在 Microsoft Sentinel 中配置数据连接器

7 分钟

将 Microsoft Sentinel 载入工作区后，使用数据连接器开始将数据引入 Microsoft Sentinel。 Microsoft Sentinel 附带许多开箱即用的连接器，用于 Microsoft 服务，并且这些连接器能够实时集成。例如，Microsoft 365 Defender 连接器是一种服务到服务连接器，它集成了 Office 365、Microsoft Entra ID、Microsoft Defender for Identity 和 Microsoft Defender for Cloud Apps 中的数据。

内置连接器使非Microsoft产品能够连接到更广泛的安全生态系统。例如，使用 Syslog、通用事件格式（CEF）或 REST API 将数据源与 Microsoft Sentinel 连接。

Microsoft Sentinel 数据连接器页显示工作区的完整连接器列表及其状态。不久，此页面将仅显示正在使用的数据连接器列表。

注意

若要添加更多数据连接器，请从 内容中心安装与数据连接器关联的解决方案。

启用数据连接器

从“数据连接器”页中，选择要连接的活动连接器或自定义连接器，然后选择“打开连接器”页。如果未看到所需的数据连接器，请从内容中心安装与其关联的解决方案。

完成“说明”选项卡中列出的所有先决条件后，连接器页将介绍如何将数据引入Microsoft Sentinel。数据开始到达可能需要一些时间。

连接后，你将在“数据接收”图中看到数据的摘要，以及数据类型的连接状态。

数据连接器的 REST API 集成

许多安全技术提供了一组用于检索日志文件的 API，某些数据源可以使用这些 API 连接到 Microsoft Sentinel。

使用 API 的数据连接器要么从提供程序端集成，要么使用 Azure Functions 进行集成，如以下部分所述。

提供程序端的 REST API 集成

提供程序生成的 API 集成与提供程序数据源连接，并使用 Azure Monitor 数据收集器 API 将数据推送到 Microsoft Sentinel 自定义日志表中。

使用 Azure Functions 的 REST API 集成

使用 Azure Functions 连接到提供程序 API 的集成首先格式化数据，然后使用 Azure Monitor 数据收集器 API 将其发送到 Microsoft Sentinel 自定义日志表。

数据连接器的基于代理的集成

Microsoft Sentinel 可以使用 Syslog 协议将代理连接到可执行实时日志流式处理的任何数据源。例如，大多数本地数据源使用基于代理的集成进行连接。

以下各节介绍不同类型的 Microsoft Sentinel 基于代理的数据连接器。按照每个Microsoft Sentinel 数据连接器页中的步骤，使用基于代理的机制配置连接。

Syslog

可以使用 Azure Monitor 代理 (AMA) 将支持 Syslog 的 Linux 设备的事件流传输到 Microsoft Sentinel。根据设备类型，代理直接安装在设备上，或者安装在基于 Linux 的专用日志转发器上。 AMA 通过 UDP 从 Syslog 守护程序接收事件。 Syslog 守护程序在内部将事件转发到代理，通过 UDS（Unix 域套接字）进行通信。然后，AMA 将这些事件传输到Microsoft Sentinel 工作区。

下面是一个简单流程，演示 Microsoft Sentinel 如何流式传输 Syslog 数据。

设备的内置 Syslog 守护程序收集指定类型的本地事件，并将事件本地转发到代理。
代理将事件流式传输到 Log Analytics 工作区。
成功配置后，数据会显示在 Log Analytics Syslog 表中。

通用事件格式（CEF）

日志格式有所不同，但许多源支持基于 CEF 的格式。 Microsoft Sentinel 代理（实际上是 Log Analytics 代理）将 CEF 格式的日志转换为 Log Analytics 可以引入的格式。

对于在 CEF 中发出数据的数据源，请设置 Syslog 代理，然后配置 CEF 数据流。成功配置后，数据将显示在 CommonSecurityLog 表中。

自定义日志

对于某些数据源，可以使用 Log Analytics 自定义日志收集代理将日志收集为 Windows 或 Linux 计算机上的文件。

按照每个 Microsoft Sentinel 数据连接器页中的步骤使用 Log Analytics 自定义日志收集代理进行连接。成功配置后，数据将显示在自定义表中。

数据连接器的服务到服务集成

Microsoft Sentinel 使用 Azure 基础架构为 Microsoft 服务和 Amazon Web Services 提供开箱即用的服务到服务支持。

将数据连接器部署为解决方案的一部分

Microsoft Sentinel 解决方案提供安全内容的包，包括数据连接器、工作簿、分析规则、playbook 等。在使用数据连接器部署解决方案时，您将同时获取数据连接器及其相关内容。

数据连接器支持

Microsoft和其他组织机构都编写Microsoft Sentinel数据连接器。每个数据连接器都有以下支持类型之一：

支持类型	说明
微软支持	适用于数据连接器，其中Microsoft是数据源的数据提供者和作者。一些由Microsoft开发的用于非Microsoft数据源的数据连接器。 Microsoft根据 Microsoft Azure 支持计划支持和维护此类别中的数据连接器。合作伙伴或社区支持由除Microsoft以外的任何方创作的数据连接器。
合作伙伴支持	适用于由除Microsoft以外的各方创作的数据连接器。合作伙伴公司为这些数据连接器提供支持或维护。合作伙伴公司可以是独立软件供应商、托管服务提供商、系统集成商或任何组织，其联系信息是在该数据连接器的Microsoft Sentinel 页面上提供的。对于合作伙伴支持的数据连接器的任何问题，请联系指定的数据连接器支持联系人。
社区支持	适用于由 Microsoft 或合作伙伴开发人员创建的数据连接器，这些数据连接器在 Microsoft Sentinel 的指定数据连接器页面上未列出支持和维护联系信息。