Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje seznam všech podporovaných, předefinovaných datových konektorů a odkazů na kroky nasazení jednotlivých konektorů.
Important
- Všimněte si, že datové konektory Microsoft Sentinel jsou aktuálně v Preview. Další právní podmínky Azure Verze Preview obsahují další právní podmínky, které platí pro Azure funkce, které jsou v beta verzi, preview nebo které ještě nejsou vydané v obecné dostupnosti.
- Po March 31, 2027 už Microsoft Sentinel nebude podporován na portálu Azure a bude dostupný jenom na portálu Microsoft Defender. Všichni zákazníci, kteří používají Microsoft Sentinel na portálu Azure, budou směrovat na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender. Počínaje verzí July 2025 se mnoho nových zákazníků automaticky nasadí a přesměruje na portál Defender. Pokud stále používáte Microsoft Sentinel na portálu Azure, doporučujeme začít plánovat transition na portál Defender, abyste zajistili hladký přechod a plně využili výhod unifikovaného prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu :Čas přesunutí: Vyřazení Microsoft Sentinel portálu Azure pro větší zabezpečení.
Datové konektory jsou k dispozici jako součást následujících nabídek:
Řešení: Mnoho datových konektorů se nasazuje jako součást řešení Microsoft Sentinel spolu s souvisejícím obsahem, jako jsou analytická pravidla, sešity a playbooky. Další informace najdete v katalogu řešení Microsoft Sentinel.
Konektory komunity: Další datové konektory poskytuje komunita Microsoft Sentinel a najdete je v Azure Marketplace. Dokumentace k datovým konektorům komunity je odpovědností organizace, která konektor vytvořila.
Vlastní konektory: Pokud máte zdroj dat, který není uvedený nebo aktuálně podporovaný, můžete také vytvořit vlastní konektor. Další informace najdete v tématu Zdroje pro vytváření vlastních konektorů Microsoft Sentinel.
Note
Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinel v dostupnost funkcí Cloud pro zákazníky státní správy USA.
Požadavky datového konektoru
Každý datový konektor má vlastní sadu požadavků. Požadavky můžou zahrnovat, že musíte mít specifická oprávnění k pracovnímu prostoru Azure, předplatnému nebo zásadám. Nebo musíte splnit další požadavky na zdroj dat partnera, ke kterému se připojujete.
Požadavky pro každý datový konektor jsou uvedeny na stránce příslušného datového konektoru v Microsoft Sentinel.
datové konektory založené na agentovi Azure Monitor (AMA) vyžadují připojení k internetu ze systému, na kterém je agent nainstalovaný. Povolte odchozí připojení portu 443, abyste umožnili připojení mezi systémem, na kterém je agent nainstalovaný, a Microsoft Sentinel.
Konektory syslogu a společného formátu událostí (CEF)
Shromažďování protokolů z mnoha bezpečnostních zařízení a zařízení podporují datové konektory Syslog prostřednictvím AMA nebo Common Event Format (CEF) prostřednictvím AMA v Microsoft Sentinel. Pokud chcete předávat data do pracovního prostoru Log Analytics pro Microsoft Sentinel, proveďte kroky v Přisílání zpráv syslogu a CEF do Microsoft Sentinel pomocí agenta Azure Monitor. Mezi tyto kroky patří instalace řešení Microsoft Sentinel pro zařízení zabezpečení nebo zařízení z centra Kontent v Microsoft Sentinel. Potom nakonfigurujte protokol Syslog prostřednictvím AMA nebo Common Event Format (CEF) prostřednictvím datového konektoru AMA, který je vhodný pro Microsoft Sentinel řešení, které jste nainstalovali. Dokončete nastavení konfigurací zabezpečovacího zařízení nebo zařízení. Pokyny ke konfiguraci zabezpečovacího zařízení nebo zařízení najdete v jednom z následujících článků:
- CEF prostřednictvím datového konektoru AMA – Konfigurace konkrétního zařízení nebo zařízení pro příjem dat Microsoft Sentinel
- Syslog prostřednictvím datového konektoru AMA – Konfigurace konkrétního zařízení nebo zařízení pro příjem dat Microsoft Sentinel
Obraťte se na poskytovatele řešení a požádejte o další informace nebo informace o nedostupnosti zařízení nebo zařízení.
