Gegevensconnectors configureren in Microsoft Sentinel
Nadat u Microsoft Sentinel in uw werkruimte hebt toegevoegd, gebruikt u gegevensconnectors om uw gegevens op te nemen in Microsoft Sentinel. Microsoft Sentinel wordt geleverd met veel out-of-the-box-connectors voor Microsoft-services, die in realtime worden geïntegreerd. De Microsoft 365 Defender-connector is bijvoorbeeld een service-naar-service-connector waarmee gegevens van Office 365, Microsoft Entra-id, Microsoft Defender for Identity en Microsoft Defender voor Cloud-apps worden geïntegreerd.
Ingebouwde connectors maken verbinding met het bredere beveiligingsecosysteem mogelijk voor niet-Microsoft-producten. Gebruik bijvoorbeeld Syslog, Common Event Format (CEF) of REST API's om uw gegevensbronnen te verbinden met Microsoft Sentinel.
Op de pagina Microsoft Sentinel-gegevensconnectors ziet u de volledige lijst met connectors en hun status voor uw werkruimte. Binnenkort wordt op deze pagina alleen de lijst met in-use gegevensconnectors weergegeven.
Notitie
Als u meer gegevensconnectors wilt toevoegen, installeert u de oplossing die is gekoppeld aan de gegevensconnector vanuit de Content Hub.
Een gegevensconnector inschakelen
Selecteer op de pagina Gegevensconnectors de actieve of aangepaste connector die u wilt verbinden en selecteer vervolgens de pagina Connector openen. Als u de gewenste gegevensconnector niet ziet, installeert u de oplossing die eraan is gekoppeld vanuit de Content Hub.
Zodra u aan alle vereisten voldoet die worden vermeld op het tabblad Instructies, wordt op de connectorpagina beschreven hoe u de gegevens opneemt in Microsoft Sentinel. Het kan enige tijd duren voordat gegevens binnenkomen.
Nadat u verbinding hebt gemaakt, ziet u een samenvatting van de gegevens in de grafiek Ontvangen gegevens en de connectiviteitsstatus van de gegevenstypen.
REST API-integratie voor gegevensconnectors
Veel beveiligingstechnologieën bieden een set API's voor het ophalen van logboekbestanden en sommige gegevensbronnen kunnen deze API's gebruiken om verbinding te maken met Microsoft Sentinel.
Gegevensconnectors die gebruikmaken van API's kunnen worden geïntegreerd vanuit de provider of integreren met behulp van Azure Functions, zoals beschreven in de volgende secties.
REST API-integratie aan de providerzijde
Een API-integratie die door de provider is gebouwd, maakt verbinding met de gegevensbronnen van de provider en pusht gegevens naar aangepaste logboektabellen van Microsoft Sentinel met behulp van de Azure Monitor Data Collector-API.
REST API-integratie met Behulp van Azure Functions
Integraties die Gebruikmaken van Azure Functions om eerst verbinding te maken met een provider-API, formatteren de gegevens en deze vervolgens verzenden naar aangepaste logboektabellen van Microsoft Sentinel met behulp van de Azure Monitor Data Collector-API.
Integratie op basis van agents voor gegevensconnectors
Microsoft Sentinel kan het Syslog-protocol gebruiken om een agent te verbinden met elke gegevensbron die realtime logboekstreaming kan uitvoeren. De meeste on-premises gegevensbronnen maken bijvoorbeeld verbinding met behulp van integratie op basis van agents.
In de volgende secties worden de verschillende typen gegevensconnectors op basis van een Microsoft Sentinel-agent beschreven. Volg de stappen op elke microsoft Sentinel-gegevensconnectorpagina om verbindingen te configureren met behulp van mechanismen op basis van agents.
Syslog
U kunt gebeurtenissen streamen van op Linux gebaseerde, Syslog-ondersteunende apparaten naar Microsoft Sentinel met behulp van de Azure Monitor-agent (AMA). Afhankelijk van het apparaattype wordt de agent rechtstreeks op het apparaat geïnstalleerd of op een toegewezen doorstuurserver voor Linux-logboeken. De AMA ontvangt gebeurtenissen van de Syslog-daemon via UDP. De Syslog-daemon stuurt gebeurtenissen intern door naar de agent en communiceert via UDS (Unix Domain Sockets). De AMA verzendt deze gebeurtenissen vervolgens naar de Microsoft Sentinel-werkruimte.
