Udostępnij za pośrednictwem


Łączniki danych usługi Microsoft Sentinel

Po dołączeniu usługi Microsoft Sentinel do obszaru roboczego użyj łączników danych, aby rozpocząć pozyskiwanie danych do usługi Microsoft Sentinel. Usługa Microsoft Sentinel zawiera wiele wbudowanych łączników dla usługi firmy Microsoft, które integrują się w czasie rzeczywistym. Na przykład łącznik XDR usługi Microsoft Defender to łącznik service-to-service, który integruje dane z usługi Office 365, Microsoft Entra ID, Microsoft Defender for Identity i Microsoft Defender dla Chmury Apps.

Wbudowane łączniki umożliwiają połączenie z szerszym ekosystemem zabezpieczeń dla produktów innych niż microsoft. Na przykład użyj usługi Syslog, Common Event Format (CEF) lub interfejsów API REST, aby połączyć źródła danych z usługą Microsoft Sentinel.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Łączniki danych dostarczane z rozwiązaniami

Rozwiązania microsoft Sentinel zapewniają spakowana zawartość zabezpieczeń, w tym łączniki danych, skoroszyty, reguły analizy, podręczniki i inne. Podczas wdrażania rozwiązania za pomocą łącznika danych łącznik danych jest pobierany wraz z powiązaną zawartością w tym samym wdrożeniu.

Na stronie Łączniki danych usługi Microsoft Sentinel znajduje się lista zainstalowanych lub używanych łączników danych.

Aby dodać więcej łączników danych, zainstaluj rozwiązanie skojarzone z łącznikiem danych z centrum zawartości. Aby uzyskać więcej informacji, zobacz następujące artykuły:

Integracja interfejsu API REST dla łączników danych

Wiele rozwiązań zabezpieczeń udostępnia zestaw interfejsów API do pobierania plików dziennika i innych danych zabezpieczeń z ich produktu lub usługi. Te interfejsy API łączą się z usługą Microsoft Sentinel przy użyciu jednej z następujących metod:

  • Interfejsy API źródła danych są konfigurowane przy użyciu platformy łącznika bez kodu.
  • Łącznik danych używa interfejsu API pozyskiwania dzienników dla usługi Azure Monitor w ramach funkcji platformy Azure lub aplikacji logiki.

Aby uzyskać więcej informacji na temat nawiązywania połączenia z usługą Azure Functions, zobacz następujące artykuły:

Aby uzyskać więcej informacji na temat nawiązywania połączenia z usługą Logic Apps, zobacz Connect with Logic Apps (Nawiązywanie połączenia z usługą Logic Apps).

Integracja oparta na agencie dla łączników danych

Usługa Microsoft Sentinel może używać agentów udostępnianych przez usługę Azure Monitor (na której bazuje usługa Microsoft Sentinel), aby zbierać dane z dowolnego źródła danych, które może wykonywać przesyłanie strumieniowe dzienników w czasie rzeczywistym. Na przykład większość lokalnych źródeł danych łączy się przy użyciu integracji opartej na agencie.

W poniższych sekcjach opisano różne typy łączników danych opartych na agentach usługi Microsoft Sentinel. Aby skonfigurować połączenia przy użyciu mechanizmów opartych na agentach, wykonaj kroki opisane na każdej stronie łącznika danych usługi Microsoft Sentinel.

Dziennik systemowy i wspólny format zdarzeń (CEF)

Zdarzenia można przesyłać strumieniowo z urządzeń obsługujących dziennik systemu Linux do usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor (AMA). Formaty dzienników różnią się, ale wiele źródeł obsługuje formatowanie oparte na formacie CEF. W zależności od typu urządzenia agent jest instalowany bezpośrednio na urządzeniu lub w dedykowanym usłudze przesyłania dalej dziennika opartego na systemie Linux. Usługa AMA odbiera zwykłe komunikaty o zdarzeniach dziennika systemowego lub CEF z demona dziennika systemowego za pośrednictwem protokołu UDP. Demon dziennika systemowego przekazuje zdarzenia do agenta wewnętrznie, komunikując się za pośrednictwem protokołu TCP lub UDS (Unix Domain Sockets), w zależności od wersji. Usługa AMA przesyła te zdarzenia do obszaru roboczego usługi Microsoft Sentinel.