Vlastní protokoly přes konektor AMA
Filtrujte a ingestujte protokoly ve formátu textového souboru z aplikací sítě nebo zabezpečení nainstalovaných na Windows nebo na počítačích s Linuxem pomocí Custom Logs prostřednictvím konektoru AMA v Microsoft Sentinel. Další informace najdete v následujících článcích:
- Collect protokoly z textových souborů s agentem Azure Monitor a ingestováním na Microsoft Sentinel
- Custom Logs prostřednictvím datového konektoru AMA – Nakonfigurujte příjem dat tak, aby se Microsoft Sentinel z konkrétních aplikací
Datové konektory služby Sentinel
Note
Následující tabulka uvádí datové konektory, které jsou k dispozici v centru Microsoft Sentinel Obsahu. Konektory podporuje dodavatel produktu. Pokud potřebujete podporu, podívejte se na odkaz Podporovaný.
Návod
Seznam tabulek přijatých do Microsoft Sentinel a konektorů, které je ingestují, najdete v tématu Microsoft Sentinel tabulky a přidružené spojnice.
1Password (bez serveru)
Podporováno uživatelem:1Password
Konektor 1Password CCF umožňuje uživateli ingestovat 1Password Audit, Signin & Události ItemUsage do Microsoft Sentinel
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
OnePasswordEventLogs_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Token rozhraní API 1Password: Je vyžadován token rozhraní API 1Password. Informace o vytvoření tokenu rozhraní API najdete v dokumentaci k 1Passwordu .
1Password (pomocí Azure Functions)
Podporováno uživatelem:1Password
Řešení
Použité základní technologie Společnosti Microsoft:
Toto řešení závisí na následujících technologiích a některé z nich můžou být ve stavu Preview nebo můžou mít další náklady na příjem dat nebo provoz:
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
OnePasswordEventLogs_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Token rozhraní API události 1Password: Je vyžadován token rozhraní API události 1Password. Další informace najdete v rozhraní API 1Password.
Poznámka: Vyžaduje se účet 1Password Business.
AbnormalSecurity (pomocí funkce Azure)
Podporováno:Neobvyklé zabezpečení
Datový konektor Neobvyklé zabezpečení poskytuje možnost ingestovat hrozby a případové protokoly do Microsoft Sentinel pomocí rozhraní REST API.Abnormal Security Rest API.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ABNORMAL_THREAT_MESSAGES_CL |
Ne | Ne |
ABNORMAL_CASES_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Abnormal Security API Token: Vyžaduje se neobvyklý token Security API. Další informace naleznete v tématu Abnormal Security API.
Poznámka: Vyžaduje se neobvyklý účet zabezpečení.
AIShield
Podporuje:AIShield
konektor AIShield umožňuje uživatelům připojit se k protokolům vlastního mechanismu ochrany AIShield pomocí Microsoft Sentinel, což umožňuje vytváření dynamických řídicích panelů, sešitů, poznámkových bloků a přizpůsobených výstrah za účelem zlepšení útoků na vyšetřování a útoky na AI. Poskytuje uživatelům lepší přehled o zabezpečení prostředků umělé inteligence organizace a zlepšuje možnosti operací zabezpečení systémů AI. AIShield.GuArdIan analyzuje obsah vygenerovaný LLM, který identifikuje a zmírní škodlivý obsah, chrání před právními, zásadami, na základě rolí a porušením na základě využití.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AIShield_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Poznámka: Uživatelé by měli využít nabídku AIShield SaaS k provedení analýzy ohrožení zabezpečení a nasazených vlastních mechanismů obrany generovaných společně s jejich prostředky AI.
Kliknutím sem získáte další informace nebo se dotknete.
Alibaba Cloud ActionTrail (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor Alibaba Cloud ActionTrail poskytuje možnost načíst události akce uložené do služby Albaba Cloud Simple Log Service a ukládat je do Microsoft Sentinel prostřednictvím SLS REST API. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AliCloudActionTrailLogs_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Pro volání rozhraní API rozhraní API se vyžadují přihlašovací údaje a oprávnění rozhraní REST API služby SLS: AliCloudAccessKeySecret a AliCloudAccessKeySecret. K udělení oprávnění k volání této operace je potřeba prohlášení o zásadách ram s akcí alespoň
log:GetLogStoreLogsnad prostředkemacs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName}.
AliCloud (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Datový konektor AliCloud poskytuje možnost načítat protokoly z cloudových aplikací pomocí rozhraní Cloud API a ukládat události do Microsoft Sentinel prostřednictvím rozhraní REST API. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AliCloud_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Pro volání rozhraní API se vyžadují přihlašovací údaje a oprávnění rozhraní REST API: AliCloudAccessKeyId a AliCloudAccessKey.
