Microsoft Sentinel-gegevensconnectors
Nadat u Microsoft Sentinel in uw werkruimte hebt toegevoegd, gebruikt u gegevensconnectors om uw gegevens op te nemen in Microsoft Sentinel. Microsoft Sentinel wordt geleverd met veel out-of-the-box-connectors voor Microsoft-services, die in realtime worden geïntegreerd. De Microsoft Defender XDR-connector is bijvoorbeeld een service-naar-service-connector die gegevens van Office 365, Microsoft Entra ID, Microsoft Defender for Identity en Microsoft Defender voor Cloud-apps integreert.
Ingebouwde connectors maken verbinding met het bredere beveiligingsecosysteem mogelijk voor niet-Microsoft-producten. Gebruik bijvoorbeeld Syslog, Common Event Format (CEF) of REST API's om uw gegevensbronnen te verbinden met Microsoft Sentinel.
Notitie
Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Gegevensconnectors die worden geleverd met oplossingen
Microsoft Sentinel-oplossingen bieden verpakte beveiligingsinhoud, waaronder gegevensconnectors, werkmappen, analyseregels, playbooks en meer. Wanneer u een oplossing met een gegevensconnector implementeert, krijgt u de gegevensconnector samen met gerelateerde inhoud in dezelfde implementatie.
Op de pagina Microsoft Sentinel-gegevensconnectors worden de geïnstalleerde of ingebruikte gegevensconnectors weergegeven.
Als u meer gegevensconnectors wilt toevoegen, installeert u de oplossing die is gekoppeld aan de gegevensconnector vanuit de Content Hub. Raadpleeg voor meer informatie de volgende artikelen:
- Uw Microsoft Sentinel-gegevensconnector zoeken
- Over Microsoft Sentinel-inhoud en -oplossingen
- Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren
- Microsoft Sentinel-inhoudshubcatalogus
- Op ASIM (Advanced Security Information Model) gebaseerde domeinoplossingen voor Microsoft Sentinel
REST API-integratie voor gegevensconnectors
Veel beveiligingsoplossingen bieden een set API's voor het ophalen van logboekbestanden en andere beveiligingsgegevens uit hun product of service. Deze API's maken verbinding met Microsoft Sentinel met een van de volgende methoden:
- De gegevensbron-API's worden geconfigureerd met het Platform voor codeloze connectors.
- De gegevensconnector maakt gebruik van de Logboekopname-API voor Azure Monitor als onderdeel van een Azure-functie of logische app.
Zie de volgende artikelen voor meer informatie over het maken van verbinding met Azure Functions:
- Azure Functions gebruiken om uw gegevensbron te verbinden met Microsoft Sentinel
- Documentatie van Azure Functions
- Azure Functions-prijzen
Zie Verbinding maken met Logic Apps voor meer informatie over het maken van verbinding met Logic Apps.
Integratie op basis van agents voor gegevensconnectors
Microsoft Sentinel kan agents gebruiken die worden geleverd door de Azure Monitor-service (waarop Microsoft Sentinel is gebaseerd) om gegevens te verzamelen uit elke gegevensbron die realtime logboekstreaming kan uitvoeren. De meeste on-premises gegevensbronnen maken bijvoorbeeld verbinding met behulp van integratie op basis van agents.
In de volgende secties worden de verschillende typen gegevensconnectors op basis van een Microsoft Sentinel-agent beschreven. Als u verbindingen wilt configureren met behulp van mechanismen op basis van agents, volgt u de stappen op elke microsoft Sentinel-gegevensconnectorpagina.
Syslog en Common Event Format (CEF)
U kunt gebeurtenissen streamen van op Linux gebaseerde, Syslog-ondersteunende apparaten naar Microsoft Sentinel met behulp van de Azure Monitor-agent (AMA). Logboekindelingen variëren, maar veel bronnen bieden ondersteuning voor CEF-opmaak. Afhankelijk van het apparaattype wordt de agent rechtstreeks op het apparaat geïnstalleerd of op een toegewezen doorstuurserver voor Linux-logboeken. De AMA ontvangt gewone Syslog- of CEF-gebeurtenisberichten van de Syslog-daemon via UDP. De Syslog-daemon stuurt gebeurtenissen intern door naar de agent en communiceert via TCP of UDS (Unix Domain Sockets), afhankelijk van de versie. De AMA verzendt deze gebeurtenissen vervolgens naar de Microsoft Sentinel-werkruimte.
