Konfigurowanie łączników danych w usłudze Microsoft Sentinel
Po dołączeniu usługi Microsoft Sentinel do obszaru roboczego użyj łączników danych, aby rozpocząć pozyskiwanie danych do usługi Microsoft Sentinel. Usługa Microsoft Sentinel zawiera wiele wbudowanych łączników dla usługi firmy Microsoft, które integrują się w czasie rzeczywistym. Na przykład łącznik usługi Microsoft 365 Defender to łącznik typu service-to-service, który integruje dane z usługi Office 365, Microsoft Entra ID, Microsoft Defender for Identity i Microsoft Defender dla Chmury Apps.
Wbudowane łączniki umożliwiają połączenie z szerszym ekosystemem zabezpieczeń dla produktów innych niż microsoft. Na przykład użyj usługi Syslog, Common Event Format (CEF) lub interfejsów API REST, aby połączyć źródła danych z usługą Microsoft Sentinel.
Strona Łączniki danych usługi Microsoft Sentinel zawiera pełną listę łączników i ich stan dla obszaru roboczego. Wkrótce na tej stronie będzie wyświetlana tylko lista łączników danych używanych.
Uwaga
Aby dodać więcej łączników danych, zainstaluj rozwiązanie skojarzone z łącznikiem danych z centrum zawartości.
Włączanie łącznika danych
Na stronie Łączniki danych wybierz aktywny lub niestandardowy łącznik, który chcesz połączyć, a następnie wybierz stronę Otwórz łącznik. Jeśli nie widzisz żądanego łącznika danych, zainstaluj rozwiązanie skojarzone z nim z centrum zawartości.
Po spełnieniu wszystkich wymagań wstępnych wymienionych na karcie Instrukcje na stronie łącznika opisano sposób pozyskiwania danych do usługi Microsoft Sentinel. Może upłynąć trochę czasu, aby dane zaczęły przybywać.
Po nawiązaniu połączenia zobaczysz podsumowanie danych na wykresie Odebrane dane oraz stan łączności typów danych.
Integracja interfejsu API REST dla łączników danych
Wiele technologii zabezpieczeń udostępnia zestaw interfejsów API do pobierania plików dziennika, a niektóre źródła danych mogą używać tych interfejsów API do łączenia się z usługą Microsoft Sentinel.
Łączniki danych korzystające z interfejsów API integrują się z boku dostawcy lub integrują się z usługą Azure Functions zgodnie z opisem w poniższych sekcjach.
Integracja interfejsu API REST po stronie dostawcy
Integracja interfejsu API utworzona przez dostawcę łączy się ze źródłami danych dostawcy i wypycha dane do niestandardowych tabel dzienników usługi Microsoft Sentinel przy użyciu interfejsu API modułu zbierającego dane usługi Azure Monitor.
Integracja interfejsu API REST przy użyciu usługi Azure Functions
Integracje korzystające z usługi Azure Functions do nawiązywania połączenia z interfejsem API dostawcy najpierw formatują dane, a następnie wysyłają je do niestandardowych tabel dzienników usługi Microsoft Sentinel przy użyciu interfejsu API modułu zbierającego dane usługi Azure Monitor.
Integracja oparta na agencie dla łączników danych
Usługa Microsoft Sentinel może używać protokołu Syslog do łączenia agenta z dowolnym źródłem danych, które może wykonywać przesyłanie strumieniowe dzienników w czasie rzeczywistym. Na przykład większość lokalnych źródeł danych łączy się przy użyciu integracji opartej na agencie.
W poniższych sekcjach opisano różne typy łączników danych opartych na agentach usługi Microsoft Sentinel. Wykonaj kroki opisane na każdej stronie łącznika danych usługi Microsoft Sentinel, aby skonfigurować połączenia przy użyciu mechanizmów opartych na agentach.
Dziennik systemu
Zdarzenia można przesyłać strumieniowo z urządzeń obsługujących dziennik systemu Linux do usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor (AMA). W zależności od typu urządzenia agent jest instalowany bezpośrednio na urządzeniu lub w dedykowanym usłudze przesyłania dalej dziennika opartego na systemie Linux. Usługa AMA odbiera zdarzenia z demona dziennika systemowego za pośrednictwem protokołu UDP. Demon dziennika systemowego przekazuje zdarzenia do agenta wewnętrznie, komunikując się za pośrednictwem protokołu UDS (Unix Domain Sockets). Usługa AMA przesyła te zdarzenia do obszaru roboczego usługi Microsoft Sentinel.