Amazon Web Services
Podporováno společností:Microsoft Corporation
Pokyny pro připojení k AWS a streamování protokolů CloudTrail do Microsoft Sentinel se zobrazí během procesu instalace. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AWSCloudTrail |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Amazon Web Services CloudFront (prostřednictvím architektury konektoru bez kódu) (Preview)
Podporováno společností:Microsoft Corporation
Tento datový konektor umožňuje integraci protokolů AWS CloudFront s Microsoft Sentinel pro podporu rozšířené detekce, vyšetřování a monitorování zabezpečení. Pomocí Amazon S3 pro úložiště protokolů a Amazon SQS pro řazení zpráv do front zpráv konektor spolehlivě ingestuje protokoly přístupu CloudFront do Microsoft Sentinel
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AWSCloudFront_AccessLog_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Amazon Web Services NetworkFirewall (přes architekturu konektorů bez kódu)
Podporováno společností:Microsoft Corporation
Tento datový konektor umožňuje ingestovat protokoly brány firewall sítě AWS do Microsoft Sentinel pro pokročilé detekce hrozeb a monitorování zabezpečení. Díky využití AmazonU S3 a AmazonU SQS konektor předává protokoly síťového provozu, výstrahy detekce neoprávněných vniknutí a události brány firewall, aby se Microsoft Sentinel, což umožňuje analýzu a korelaci s dalšími daty zabezpečení v reálném čase.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AWSNetworkFirewallFlow |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Amazon Web Services S3
Podporováno společností:Microsoft Corporation
Tento konektor umožňuje ingestovat protokoly služby AWS shromážděné v kontejnerech AWS S3 pro Microsoft Sentinel. Aktuálně podporované datové typy jsou:
- AWS CloudTrail
- Protokoly toku VPC
- AWS GuardDuty
- AWSCloudWatch
Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AWSGuardDuty |
Ano | Ano |
AWSVPCFlow |
Ano | Ano |
AWSCloudTrail |
Ano | Ano |
AWSCloudWatch |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Prostředí: Musíte mít definované a nakonfigurované následující prostředky AWS: S3, Simple Queue Service (SQS), role a zásady oprávnění IAM a služby AWS, jejichž protokoly chcete shromažďovat.
Amazon Web Services S3 DNS Route53 (přes architekturu konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Tento konektor umožňuje ingestování protokolů DNS AWS Route 53 do Microsoft Sentinel pro lepší viditelnost a detekci hrozeb. Podporuje protokoly dotazů překladače DNS ingestované přímo z kontejnerů AWS S3, zatímco veřejné protokoly dotazů DNS a protokoly auditu Route 53 je možné ingestovat pomocí konektorů AWS CloudWatch a CloudTrail Microsoft Sentinel. K dispozici jsou komplexní pokyny, které vás provedou nastavením jednotlivých typů protokolů. Pomocí tohoto konektoru můžete monitorovat aktivitu DNS, zjišťovat potenciální hrozby a zlepšovat stav zabezpečení v cloudových prostředích.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AWSRoute53Resolver |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Amazon Web Services S3 WAF
Podporováno společností:Microsoft Corporation
Tento konektor umožňuje ingestovat protokoly WAF AWS shromážděné v kontejnerech AWS S3 pro Microsoft Sentinel. Protokoly WAF AWS jsou podrobné záznamy o provozu, který analyzují seznamy řízení přístupu (ACL), které jsou nezbytné pro zachování zabezpečení a výkonu webových aplikací. Tyto protokoly obsahují informace, jako je čas, kdy AWS WAF obdržel žádost, specifika požadavku a akci prováděnou pravidlem, které požadavek odpovídal.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AWSWAF |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Anvilogic
Podporuje:Anvilogic
Datový konektor Anvilogic umožňuje načíst události, které vás zajímají v clusteru Anvilogic ADX, do vašeho Microsoft Sentinel
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Anvilogic_Alerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
ID a tajný klíč klienta pro registraci aplikace Anvilogic: Pro přístup k anvilogic ADX vyžadujeme ID klienta a tajný klíč klienta z registrace aplikace Anvilogic.