Hier volgt een eenvoudige stroom die laat zien hoe Microsoft Sentinel Syslog-gegevens streamt.
- De ingebouwde Syslog-daemon van het apparaat verzamelt lokale gebeurtenissen van de opgegeven typen en stuurt de gebeurtenissen lokaal door naar de agent.
- De agent streamt de gebeurtenissen naar uw Log Analytics-werkruimte.
- Na een geslaagde configuratie worden de gegevens weergegeven in de Tabel Log Analytics Syslog.
Common Event Format (CEF)
Logboekindelingen variëren, maar veel bronnen bieden ondersteuning voor CEF-opmaak. De Microsoft Sentinel-agent, die in feite de Log Analytics-agent is, converteert cef-opgemaakte logboeken naar een indeling die Log Analytics kan opnemen.
Voor gegevensbronnen die gegevens verzenden in CEF, stelt u de Syslog-agent in en configureert u vervolgens de CEF-gegevensstroom. Na een geslaagde configuratie worden de gegevens weergegeven in de commonSecurityLog-tabel .
Aangepaste logboeken
Voor sommige gegevensbronnen kunt u logboeken verzamelen als bestanden op Windows- of Linux-computers met behulp van de aangepaste Log Analytics-logboekverzamelingsagent.
Volg de stappen op elke microsoft Sentinel-gegevensconnectorpagina om verbinding te maken met behulp van de aangepaste logverzamelingsagent van Log Analytics. Na een geslaagde configuratie worden de gegevens weergegeven in aangepaste tabellen.
Service-naar-service-integratie voor gegevensconnectors
Microsoft Sentinel maakt gebruik van de Azure-basis om standaard service-naar-service-ondersteuning te bieden voor Microsoft-services en Amazon Web Services.
Gegevensconnectors implementeren als onderdeel van een oplossing
Microsoft Sentinel-oplossingen bieden pakketten met beveiligingsinhoud, waaronder gegevensconnectors, werkmappen, analyseregels, playbooks en meer. Wanneer u een oplossing met een gegevensconnector implementeert, krijgt u de gegevensconnector samen met gerelateerde inhoud in dezelfde implementatie.
Ondersteuning voor gegevensconnector
Zowel Microsoft als andere organisaties schrijven Microsoft Sentinel-gegevensconnectors. Elke gegevensconnector heeft een van deze ondersteuningstypen:
| Ondersteuningstype | Beschrijving |
|---|---|
| Ondersteund door Microsoft | Is van toepassing op gegevensconnectors voor gegevensbronnen waarbij Microsoft de gegevensprovider en auteur is. Sommige door Microsoft geschreven gegevensconnectors voor niet-Microsoft-gegevensbronnen. Microsoft ondersteunt en onderhoudt gegevensconnectors in deze categorie volgens de Microsoft Azure-ondersteuningsplannen. Partners of de Community ondersteunen gegevensconnectors die zijn geschreven door een andere partij dan Microsoft. |
| Partner ondersteund | Van toepassing op gegevensconnectors die zijn gemaakt door andere partijen dan Microsoft. Het partnerbedrijf biedt ondersteuning of onderhoud voor deze gegevensconnectors. Het partnerbedrijf kan een onafhankelijke softwareleverancier, een beheerde serviceprovider, een systeemintegrator of een organisatie zijn waarvan de contactgegevens zijn opgegeven op de microsoft Sentinel-pagina voor die gegevensconnector. Neem contact op met de ondersteuningsmedewerker van de opgegeven gegevensconnector voor eventuele problemen met een door een partner ondersteunde gegevensconnector. |
| Community ondersteund | Van toepassing op gegevensconnectors die zijn gemaakt door Microsoft- of partnerontwikkelaars die geen contactpersonen hebben vermeld voor ondersteuning en onderhoud van de gegevensconnector op de opgegeven gegevensconnectorpagina in Microsoft Sentinel. |