Hier volgt een eenvoudige stroom die laat zien hoe Microsoft Sentinel Syslog-gegevens streamt.
- De ingebouwde Syslog-daemon van het apparaat verzamelt lokale gebeurtenissen van de opgegeven typen en stuurt de gebeurtenissen lokaal door naar de agent.
- De agent streamt de gebeurtenissen naar uw Log Analytics-werkruimte.
- Na een geslaagde configuratie worden Syslog-berichten weergegeven in de Tabel Log Analytics Syslog en CEF-berichten in de CommonSecurityLog-tabel .
Zie Syslog en Common Event Format (CEF) via AMA-connectors voor Microsoft Sentinel voor meer informatie.
Aangepaste logboeken
Voor sommige gegevensbronnen kunt u logboeken verzamelen als bestanden op Windows- of Linux-computers met behulp van de aangepaste Log Analytics-logboekverzamelingsagent.
Als u verbinding wilt maken met behulp van de aangepaste Log Analytics-agent voor logboekverzameling, volgt u de stappen op elke microsoft Sentinel-gegevensconnectorpagina. Na een geslaagde configuratie worden de gegevens weergegeven in aangepaste tabellen.
Zie Aangepaste logboeken via AMA-gegevensconnector - Gegevensopname configureren voor Microsoft Sentinel vanuit specifieke toepassingen voor meer informatie.
Service-naar-service-integratie voor gegevensconnectors
Microsoft Sentinel maakt gebruik van de Azure-basis om out-of-the-box service-to-service-ondersteuning te bieden voor Microsoft-services en Amazon Web Services.
Raadpleeg voor meer informatie de volgende artikelen:
- Microsoft Sentinel verbinden met Azure-, Windows-, Microsoft- en Amazon-services
- Uw Microsoft Sentinel-gegevensconnector zoeken
Ondersteuning voor gegevensconnector
Zowel Microsoft als andere organisaties schrijven Microsoft Sentinel-gegevensconnectors. Elke gegevensconnector heeft een van de volgende ondersteuningstypen die worden vermeld op de pagina gegevensconnector in Microsoft Sentinel.
| Ondersteuningstype | Beschrijving |
|---|---|
| Door Microsoft ondersteund | Van toepassing op:
Partners of de Community ondersteunen gegevensconnectors die zijn gemaakt door een andere partij dan Microsoft. |
| Partner ondersteund | Van toepassing op gegevensconnectors die zijn gemaakt door andere partijen dan Microsoft. Het partnerbedrijf biedt ondersteuning of onderhoud voor deze gegevensconnectors. Het partnerbedrijf kan een onafhankelijke softwareleverancier, een managed serviceprovider (MSP/MSSP), een systeemintegrator (SI) of een organisatie zijn waarvan de contactgegevens worden opgegeven op de pagina Microsoft Sentinel voor die gegevensconnector. Neem contact op met de opgegeven ondersteuningsmedewerker voor gegevensconnector voor eventuele problemen met een gegevensconnector die door een partner wordt ondersteund. |
| Community ondersteund | Van toepassing op gegevensconnectors die zijn gemaakt door Microsoft- of partnerontwikkelaars die geen contactpersonen hebben vermeld voor ondersteuning en onderhoud van de gegevensconnector op de pagina van de gegevensconnector in Microsoft Sentinel. Voor vragen of problemen met deze gegevensconnectors kunt u een probleem indienen in de GitHub-community van Microsoft Sentinel. |
Zie Ondersteuning zoeken voor een gegevensconnector voor meer informatie.
Volgende stappen
Zie de volgende artikelen voor meer informatie over gegevensconnectors.
- Uw gegevensbronnen verbinden met Microsoft Sentinel met behulp van gegevensconnectors
- Uw Microsoft Sentinel-gegevensconnector zoeken
- Resources voor het maken van aangepaste Microsoft Sentinel-connectors
Zie de IaC-referentie voor Microsoft Sentinel-gegevensconnector voor een basisreferentie van Bicep, Azure Resource Manager en Terraform voor het implementeren van gegevensconnectors in Microsoft Sentinel.