Zabezpečení cloudu ARGOS
Podporováno:ARGOS Cloud Security
Integrace ARGOS Cloud Security pro Microsoft Sentinel umožňuje mít na jednom místě všechny důležité události zabezpečení cloudu. Díky tomu můžete snadno vytvářet řídicí panely, výstrahy a korelovat události napříč několika systémy. Celkově se tím zlepší stav zabezpečení vaší organizace a reakce na incidenty zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ARGOS_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Aktivity výstrahArmis (pomocí Azure Functions)
Podporováno společností:Armis Corporation
Konektor aktivity výstrah Armis poskytuje možnost ingestovat výstrahy a aktivity Armis do Microsoft Sentinel prostřednictvím rozhraní ARMIS REST API. Další informace najdete v dokumentaci https://<YourArmisInstance>.armis.com/api/v1/docs k rozhraní API. Konektor poskytuje možnost získat informace o výstrahách a aktivitách z platformy Armis a identifikovat hrozby ve vašem prostředí a určit jejich prioritu. Armis využívá vaši stávající infrastrukturu ke zjišťování a identifikaci zařízení bez nutnosti nasazovat agenty.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Armis_Alerts_CL |
Ne | Ne |
Armis_Activities_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se tajný klíč Armis . Další informace o rozhraní API najdete v dokumentaci
https://<YourArmisInstance>.armis.com/api/v1/doc
Armis (pomocí Azure Functions)
Podporováno společností:Armis Corporation
Konektor zařízení Armis poskytuje možnost ingestovat zařízení Armis do Microsoft Sentinel prostřednictvím rozhraní ARMIS REST API. Další informace najdete v dokumentaci https://<YourArmisInstance>.armis.com/api/v1/docs k rozhraní API. Konektor poskytuje možnost získat informace o zařízení z platformy Armis. Armis využívá vaši stávající infrastrukturu ke zjišťování a identifikaci zařízení bez nutnosti nasazovat agenty. Armis se také může integrovat s vašimi stávajícími nástroji pro správu IT a zabezpečení k identifikaci a klasifikaci každého zařízení, spravovaného nebo nespravovaného ve vašem prostředí.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Armis_Devices_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se tajný klíč Armis . Další informace o rozhraní API najdete v dokumentaci
https://<YourArmisInstance>.armis.com/api/v1/doc
Výstrahy atlasského signálu
Podporováno společností:DEFEND Ltd.
Atlassian Beacon je cloudový produkt, který je vytvořený pro inteligentní detekci hrozeb napříč platformami Atlassian (Jira, Confluence a Atlassian Admin). To může uživatelům pomoct zjišťovat, zkoumat a reagovat na rizikové aktivity uživatelů pro sadu produktů Atlassian. Řešení je vlastní datový konektor od SPOLEČNOSTI DEFEND Ltd. slouží k vizualizaci výstrah přijatých z Atlassian Beacon do Microsoft Sentinel prostřednictvím aplikace logiky.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
atlassian_beacon_alerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Atlassian Confluence Audit (prostřednictvím architektury konektorů bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor Atlassian Confluence Audit poskytuje možnost ingestovat Záznamy audituConfluence do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ConfluenceAuditLogs_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Přístup k rozhraní API Atlassian Confluence: K získání přístupu k rozhraní API protokolů auditu Confluence se vyžaduje oprávnění ke správě confluence . Další informace o rozhraní API pro audit najdete v dokumentaci k rozhraní Confluence API .
Atlassian Jira Audit (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Datový konektor Atlassian Jira Audit poskytuje možnost ingestovat Záznamy audituJira do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Jira_Audit_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: JiraAccessToken, JiraUsername se vyžaduje pro rozhraní REST API. Další informace najdete v tématu ROZHRANÍ API. Zkontrolujte všechny požadavky a postupujte podle pokynů pro získání přihlašovacích údajů.
Atlassian Jira Audit (pomocí rozhraní REST API)
Podporováno společností:Microsoft Corporation
Datový konektor Atlassian Jira Audit poskytuje možnost ingestovat Záznamy audituJira do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Jira_Audit_v2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Přístup k rozhraní API Atlassian Jira: Pro získání přístupu k rozhraní API protokolů auditu Jira se vyžaduje oprávnění správce Jira . Další informace o rozhraní API pro audit najdete v dokumentaci k rozhraní JIRA API .
Auth0 Správa přístupu (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Datový konektor Auth0 Access Management poskytuje možnost ingestovat události protokolu Auth0 do Microsoft Sentinel
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Auth0AM_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Je vyžadován token rozhraní API . Další informace najdete v tématu Token rozhraní API.
