你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

Microsoft Sentinel 数据连接器

• 适用于:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

将 Microsoft Sentinel 载入工作区后，使用数据连接器以开始将数据引入 Microsoft Sentinel。 Microsoft Sentinel 附带了许多适用于 Microsoft 服务的现用连接器，可以进行实时集成。 例如，Microsoft Defender XDR 连接器是一种服务到服务连接器，它集成了来自 Office 365、Microsoft Entra ID、Microsoft Defender for Identity 和 Microsoft Defender for Cloud Apps 的数据。

内置连接器可以连接到非 Microsoft 产品的更广泛的安全生态系统。 例如，使用 Syslog、通用事件格式 (CEF) 或 REST API 将数据源与 Microsoft Sentinel 连接。

注意

有关美国政府云中的功能可用性的信息，请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

重要

Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 有关详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

随解决方案一起提供的数据连接器

Microsoft Sentinel 解决方案提供打包的安全内容，其中包括数据连接器、工作簿、分析规则、playbook 等。 部署使用数据连接器的解决方案时，你将获取数据连接器以及同一部署中的相关内容。

Microsoft Sentinel“数据连接器”页列出了已安装或正在使用的数据连接器。

Azure 门户

Defender 门户

若要添加更多数据连接器，请从内容中心安装与数据连接器关联的解决方案。 有关详细信息，请参阅以下文章：

• 查找 Microsoft Sentinel 数据连接器
• 关于 Microsoft Sentinel 内容和解决方案
• 发现和管理 Microsoft Sentinel 现成内容
• Microsoft Sentinel 内容中心目录
• 适用于 Microsoft Sentinel 的基于高级安全信息模型 (ASIM) 的域解决方案

数据连接器的 REST API 集成

许多安全解决方案提供一组 API，用于从其产品或服务检索日志文件和其他安全数据。 这些 API 使用以下方法之一连接到 Microsoft Sentinel：

• 数据源 API 配置了无代码连接器平台。
• 数据连接器使用 Azure Monitor 日志引入 API 作为 Azure Function 或逻辑应用的一部分。

有关使用 Azure Functions 进行连接的详细信息，请参阅以下文章：

• 使用 Azure Functions 将数据源连接到Microsoft Sentinel
• Azure Functions 文档
• Azure Functions 定价

有关使用逻辑应用进行连接的详细信息，请参阅使用逻辑应用进行连接。

基于代理的数据连接器集成

Microsoft Sentinel 可以使用 Azure Monitor 服务（Microsoft Sentinel 所基于的服务）提供的代理，从任何可以执行实时日志流式传输的数据源收集数据。 例如，大多数本地数据源通过基于代理的集成进行连接。

以下部分介绍基于 Microsoft Sentinel 代理的数据连接器的不同类型。 若要使用基于代理的机制配置连接，请按照每个 Microsoft Sentinel 数据连接器页中的步骤进行操作。

Syslog 和通用事件格式 (CEF)

可以使用 Azure Monitor 代理 (AMA) 将事件从支持 Syslog 的 Linux 设备流式传输到 Microsoft Sentinel。 日志格式各不相同，但许多源支持基于 CEF 的格式设置。 根据设备类型，可以直接在设备上安装代理，或在专用的 Linux 日志转发器上安装代理。 AMA 通过 UDP 从 Syslog 守护程序接收纯 Syslog 或 CEF 事件消息。 Syslog 守护程序会在内部将事件转发给代理，从而通过 TCP 或 UDS（Unix 域套接字）进行通信，具体取决于版本。 然后，AMA 将这些事件传输到 Microsoft Sentinel 工作区。

下面是一个简单的流，其中显示了 Microsoft Sentinel 如何流式传输 Syslog 数据。

1. 设备的内置 Syslog 守护程序会收集指定类型的本地事件，并在本地将其转发到代理。
2. 代理将事件流式传输到 Log Analytics 工作区。
3. 成功配置后，Syslog 消息会显示在 Log Analytics Syslog 表中，而 CEF 消息会显示在 CommonSecurityLog 表中。

有关详细信息，请参阅适用于 Microsoft Sentinel 的经由 AMA 的 Syslog 连接器和通用事件格式 (CEF) 连接器。

自定义日志

对于某些数据源，可以使用 Log Analytics 自定义日志收集代理将日志收集为 Windows 或 Linux 计算机上的文件。

若要使用 Log Analytics 自定义日志收集代理进行连接，请按照每个 Microsoft Sentinel 数据连接器页中的步骤进行操作。 成功配置后，数据将显示在自定义表中。

有关详细信息，请参阅通过 AMA 数据连接器自定义日志 - 配置从特定应用程序到 Microsoft Sentinel 的数据引入。

数据连接器的服务到服务集成

Microsoft Sentinel 使用 Azure 基础为 Microsoft 服务和 Amazon Web Services 提供开箱即用的服务到服务支持。

有关详细信息，请参阅以下文章：

• 将 Microsoft Sentinel 连接到 Azure、Windows、Microsoft 和 Amazon 服务
• 查找 Microsoft Sentinel 数据连接器

数据连接器支持

Microsoft 和其他组织都会创作 Microsoft Sentinel 数据连接器。 每个数据连接器具有 Microsoft Sentinel 数据连接器页上列出的以下支持类型之一。

支持类型	说明
Microsoft 支持	适用于： 数据源的数据连接器，其中 Microsoft 是数据提供程序和创建者。 适用于非 Microsoft 数据源的部分 Microsoft 开发的数据连接器。 Microsoft 根据 Microsoft Azure 支持计划支持和维护此类别中的数据连接器。 合作伙伴或社区支持由除 Microsoft 以外的任何一方开发的数据连接器。
合作伙伴支持	适用于由 Microsoft 之外的各方开发的数据连接器。 合作伙伴公司可为这些数据连接器提供支持或维护。 合作伙伴公司可以是独立软件供应商、托管服务提供商 (MSP/MSSP)、系统集成商 (SI) 或在该数据连接器的 Microsoft Sentinel 页上提供其联系信息的任何组织。 对于有关合作伙伴支持的数据连接器的任何问题，请联系指定的数据连接器支持联系人。
社区支持	适用于由 Microsoft 或合作伙伴开发人员开发、但未在 Microsoft Sentinel 中的数据连接器页列出数据连接器支持和维护联系人的数据连接器。 对于有关这些数据连接器的问题，可以在 Microsoft Sentinel GitHub 社区提出问题。

有关详细信息，请参阅查找对数据连接器的支持。

后续步骤

有关数据连接器的详细信息，请参阅以下文章。

• 使用数据连接器将数据源连接到 Microsoft Sentinel
• 查找 Microsoft Sentinel 数据连接器
• 用于创建 Microsoft Sentinel 自定义连接器的资源

有关用于在 Microsoft Sentinel 中部署数据连接器的 Bicep、Azure 资源管理器和 Terraform 的基本基础结构即代码 (IaC) 参考，请参阅 Microsoft Sentinel 数据连接器 IaC 参考。