Настройка соединителей данных в Microsoft Sentinel
После подключения Microsoft Sentinel к рабочей области используйте соединители данных, чтобы начать прием данных в Microsoft Sentinel. Microsoft Sentinel поставляется со многими из встроенных соединителей для службы Майкрософт, которые интегрируются в режиме реального времени. Например, соединитель Microsoft 365 Defender — это соединитель службы, который интегрирует данные из Office 365, идентификатор Microsoft Entra ID, Microsoft Defender для удостоверений и Microsoft Defender для облака Apps.
Встроенные соединители позволяют подключиться к более широкой экосистеме безопасности для продуктов, отличных от Майкрософт. Например, используйте syslog, Common Event Format (CEF) или REST API для подключения источников данных к Microsoft Sentinel.
На странице соединителей данных Microsoft Sentinel отображается полный список соединителей и их состояние для рабочей области. Вскоре на этой странице будет отображаться только список соединителей данных, используемых.
Примечание.
Чтобы добавить дополнительные соединители данных, установите решение, связанное с соединителем данных из Центра содержимого.
Включение соединителя данных
На странице соединителей данных выберите активный или настраиваемый соединитель, который требуется подключить, и выберите страницу "Открыть соединитель". Если вы не видите нужный соединитель данных, установите решение, связанное с ним из Центра содержимого.
После выполнения всех предварительных требований, перечисленных на вкладке Инструкции, на странице соединителя вы найдете описание приема данных в Microsoft Sentinel. Для начала поступления данных может потребоваться некоторое время.
После подключения отобразится сводка данных в графике Полученные данные и состояние подключения для типов данных.
Интеграция REST API для соединителей данных
Во многих технологиях обеспечения безопасности имеются наборы API для получения файлов журналов. Некоторые источники данных могут использовать эти API для подключения к Microsoft Sentinel.
Соединители данных, использующие API, интегрированы либо со стороны поставщика, либо с помощью службы "Функции Azure", как описано в следующих разделах.
Интеграция REST API на стороне поставщика
Интеграция API, созданная поставщиком, подключается к источникам данных поставщика и передает данные в пользовательские таблицы журналов Microsoft Sentinel с помощью API сборщика данных Azure Monitor.
Интеграция REST API с помощью службы "Функции Azure"
В интеграциях, в которых служба Функции Azure используется для подключения к API поставщиков услуг, сначала выполняется форматирование данных, а затем эти данные поступают в пользовательские таблицы журналов Microsoft Sentinel с помощью API сборщика данных Azure Monitor.
Интеграция на основе агентов для соединителей данных
Служба Microsoft Sentinel может использовать протокол Syslog для подключения агента к любому источнику данных, способному выполнять потоковую передачу журналов в режиме реального времени. Например, большинство локальных источников данных подключают с использованием интеграции на основе агентов.
В следующих разделах рассказывается о различных типах соединителей данных Microsoft Sentinel на основе агентов. Чтобы настроить подключения, для которых используются механизмы на основе агентов, на каждой странице соединителя данных Microsoft Sentinel выполните описанные здесь действия.
Системный журнал
Вы можете передавать события на основе Linux, поддерживающие системные устройства, в Microsoft Sentinel с помощью агента Azure Monitor (AMA). В зависимости от типа устройства агент устанавливают либо непосредственно на устройстве, либо на выделенном сервере пересылки журналов на базе ОС Linux. AMA получает события из управляющей программы Syslog по протоколу UDP. Управляющая программа системного журнала перенаправит события в агент внутренне, взаимодействуя по протоколу UDS (сокеты домена Unix). Затем AMA передает эти события в рабочую область Microsoft Sentinel.
Далее представлен простой поток, который показывает, как Microsoft Sentinel передает данные Syslog.
- Встроенная в устройство управляющая программа Syslog собирает сведения о локальных событиях указанных типов и пересылает эти события в локальной среде в агент.
- Агент передает события в рабочую область Log Analytics.
- После успешной настройки данные будут отображаться в таблице Syslog службы Log Analytics.
Common Event Format (CEF)
Разные журналы имеют разные форматы, но во многих источниках поддерживается форматирование на основе CEF. Агент Microsoft Sentinel, который фактически является агентом Log Analytics, преобразует журналы в формате CEF в формат, который может принимать служба Log Analytics.
При работе с источниками данных, которые создают данные в формате CEF, настройте агент Syslog, а затем настройте поток данных CEF. После успешной настройки данные будут отображаться в таблице CommonSecurityLog.
Пользовательские журналы
Для некоторых источников данных можно собирать журналы в виде файлов на компьютерах с Windows или Linux с помощью настраиваемого агента сбора журналов Log Analytics.
Чтобы выполнить подключение с помощью пользовательского агента сбора журналов Log Analytics, на каждой странице соединителя данных Microsoft Sentinel выполните описанные здесь действия. После успешной настройки данные отобразятся в пользовательских таблицах.
Интеграция между службами для соединителей данных
Microsoft Sentinel использует платформу Azure для предоставления встроенной поддержки между службами Майкрософт и Amazon Web Services.
Развертывание соединителей данных в рамках решения
Решения Microsoft Sentinel предоставляют пакеты содержимого безопасности, включая соединители данных, книги, правила аналитики, сборники схем и многое другое. При развертывании решения с соединителем данных вы получаете соединитель данных вместе со связанным контентом в одном развертывании.
Поддержка соединителя данных
Корпорация Майкрософт и другие организации создают соединители данных Microsoft Sentinel. Для каждого соединителя данных действует один из следующих видов поддержки:
| Тип поддержки | Description |
|---|---|
| Поддерживается Майкрософт | Применяется к соединителям данных для источников данных, где корпорация Майкрософт является поставщиком данных и автором. Ряд соединителей данных, созданных корпорацией Майкрософт и предназначенных для источников данных сторонних поставщиков. Корпорация Майкрософт поддерживает и обслуживает соединители данных в этой категории в соответствии с планами Службы поддержки Microsoft Azure. Соединители данных, поддерживаемые партнерами или сообществом и созданные любым другим поставщиком, а не корпорацией Майкрософт. |
| Поддерживается партнер | Применимо к соединителям данных, созданных другими поставщиками, а не корпорацией Майкрософт. Компания-партнер оказывает поддержку по этим соединителям данных либо выполняет их обслуживание. Партнерская компания может быть независимым поставщиком программного обеспечения, поставщиком управляемых служб, интегратором систем или любой организацией, контактные данные которой предоставляются на странице Microsoft Sentinel для этого соединителя данных. Если у партнера есть поддерживаемый соединитель данных, обратитесь в службу поддержки указанного соединителя данных. |
| Поддерживается сообщество | Применимо к соединителям данных, которые созданы разработчиками Майкрософт или компаний-партнеров и для которых на соответствующих страницах соединителей данных в Microsoft Sentinel не указаны контактные данные служб поддержки и обслуживания. |