Прием данных журнала с помощью соединителей данных
Чтобы собирать данные журнала, необходимо подключить источники данных к Подключение or data Microsoft Sentinel. Данные Подключение включены в решения Центра содержимого, предоставляемые Microsoft Sentinel.
После установки решения Центра содержимого установленные Подключение доры данных отображаются в Microsoft Sentinel в Configuration | Data connectors разделе меню. При выборе страницы "Открыть соединитель" подробный разделяется и имеет левую половину и справа.
В левой половине содержатся сведения о соединителе, его состоянии и последнем времени получения записи в журнале, если он подключен. В нижней части левой половины находятся типы данных. Список Data Types таблиц, в которые записывается соединитель.
В правой половине есть вкладка "Инструкции". Вкладка "Инструкции" может отличаться в зависимости от соединителя. Как правило, существуют предварительные требования и конфигурация. Чтобы подключиться к источнику данных, воспользуйтесь настройкой (Configuration). На вкладке дальнейших действий Next steps содержится краткий справочник по книгам, образцам запросов и аналитическим шаблонам. Соединители данных можно только отключать и деактивировать, но не удалять.
Примечание.
Решения Центра содержимого также могут устанавливать книги, правила аналитики и запросы охоты. Книги и шаблоны правил аналитики для соединителей из поля уже доступны в среде Sentinel.