Введение
Данные отправляются в рабочую область Microsoft Sentinel путем настройки предоставленных соединителей данных. Соединители данных включаются в готовые решения (OOTB) или встроенные решения Центра контента для служб Microsoft 365, Azure и сторонних производителей.
Вы — аналитик по информационной безопасности и работаете в компании, которая внедрила Microsoft Sentinel. Необходимо узнать, как подключить данные журнала из множества различных источников данных в организации. В организации есть данные из Microsoft 365, Microsoft Defender XDR, ресурсов Azure, виртуальных машин, отличных от Azure, и сетевых устройств.
Вы планируете использовать решения Центра содержимого Microsoft Sentinel, которые включают соединители данных для интеграции данных журналов из различных источников. Необходимо задокументировать план соединителя для управления, который сопоставляет каждый из источников данных организации с соответствующим соединителем данных Microsoft Sentinel.
По завершении этого модуля вы сможете:
- Описание установки решений Центра содержимого для подготовки соединителей данных Microsoft Sentinel
- Обзор использования соединителей данных в Microsoft Sentinel
- Опишите поставщиков соединителей данных в Microsoft Sentinel
- Объясните различия между форматом Common Event Format и соединителем Syslog в Microsoft Sentinel
Необходимые компоненты
Базовый опыт работы с операциями Microsoft Azure.
Интерактивное моделирование лаборатории
Примечание.
Выберите эскиз, чтобы запустить имитацию лаборатории. Вы можете найти незначительные различия между этим интерактивным моделированием и содержимым этих модулей, но основные понятия и идеи, которые демонстрируются, одинаковы. Когда вы закончите, вернитесь на эту страницу, чтобы продолжить обучение.
