使用 API 型數據連接器將 sentinel Microsoft連接到其他 Microsoft 服務
本文說明如何將 API 型連線Microsoft Sentinel。 Microsoft Sentinel 使用 Azure 基礎來提供內建的服務對服務支援,以從許多 Azure 和 Microsoft 365 服務、Amazon Web Services 和各種 Windows Server 服務中擷取。 有一些不同的方法,這些連接是透過這些方法建立的。
本文提供 API 型數據連接器群組通用的資訊。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
必要條件
您必須具有 Log Analytics 工作區的讀取和寫入許可權。
您必須擁有Microsoft Sentinel 工作區租使用者或對等許可權的安全性系統管理員角色。
資料連接器特定需求:
資料連接器 授權、成本和其他必要條件 Microsoft Entra ID Protection - Microsoft Entra ID P2 訂用帳戶
- 可能會產生其他費用Dynamics 365 - Microsoft Dynamics 365 生產授權。 不適用於沙箱環境。
- 至少一位使用者已指派Microsoft/Office 365 E1 或更新版 授權。
- Microsoft Purview 中啟用稽核記錄。 請參閱 開啟或關閉稽核。
- 稽核在您的 Microsoft Dataverse 環境中啟用的記錄。 請參閱 Microsoft Dataverse 和模型驅動應用程式活動記錄。
- 可能適用其他費用。適用於雲端應用程式的 Microsoft Defender 針對 Cloud Discovery 記錄,在 適用於雲端的 Microsoft Defender Apps 中啟用 Microsoft Sentinel 作為 SIEM 適用於端點的 Microsoft Defender 適用於端點的 Microsoft Defender部署的有效授權 適用於 Office 365 的 Microsoft Defender Office 365 ATP 方案 2 的有效授權 Microsoft Office 365 - 您的 Office 365 部署必須與Microsoft Sentinel 工作區位於相同的租使用者上。
- 可能適用其他費用。Microsoft Power BI - 您的 Office 365 部署必須與Microsoft Sentinel 工作區位於相同的租使用者上。
- 可能適用其他費用。Microsoft Purview 資訊保護 - 您的 Office 365 部署必須與Microsoft Sentinel 工作區位於相同的租使用者上。
- 可能適用其他費用。Microsoft Purview 內部風險管理 (IRM) - Microsoft 365 E5/A5/G5 的有效訂用帳戶,或其隨附的合規性或 IRM 附加元件。
- Microsoft Purview 內部風險管理 完整上線,以及定義併產生警示的 IRM 原則。
- Microsoft設定為啟用 IRM 警示導出至 Office 365 管理活動 API 的 365 IRM ,以便透過 Microsoft Sentinel 連接器接收警示。
透過 API 型連接器連線到 Microsoft 服務
從 Microsoft Sentinel 導覽功能表中,選取 [資料連接器]。
從數據連接器資源庫選取您的服務,然後在預覽窗格中選取 [ 開啟連接器頁面 ]。
選取 [ 連線 ] 以啟動從您的服務串流事件和/或警示到 Microsoft Sentinel。
如果在連接器頁面上有標題為 [建立事件 - 建議!] 的區段,如果您想要從警示自動建立事件,請選取 [ 啟用 ]。
您可以使用數據連接器參考頁面中服務連接器區段中出現的數據表名稱,尋找並查詢每個服務的數據。
相關內容
如需詳細資訊,請參閱