Oto prosty przepływ pokazujący, jak usługa Microsoft Sentinel przesyła strumieniowo dane dziennika systemowego.

  1. Wbudowany demon dziennika systemowego urządzenia zbiera lokalne zdarzenia określonych typów i przekazuje zdarzenia lokalnie do agenta.
  2. Agent przesyła strumieniowo zdarzenia do obszaru roboczego usługi Log Analytics.
  3. Po pomyślnej konfiguracji komunikaty dziennika systemowego są wyświetlane w tabeli Dziennik systemu usługi Log Analytics i komunikaty CEF w tabeli CommonSecurityLog.

Aby uzyskać więcej informacji, zobacz Syslog and Common Event Format (CEF) via AMA connectors for Microsoft Sentinel (Syslog and Common Event Format) via AMA connectors for Microsoft Sentinel (Syslog and Common Event Format, Common Event Format) via AMA connectors for Microsoft Sentinel (Syslog and Common Event Format) via AMA connectors

Niestandardowe dzienniki

W przypadku niektórych źródeł danych można zbierać dzienniki jako pliki na komputerach z systemem Windows lub Linux przy użyciu niestandardowego agenta zbierania dzienników usługi Log Analytics.

Aby nawiązać połączenie przy użyciu niestandardowego agenta zbierania dzienników usługi Log Analytics, wykonaj kroki opisane na każdej stronie łącznika danych usługi Microsoft Sentinel. Po pomyślnej konfiguracji dane są wyświetlane w tabelach niestandardowych.

Aby uzyskać więcej informacji, zobacz Dzienniki niestandardowe za pośrednictwem łącznika danych usługi AMA — Konfigurowanie pozyskiwania danych do usługi Microsoft Sentinel z określonych aplikacji.

Integracja z usługą dla łączników danych

Usługa Microsoft Sentinel korzysta z podstaw platformy Azure, aby zapewnić wbudowaną obsługę usług usługi firmy Microsoft i Amazon Web Services.

Aby uzyskać więcej informacji, zobacz następujące artykuły:

Obsługa łącznika danych

Zarówno firma Microsoft, jak i inne organizacje, autorami łączników danych usługi Microsoft Sentinel. Każdy łącznik danych ma jeden z następujących typów pomocy technicznej wymienionych na stronie łącznika danych w usłudze Microsoft Sentinel.

Typ obsługi opis
Obsługiwane przez firmę Microsoft Dotyczy:
  • Łączniki danych dla źródeł danych, w których firma Microsoft jest dostawcą danych i autorem.
  • Niektóre łączniki danych utworzone przez firmę Microsoft dla źródeł danych innych niż Microsoft.
Firma Microsoft obsługuje i utrzymuje łączniki danych w tej kategorii zgodnie z planami pomocy technicznej platformy Microsoft Azure.

Partnerzy lub społeczność obsługują łączniki danych utworzone przez każdą firmę inną niż Microsoft.
Obsługiwane przez partnera Dotyczy łączników danych utworzonych przez strony inne niż Microsoft.

Firma partnerska zapewnia pomoc techniczną lub konserwację tych łączników danych. Firma partnerska może być niezależnym dostawcą oprogramowania, dostawcą usług zarządzanych (MSP/MSSP), integratorem systemów (SI) lub dowolną organizacją, której informacje kontaktowe są udostępniane na stronie usługi Microsoft Sentinel dla tego łącznika danych.

W przypadku wszelkich problemów z łącznikiem danych obsługiwanym przez partnera skontaktuj się z pomocą techniczną określonego łącznika danych.
Obsługiwane przez społeczność Dotyczy łączników danych utworzonych przez deweloperów firmy Microsoft lub partnerów, które nie mają kontaktów na potrzeby pomocy technicznej łącznika danych i konserwacji na stronie łącznika danych w usłudze Microsoft Sentinel.

W przypadku pytań lub problemów z tymi łącznikami danych możesz zgłosić problem w społeczności usługi GitHub usługi Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Znajdowanie obsługi łącznika danych.

Następne kroki

Aby uzyskać więcej informacji na temat łączników danych, zobacz następujące artykuły.

Aby uzyskać podstawowe informacje o infrastrukturze jako kodzie (IaC) Bicep, Azure Resource Manager i Terraform w celu wdrażania łączników danych w usłudze Microsoft Sentinel, zobacz Dokumentacja IaC łącznika danych usługi Microsoft Sentinel.