Protokoly ověřování 0
Podporováno společností:Microsoft Corporation
Datový konektor Auth0 umožňuje ingestování protokolů z rozhraní Auth0 API do Microsoft Sentinel. Datový konektor je založený na rozhraní Microsoft Sentinel Codeless Connector Framework. K načtení protokolů používá rozhraní Auth0 API a podporuje transformace času příjmu dat založené na DCR, které analyzují přijatá data zabezpečení do vlastní tabulky, aby dotazy nemusely znovu analyzovat, což vede k lepšímu výkonu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Auth0Logs_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Automatizovaná logika WebCTRL
Podporováno společností:Microsoft Corporation
Protokoly auditu můžete streamovat ze serveru SQL WebCTRL hostovaného na Windows počítačích připojených k vašemu Microsoft Sentinel. Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. To poskytuje přehled o průmyslových řídicích systémech, které jsou monitorovány nebo řízeny aplikací WebCTRL BAS.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Event |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Datový konektor AWS EKS (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor AWS EKS poskytuje možnost ingestovat protokoly auditu ze služby Amazon Elastic Kubernetes Service do Microsoft Sentinelu. Tento konektor se zaměřuje na protokoly auditu EKS (formát JSON), které obsahují podrobné informace o požadavcích na server rozhraní API, rozhodnutích o ověřování a aktivitách clusteru. Konektor používá AWS SQS k přijímání oznámení při exportu nových souborů protokolu auditu do S3, což zajišťuje sledování zabezpečení a dodržování předpisů pro clustery Kubernetes v reálném čase.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AWSEKSLogs_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Protokoly přístupu k serveru AWS S3 (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Tento konektor umožňuje ingestovat protokoly přístupu k serveru AWS S3 do Microsoft Sentinel. Tyto protokoly obsahují podrobné záznamy o požadavcích provedených v kontejnerech S3, včetně typu požadavku, přístupu k prostředku, informací o žadateli a podrobností odpovědi. Tyto protokoly jsou užitečné pro analýzu vzorů přístupu, ladění problémů a zajištění dodržování předpisů zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AWSS3ServerAccess |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Prostředí: Musíte mít definované a nakonfigurované následující prostředky AWS: S3 Bucket, Simple Queue Service (SQS), role IAM a zásady oprávnění.
Zjištění služby AWS Security Hub (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Tento konektor umožňuje příjem informací o zjištěních služby AWS Security Hub, které se shromažďují v kontejnerech AWS S3, do Microsoft Sentinel. Pomáhá zjednodušit proces monitorování a správy výstrah zabezpečení tím, že integruje závěry AWS Security Hubu s pokročilými možnostmi detekce hrozeb a reakce Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AWSSecurityHubFindings |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Prostředí: Musíte mít definované a nakonfigurované následující prostředky AWS: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), role AAM a zásady oprávnění.
Azure Aktivita
Podporováno společností:Microsoft Corporation
Azure protokol aktivit je protokol předplatného, který poskytuje přehled o událostech na úrovni předplatného, ke kterým dochází v Azure, včetně událostí z Azure Resource Manager provozních dat, událostí stavu služby, operací zápisu prostředků ve vašem předplatném a stavu aktivit provedených v Azure. Další informace najdete v dokumentaci Microsoft Sentinel .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureActivity |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Azure Batch Účet
Podporováno společností:Microsoft Corporation
Azure Batch Account je jedinečně identifikovaná entita v rámci služby Batch. Většina řešení Batch používá Azure Storage k ukládání souborů prostředků a výstupních souborů, takže každý účet Batch je obvykle přidružený k odpovídajícímu účtu úložiště. Tento konektor umožňuje streamovat protokoly diagnostiky účtu Azure Batch do Microsoft Sentinel, což vám umožní nepřetržitě monitorovat aktivity. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Zásada: Role vlastníka přiřazená pro každý obor přiřazení zásad
Azure CloudNGFW By Palo Alto Networks
Podporováno společností:Palo Alto Networks
