Dela via

Ansluta Microsoft Sentinel till andra Microsoft-tjänster med en API-baserad dataanslutning

  • Artikel

Den här artikeln beskriver hur du gör API-baserade anslutningar till Microsoft Sentinel. Microsoft Sentinel använder Azure Foundation för att tillhandahålla inbyggt service-till-tjänst-stöd för datainmatning från många Azure- och Microsoft 365-tjänster, Amazon Web Services och olika Windows Server-tjänster. Det finns några olika metoder med vilka dessa anslutningar görs.

Den här artikeln innehåller information som är gemensam för gruppen med API-baserade dataanslutningar.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Förutsättningar

  • Du måste ha läs- och skrivbehörigheter på Log Analytics-arbetsytan.

  • Du måste ha en säkerhetsadministratörsroll på din Microsoft Sentinel-arbetsytas klientorganisation eller motsvarande behörigheter.

  • Specifika krav för dataanslutning:

    Datakoppling Licensiering, kostnader och andra krav
    Microsoft Entra ID Protection - Microsoft Entra ID P2-prenumeration
    - Andra avgifter kan tillkomma
    Dynamics 365 - Microsoft Dynamics 365-produktionslicens. Inte tillgängligt för sandbox-miljöer.
    – Minst en användare har tilldelats en Licens för Microsoft/Office 365 E1 eller senare .
    – Granskningsloggning aktiverad i Microsoft Purview. Se Aktivera eller inaktivera granskning.
    – Granskningsloggning aktiverad i din Microsoft Dataverse-miljö. Se Aktivitetsloggning för Microsoft Dataverse och modelldrivna appar.
    - Andra avgifter kan tillkomma.
    Microsoft Defender for Cloud Apps För Cloud Discovery-loggar aktiverar du Microsoft Sentinel som din SIEM i Microsoft Defender för molnet Apps
    Microsoft Defender för Endpoint Giltig licens för Microsoft Defender för Endpoint distribution
    Microsoft Defender för Office 365 Giltig licens för Office 365 ATP-abonnemang 2
    Microsoft Office 365 – Din Office 365-distribution måste finnas på samma klientorganisation som din Microsoft Sentinel-arbetsyta.
    - Andra avgifter kan tillkomma.
    Microsoft Power BI – Din Office 365-distribution måste finnas på samma klientorganisation som din Microsoft Sentinel-arbetsyta.
    - Andra avgifter kan tillkomma.
    Microsoft Purview Information Protection – Din Office 365-distribution måste finnas på samma klientorganisation som din Microsoft Sentinel-arbetsyta.
    - Andra avgifter kan tillkomma.
    Hantering av interna risker i Microsoft Purview (IRM) – Giltig prenumeration för Microsoft 365 E5/A5/G5 eller tillhörande efterlevnads- eller IRM-tillägg.
    - Hantering av interna risker i Microsoft Purview fullständigt registrerade och IRM-principer har definierats och genererat aviseringar.
    - Microsoft 365 IRM har konfigurerats för att aktivera export av IRM-aviseringar till Office 365 Management Activity API för att ta emot aviseringarna via Microsoft Sentinel-anslutningsappen.

Ansluta till Microsoft-tjänster via API-baserade anslutningsappar

  1. På Microsoft Sentinel-navigeringsmenyn väljer du Dataanslutningsprogram.

  2. Välj din tjänst från galleriet för dataanslutningsappar och välj sedan Öppna anslutningssidan i förhandsgranskningsfönstret.

  3. Välj Anslut för att starta strömmande händelser och/eller aviseringar från din tjänst till Microsoft Sentinel.

  4. Om det finns ett avsnitt med namnet Skapa incidenter på sidan för anslutningsappen – rekommenderas!, väljer du Aktivera om du vill skapa incidenter automatiskt från aviseringar.

Du kan hitta och fråga efter data för varje tjänst med hjälp av tabellnamnen som visas i avsnittet för tjänstens anslutningsapp på referenssidan för dataanslutningsappar.

Relaterat innehåll

Mer information finns i: