Łączniki danych usługi Microsoft Sentinel
Po dołączeniu usługi Microsoft Sentinel do obszaru roboczego użyj łączników danych, aby rozpocząć pozyskiwanie danych do usługi Microsoft Sentinel. Usługa Microsoft Sentinel zawiera wiele wbudowanych łączników dla usługi firmy Microsoft, które integrują się w czasie rzeczywistym. Na przykład łącznik XDR usługi Microsoft Defender to łącznik service-to-service, który integruje dane z usługi Office 365, Microsoft Entra ID, Microsoft Defender for Identity i Microsoft Defender dla Chmury Apps.
Wbudowane łączniki umożliwiają połączenie z szerszym ekosystemem zabezpieczeń dla produktów innych niż microsoft. Na przykład użyj usługi Syslog, Common Event Format (CEF) lub interfejsów API REST, aby połączyć źródła danych z usługą Microsoft Sentinel.
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Łączniki danych dostarczane z rozwiązaniami
Rozwiązania microsoft Sentinel zapewniają spakowana zawartość zabezpieczeń, w tym łączniki danych, skoroszyty, reguły analizy, podręczniki i inne. Podczas wdrażania rozwiązania za pomocą łącznika danych łącznik danych jest pobierany wraz z powiązaną zawartością w tym samym wdrożeniu.
Na stronie Łączniki danych usługi Microsoft Sentinel znajduje się lista zainstalowanych lub używanych łączników danych.
Aby dodać więcej łączników danych, zainstaluj rozwiązanie skojarzone z łącznikiem danych z centrum zawartości. Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Znajdowanie łącznika danych usługi Microsoft Sentinel
- Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel
- Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią
- Katalog centrum zawartości usługi Microsoft Sentinel
- Rozwiązania domeny oparte na zaawansowanym modelu informacji o zabezpieczeniach (ASIM) dla usługi Microsoft Sentinel
Integracja interfejsu API REST dla łączników danych
Wiele rozwiązań zabezpieczeń udostępnia zestaw interfejsów API do pobierania plików dziennika i innych danych zabezpieczeń z ich produktu lub usługi. Te interfejsy API łączą się z usługą Microsoft Sentinel przy użyciu jednej z następujących metod:
- Interfejsy API źródła danych są konfigurowane przy użyciu platformy łącznika bez kodu.
- Łącznik danych używa interfejsu API pozyskiwania dzienników dla usługi Azure Monitor w ramach funkcji platformy Azure lub aplikacji logiki.
Aby uzyskać więcej informacji na temat nawiązywania połączenia z usługą Azure Functions, zobacz następujące artykuły:
- Łączenie źródła danych z usługą Microsoft Sentinel przy użyciu usługi Azure Functions
- Dokumentacja usługi Azure Functions
- Cennik usługi Azure Functions
Aby uzyskać więcej informacji na temat nawiązywania połączenia z usługą Logic Apps, zobacz Connect with Logic Apps (Nawiązywanie połączenia z usługą Logic Apps).
Integracja oparta na agencie dla łączników danych
Usługa Microsoft Sentinel może używać agentów udostępnianych przez usługę Azure Monitor (na której bazuje usługa Microsoft Sentinel), aby zbierać dane z dowolnego źródła danych, które może wykonywać przesyłanie strumieniowe dzienników w czasie rzeczywistym. Na przykład większość lokalnych źródeł danych łączy się przy użyciu integracji opartej na agencie.
W poniższych sekcjach opisano różne typy łączników danych opartych na agentach usługi Microsoft Sentinel. Aby skonfigurować połączenia przy użyciu mechanizmów opartych na agentach, wykonaj kroki opisane na każdej stronie łącznika danych usługi Microsoft Sentinel.
Dziennik systemowy i wspólny format zdarzeń (CEF)
Zdarzenia można przesyłać strumieniowo z urządzeń obsługujących dziennik systemu Linux do usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor (AMA). Formaty dzienników różnią się, ale wiele źródeł obsługuje formatowanie oparte na formacie CEF. W zależności od typu urządzenia agent jest instalowany bezpośrednio na urządzeniu lub w dedykowanym usłudze przesyłania dalej dziennika opartego na systemie Linux. Usługa AMA odbiera zwykłe komunikaty o zdarzeniach dziennika systemowego lub CEF z demona dziennika systemowego za pośrednictwem protokołu UDP. Demon dziennika systemowego przekazuje zdarzenia do agenta wewnętrznie, komunikując się za pośrednictwem protokołu TCP lub UDS (Unix Domain Sockets), w zależności od wersji. Usługa AMA przesyła te zdarzenia do obszaru roboczego usługi Microsoft Sentinel.