Oto prosty przepływ pokazujący, jak usługa Microsoft Sentinel przesyła strumieniowo dane dziennika systemowego.
- Wbudowany demon dziennika systemowego urządzenia zbiera lokalne zdarzenia określonych typów i przekazuje zdarzenia lokalnie do agenta.
- Agent przesyła strumieniowo zdarzenia do obszaru roboczego usługi Log Analytics.
- Po pomyślnej konfiguracji dane są wyświetlane w tabeli Dziennika systemowego usługi Log Analytics.
Common Event Format (CEF)
Formaty dzienników różnią się, ale wiele źródeł obsługuje formatowanie oparte na formacie CEF. Agent usługi Microsoft Sentinel, który jest w rzeczywistości agentem usługi Log Analytics, konwertuje dzienniki sformatowane w formacie CEF na format, który może pozyskiwać usługa Log Analytics.
W przypadku źródeł danych emitujących dane w formacie CEF skonfiguruj agenta dziennika systemowego, a następnie skonfiguruj przepływ danych CEF. Po pomyślnej konfiguracji dane są wyświetlane w tabeli CommonSecurityLog .
Niestandardowe dzienniki
W przypadku niektórych źródeł danych można zbierać dzienniki jako pliki na komputerach z systemem Windows lub Linux przy użyciu niestandardowego agenta zbierania dzienników usługi Log Analytics.
Wykonaj kroki opisane na każdej stronie łącznika danych usługi Microsoft Sentinel, aby nawiązać połączenie przy użyciu niestandardowego agenta zbierania dzienników usługi Log Analytics. Po pomyślnej konfiguracji dane są wyświetlane w tabelach niestandardowych.
Integracja z usługą dla łączników danych
Usługa Microsoft Sentinel korzysta z podstaw platformy Azure, aby zapewnić wbudowaną obsługę usług usługi firmy Microsoft i Amazon Web Services.
Wdrażanie łączników danych w ramach rozwiązania
Rozwiązania usługi Microsoft Sentinel udostępniają pakiety zawartości zabezpieczeń, w tym łączniki danych, skoroszyty, reguły analizy, podręczniki i inne. Podczas wdrażania rozwiązania za pomocą łącznika danych łącznik danych jest pobierany wraz z powiązaną zawartością w tym samym wdrożeniu.
Obsługa łącznika danych
Zarówno firma Microsoft, jak i inne organizacje, autorami łączników danych usługi Microsoft Sentinel. Każdy łącznik danych ma jeden z następujących typów obsługi:
| Typ obsługi | Opis |
|---|---|
| Obsługiwana przez Microsoft | Dotyczy łączników danych dla źródeł danych, w których firma Microsoft jest dostawcą danych i autorem. Niektóre łączniki danych utworzone przez firmę Microsoft dla źródeł danych innych niż Microsoft. Firma Microsoft obsługuje i utrzymuje łączniki danych w tej kategorii zgodnie z planami pomocy technicznej platformy Microsoft Azure. Partnerzy lub społeczność obsługują łączniki danych, które są tworzone przez każdą firmę inną niż Microsoft. |
| Obsługiwane przez partnera | Dotyczy łączników danych utworzonych przez strony inne niż Microsoft. Firma partnerska zapewnia pomoc techniczną lub konserwację tych łączników danych. Firma partnerska może być niezależnym dostawcą oprogramowania, dostawcą usług zarządzanych, integratorem systemów lub dowolną organizacją, której informacje kontaktowe są udostępniane na stronie usługi Microsoft Sentinel dla tego łącznika danych. W przypadku wszelkich problemów z łącznikiem danych obsługiwanym przez partnera skontaktuj się z pomocą techniczną określonego łącznika danych. |
| Obsługiwana przez społeczność | Dotyczy łączników danych utworzonych przez deweloperów firmy Microsoft lub partnerów, które nie mają kontaktów na potrzeby pomocy technicznej łącznika danych i konserwacji na określonej stronie łącznika danych w usłudze Microsoft Sentinel. |