare la riga di Microsoft Fabric.

  2. Nel pannello laterale selezionare Connetti un connettore.

  3. Immettere le informazioni seguenti:

    Campo Descrizione
    Nome istanza Nome descrittivo per questa istanza del connettore. Questo nome di istanza viene aggiunto alle tabelle rappresentate nel lake da questa istanza di .
    ID area di lavoro fabric ID dell'area di lavoro Fabric da federazione. Quando si passa all'area di lavoro Fabric o Lakehouse, l'ID dell'area di lavoro si trova nell'URL dopo /groups/
    ID tabella Lakehouse ID della tabella Fabric Lakehouse da federazione. Quando si passa a Fabric lakehouse, l'ID lakehouse viene visualizzato nell'URL dopo /lakehouses/.

  4. Seleziona Avanti.

    Screenshot del modulo dei dettagli della connessione di Microsoft Fabric.

  5. Selezionare le tabelle da federatare.

  6. Seleziona Avanti.

  7. Esaminare la configurazione della destinazione di federazione.

  8. Selezionare Connetti per creare l'istanza di connessione.

Nota

I file nell'origine dati di destinazione devono essere in formato parquet differenziale per essere letti dal data lake Sentinel.

Verificare le tabelle dall'istanza del connettore

Dopo aver creato un'istanza del connettore, verificare che le tabelle federate siano disponibili in Microsoft Sentinel.

  1. Passare a Microsoft Sentinel tabelle di > configurazione>.

  2. Filtrare in base al tipo Federato per visualizzare tutte le tabelle federate.

  3. Eseguire la ricerca in base al nome dell'istanza del connettore.

  4. Le tabelle dell'istanza del connettore sono elencate con il nome seguito da _instance name. Ad esempio, se il nome dell'istanza del connettore dati era GlobalHRData e la tabella è stata chiamata hrlogs, il nome della tabella viene visualizzato come hrlogs_GlobalHRData.

  5. Selezionare una tabella dall'elenco per aprire il pannello dei dettagli.

  6. Selezionare la scheda Panoramica per visualizzare il tipo di tabella e il provider di federazione.

  7. Selezionare la scheda Origine dati per visualizzare il provider di dati dell'istanza del connettore e il prodotto di origine per la tabella. Se si seleziona il nome dell'istanza del connettore, si passa all'istanza in Connettori personali all'interno di Connettori dati.

  8. Selezionare la scheda Schema per visualizzare lo schema della tabella.

  9. Nella scheda Schema selezionare Aggiorna per aggiornare lo schema della tabella associato alla tabella federata.

Screenshot che mostra lo schema della tabella federata.

Gestire le istanze del connettore

Per modificare o eliminare un'istanza del connettore:

  1. Passare alla pagina Federazione> datiConnettori personali.
  2. Selezionare l'istanza del connettore da gestire.
  3. Nel pannello dei dettagli usare le opzioni disponibili per:
    • Modificare le impostazioni di connessione
    • Aggiungere o rimuovere tabelle federate
    • Eliminare l'istanza del connettore

Nota

Le istanze di connessione di Microsoft Fabric non supportano la modifica. È possibile creare una nuova connessione federata per aggiungere altre tabelle oppure eliminare l'istanza di connessione fabric e ricrearla con lo stesso nome di istanza e un set diverso di tabelle selezionate.

Screenshot che mostra la pagina Connettori personali.

Risoluzione dei problemi

Connessione non riuscita

  • Verificare che l'identità gestita della piattaforma Sentinel preceduta da msg-resources- disponga delle autorizzazioni corrette per Azure Key Vault.

  • Se l'origine connessione è Azure Databricks o Azure Data Lake Storage Gen2, assicurarsi che il segreto Key Vault contenga il segreto client corretto per l'entità servizio.

  • La rete Key Vault deve essere impostata su Consenti l'accesso pubblico da tutte le reti durante la configurazione del connettore, ovvero la configurazione predefinita di Key Vault. Può essere modificato dopo la creazione o la modifica del connettore.

  • Verificare che l'origine dati esterna sia accessibile pubblicamente.

  • Verificare che l'entità servizio disponga delle autorizzazioni appropriate per l'origine dati di destinazione per Azure Databricks e ADLS.

  • Se l'origine dati di destinazione è Fabric, verificare che all'identità msg-resources- con prefisso per Microsoft Sentinel sia stata concessa l'autorizzazione come membro dell'area di lavoro.

  • Verificare di non avere più di 100 istanze di connessione.

Nota

ADLS e Azure Databricks usano un'istanza di connessione per ogni connessione federata. Fabric può usare più istanze per ogni connessione federata. Per Fabric, ogni schema lakehouse nella connessione federata viene conteggiato rispetto al limite di 100 istanze.

Le tabelle non vengono visualizzate

  • Verificare che l'entità servizio abbia accesso in lettura alle tabelle di destinazione per ADLS e Azure Databricks e che l'entità servizio si trova nello stesso tenant di queste origini dati.

  • Per Databricks, assicurarsi di aver concesso sia il set di impostazioni dei privilegi di lettore dati predefinito che l'autorizzazione External Use Schema per l'entità servizio.

  • Per ADLS Gen 2, verificare che il ruolo Lettore dati blob di archiviazione sia assegnato all'entità servizio.

Problemi di prestazioni delle query

  • Considerare le dimensioni dei dati sottoposti a query da origini esterne.

  • Ottimizzare le query per filtrare i dati in anticipo.

  • Controllare la connettività di rete tra Sentinel e l'origine esterna.

Passaggi successivi

  • Last updated on