Oto prosty przepływ pokazujący, jak usługa Microsoft Sentinel przesyła strumieniowo dane dziennika systemowego.
- Wbudowany demon dziennika systemowego urządzenia zbiera lokalne zdarzenia określonych typów i przekazuje zdarzenia lokalnie do agenta.
- Agent przesyła strumieniowo zdarzenia do obszaru roboczego usługi Log Analytics.
- Po pomyślnej konfiguracji komunikaty dziennika systemowego są wyświetlane w tabeli Dziennik systemu usługi Log Analytics i komunikaty CEF w tabeli CommonSecurityLog.
Aby uzyskać więcej informacji, zobacz Syslog and Common Event Format (CEF) via AMA connectors for Microsoft Sentinel (Syslog and Common Event Format) via AMA connectors for Microsoft Sentinel (Syslog and Common Event Format, Common Event Format) via AMA connectors for Microsoft Sentinel (Syslog and Common Event Format) via AMA connectors
Niestandardowe dzienniki
W przypadku niektórych źródeł danych można zbierać dzienniki jako pliki na komputerach z systemem Windows lub Linux przy użyciu niestandardowego agenta zbierania dzienników usługi Log Analytics.
Aby nawiązać połączenie przy użyciu niestandardowego agenta zbierania dzienników usługi Log Analytics, wykonaj kroki opisane na każdej stronie łącznika danych usługi Microsoft Sentinel. Po pomyślnej konfiguracji dane są wyświetlane w tabelach niestandardowych.
Aby uzyskać więcej informacji, zobacz Dzienniki niestandardowe za pośrednictwem łącznika danych usługi AMA — Konfigurowanie pozyskiwania danych do usługi Microsoft Sentinel z określonych aplikacji.
Integracja z usługą dla łączników danych
Usługa Microsoft Sentinel korzysta z podstaw platformy Azure, aby zapewnić wbudowaną obsługę usług usługi firmy Microsoft i Amazon Web Services.
Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Łączenie usługi Microsoft Sentinel z usługami Azure, Windows, Microsoft i Amazon
- Znajdowanie łącznika danych usługi Microsoft Sentinel
Obsługa łącznika danych
Zarówno firma Microsoft, jak i inne organizacje, autorami łączników danych usługi Microsoft Sentinel. Każdy łącznik danych ma jeden z następujących typów pomocy technicznej wymienionych na stronie łącznika danych w usłudze Microsoft Sentinel.
Typ obsługi | opis |
---|---|
Obsługiwane przez firmę Microsoft | Dotyczy:
Partnerzy lub społeczność obsługują łączniki danych utworzone przez każdą firmę inną niż Microsoft. |
Obsługiwane przez partnera | Dotyczy łączników danych utworzonych przez strony inne niż Microsoft. Firma partnerska zapewnia pomoc techniczną lub konserwację tych łączników danych. Firma partnerska może być niezależnym dostawcą oprogramowania, dostawcą usług zarządzanych (MSP/MSSP), integratorem systemów (SI) lub dowolną organizacją, której informacje kontaktowe są udostępniane na stronie usługi Microsoft Sentinel dla tego łącznika danych. W przypadku wszelkich problemów z łącznikiem danych obsługiwanym przez partnera skontaktuj się z pomocą techniczną określonego łącznika danych. |
Obsługiwane przez społeczność | Dotyczy łączników danych utworzonych przez deweloperów firmy Microsoft lub partnerów, które nie mają kontaktów na potrzeby pomocy technicznej łącznika danych i konserwacji na stronie łącznika danych w usłudze Microsoft Sentinel. W przypadku pytań lub problemów z tymi łącznikami danych możesz zgłosić problem w społeczności usługi GitHub usługi Microsoft Sentinel. |
Aby uzyskać więcej informacji, zobacz Znajdowanie obsługi łącznika danych.
Następne kroki
Aby uzyskać więcej informacji na temat łączników danych, zobacz następujące artykuły.
- Łączenie źródeł danych z usługą Microsoft Sentinel przy użyciu łączników danych
- Znajdowanie łącznika danych usługi Microsoft Sentinel
- Zasoby do tworzenia łączników niestandardowych usługi Microsoft Sentinel
Aby uzyskać podstawowe informacje o infrastrukturze jako kodzie (IaC) Bicep, Azure Resource Manager i Terraform w celu wdrażania łączników danych w usłudze Microsoft Sentinel, zobacz Dokumentacja IaC łącznika danych usługi Microsoft Sentinel.