在 Microsoft Sentinel 中配置数据连接器
将 Microsoft Sentinel 载入工作区后,使用数据连接器以开始将数据引入 Microsoft Sentinel。 Microsoft Sentinel 附带了许多适用于 Microsoft 服务的现用连接器,可以进行实时集成。 例如,Microsoft 365 Defender 连接器是一种服务到服务连接器,它集成了来自 Office 365、Microsoft Entra ID、Microsoft Defender for Identity 和 Microsoft Defender for Cloud Apps 的数据。
内置连接器可以连接到非 Microsoft 产品的更广泛的安全生态系统。 例如,使用 Syslog、通用事件格式 (CEF) 或 REST API 将数据源与 Microsoft Sentinel 连接。
Microsoft Sentinel“数据连接器”页显示工作区的连接器的完整列表及其状态。 很快,此页面将仅显示正在使用的数据连接器的列表。
注意
若要添加更多数据连接器,请从内容中心安装与数据连接器关联的解决方案。
启用数据连接器
在“数据连接器”页中,选择要连接的活动或自定义连接器,然后选择“打开连接器页”。 如果没有看到所需的数据连接器,请从内容中心安装与之相关的解决方案。
满足“说明”选项卡中列出的所有先决条件后,连接器页将介绍如何将数据引入 Microsoft Sentinel。 数据可能需要一些时间来开始到达。
在连接后,可以在“收到的数据”图中查看数据摘要,以及数据类型的连接状态。
数据连接器的 REST API 集成
许多安全技术提供了一组用于检索日志文件的 API,并且某些数据源可以使用这些 API 连接到 Microsoft Sentinel。
使用 API 的数据连接器或是从提供程序端集成,或是使用 Azure Functions 集成,具体如以下部分所述。
提供程序端的 REST API 集成
由提供程序构建的 API 集成将与提供程序数据源连接,并使用 Azure Monitor 数据收集器 API 将数据推送到 Microsoft Sentinel 自定义数据表。
使用 Azure Functions 进行 REST API 集成
使用 Azure Functions 与提供程序 API 连接的集成首先会格式化数据,然后使用 Azure Monitor 数据收集器 API 将数据发送至 Microsoft Sentinel 自定义日志表。
基于代理的数据连接器集成
Microsoft Sentinel 可以使用 Syslog 协议将代理连接到任何可执行实时日志流式处理的数据源。 例如,大多数本地数据源通过基于代理的集成进行连接。
以下部分介绍基于 Microsoft Sentinel 代理的数据连接器的不同类型。 按照每个 Microsoft Sentinel 数据连接器页中的步骤,使用基于代理的机制配置连接。
Syslog
你可以使用 Azure Monitor 代理 (AMA) 将事件从支持 Syslog 的 Linux 设备流式传输到 Microsoft Sentinel。 根据设备类型,可以直接在设备上安装代理,或在专用的 Linux 日志转发器上安装代理。 AMA 通过 UDP 从 Syslog 守护程序接收事件。 Syslog 守护程序会在内部将事件转发到代理,从而通过 UDS(Unix 域套接字)进行通信。 然后,AMA 将这些事件传输到 Microsoft Sentinel 工作区。
下面是一个简单的流,其中显示了 Microsoft Sentinel 如何流式传输 Syslog 数据。
- 设备的内置 Syslog 守护程序会收集指定类型的本地事件,并在本地将其转发到代理。
- 代理将事件流式传输到 Log Analytics 工作区。
- 成功配置后,数据将显示在 Log Analytics Syslog 表中。
通用事件格式 (CEF)
日志格式各不相同,但许多源支持基于 CEF 的格式设置。 Microsoft Sentinel 代理(实际上是 Log Analytics 代理)将 CEF 格式的日志转换为 Log Analytics 可以引入的格式。
对于在 CEF 中发出数据的数据源,请设置 Syslog 代理,然后配置 CEF 数据流。 成功配置后,数据将显示在 CommonSecurityLog 表中。
自定义日志
对于某些数据源,可以使用 Log Analytics 自定义日志收集代理将日志收集为 Windows 或 Linux 计算机上的文件。
按照每个 Microsoft Sentinel 数据连接器页中的步骤,使用 Log Analytics 自定义日志收集代理进行连接。 成功配置后,数据将显示在自定义表中。
数据连接器的服务到服务集成
Microsoft Sentinel 使用 Azure 基础为 Microsoft 服务和 Amazon Web Services 提供开箱即用的服务到服务支持。
将数据连接器部署为解决方案的一部分
Microsoft Sentinel 解决方案提供安全内容包,其中包括数据连接器、工作簿、分析规则、playbook 等。 部署使用数据连接器的解决方案时,你将获取数据连接器以及同一部署中的相关内容。
数据连接器支持
Microsoft 和其他组织都会创作 Microsoft Sentinel 数据连接器。 每个数据连接器都具有以下支持类型之一:
支持类型 | 描述 |
---|---|
Microsoft 支持 | 适用于 Microsoft 是数据提供商和作者的数据源的数据连接器。 适用于非 Microsoft 数据源的部分 Microsoft 开发的数据连接器。 Microsoft 根据 Microsoft Azure 支持计划支持和维护此类别中的数据连接器。 合作伙伴或社区支持由除 Microsoft 以外的任何一方开发的数据连接器。 |
合作伙伴支持 | 适用于由 Microsoft 之外的各方开发的数据连接器。 合作伙伴公司可为这些数据连接器提供支持或维护。 合作伙伴公司可以是独立软件供应商、托管服务提供商、系统集成商,或者是在 Microsoft Sentinel 页面上为该数据连接器提供了其联系信息的任何组织。 对于合作伙伴支持的数据连接器的任何问题,请联系指定的数据连接器支持联系人。 |
社区支持 | 适用于由 Microsoft 或合作伙伴开发人员开发、但未在 Microsoft Sentinel 中的指定数据连接器页列出数据连接器支持和维护联系人的数据连接器。 |