Brána firewall příští generace cloudu od Palo Alto Networks – nativní služba ISV (Azure Native ISV Service) je firewall nové generace Palo Alto Networks (NGFW) doručovaný jako služba nativní pro cloud v Azure. Cloud NGFW můžete zjistit v Azure Marketplace a využívat ho ve virtuální síti Azure. Cloud NGFW umožňuje přístup k základním funkcím NGFW, jako jsou App-ID, technologie založené na filtrování adres URL. Poskytuje ochranu před hrozbami a detekci prostřednictvím cloudových služeb zabezpečení a podpisů prevence hrozeb. Konektor umožňuje snadno připojit protokoly Cloud NGFW pomocí Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Tím získáte lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení. Další informace najdete v dokumentaci Cloud NGFW pro Azure.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
fluentbit_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Azure Cognitive Search
Podporováno společností:Microsoft Corporation
Azure Cognitive Search je cloudová vyhledávací služba, která vývojářům poskytuje infrastrukturu, rozhraní API a nástroje pro vytváření bohatého vyhledávacího prostředí nad soukromým, heterogenním obsahem ve webových, mobilních a podnikových aplikacích. Tento konektor umožňuje streamovat diagnostické protokoly Azure Cognitive Search do Microsoft Sentinel, což vám umožní nepřetržitě monitorovat aktivitu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Zásada: Role vlastníka přiřazená pro každý obor přiřazení zásad
Azure DDoS Protection
Podporováno společností:Microsoft Corporation
Připojte se k protokolům DDoS Protection úrovně Standard Azure prostřednictvím diagnostických protokolů veřejných IP adres. Kromě základní ochrany před útoky DDoS na platformě poskytuje Azure DDoS Protection Standard pokročilé možnosti omezení rizik útoků DDoS proti síťovým útokům. Automaticky je vyladěná tak, aby chránila vaše konkrétní Azure prostředky. Ochrana se dá jednoduše povolit při vytváření nových virtuálních sítí. Dá se také provést po vytvoření a nevyžaduje žádné změny aplikace nebo prostředku. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Azure DevOps Protokoly auditu (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor protokolů auditu Azure DevOps umožňuje ingestovat události auditu z Azure DevOps do Microsoft Sentinel. Tento datový konektor je sestaven pomocí rozhraní Microsoft Sentinel Codeless Connector Framework a zajišťuje bezproblémovou integraci. Využívá rozhraní API protokolů auditu Azure DevOps k načtení podrobných událostí auditu a podporuje transformace času ingestionu. Tyto transformace umožňují analyzovat přijatá data auditu do vlastní tabulky během příjmu dat, což zlepšuje výkon dotazů tím, že eliminuje potřebu další analýzy. Pomocí tohoto konektoru můžete získat lepší přehled o prostředí Azure DevOps a zefektivnit operace zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ADOAuditLogs_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Azure DevOps požadavky: Zkontrolujte následující:
1. Zaregistrujte aplikaci Entra v centru pro správu Microsoft Entra v části Registrace aplikací.
2. V části Oprávnění rozhraní API – přidejte oprávnění do Azure DevOps – vso.auditlog.
3. V 'Certifikáty a tajné kódy' - vygenerujte 'Tajný klíč klienta'.
4. V části Ověřování přidejte do odpovídajícího pole níže uvedený identifikátor URI přesměrování.
5. V nastavení Azure DevOps – povolte protokol auditu a nastavte View protokol auditu pro uživatele. Azure DevOps auditování.
6. Ujistěte se, že uživatel přiřazený k připojení datového konektoru má oprávnění Zobrazit protokoly auditu explicitně nastavené na Povolit vždy. Toto oprávnění je nezbytné pro úspěšné ingestování protokolů. Pokud je oprávnění odvoláno nebo není uděleno, příjem dat selže nebo se přeruší.
Azure Centrum událostí
Podporováno společností:Microsoft Corporation
Azure Event Hubs je platforma pro streamování velkých objemů dat a služba pro příjem událostí. Může přijímat a zpracovávat miliony událostí za sekundu. Tento konektor umožňuje streamovat diagnostické protokoly centra událostí Azure do Microsoft Sentinel, což vám umožní nepřetržitě monitorovat aktivitu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Zásada: Role vlastníka přiřazená pro každý obor přiřazení zásad
Azure Firewall
Podporováno společností:Microsoft Corporation
Připojte se k Azure Firewall. Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání vaše Azure Virtual Network prostředky. Jedná se o plně stavový firewall jako služba s integrovanou vysokou dostupností a neomezenou škálovatelností v cloudu. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
AZFWApplicationRule |
Ano | Ano |
AZFWFlowTrace |
Ano | Ano |
AZFWFatFlow |
Ano | Ano |
AZFWNatRule |
Ano | Ano |
AZFWDnsQuery |
Ano | Ano |
AZFWIdpsSignature |
Ano | Ano |
AZFWInternalFqdnResolutionFailure |
Ano | Ano |
AZFWNetworkRule |
Ano | Ano |
AZFWThreatIntel |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Azure Key Vault
Podporováno společností:Microsoft Corporation
Azure Key Vault je cloudová služba pro bezpečné ukládání tajných kódů a přístup k nim. Tajný kód je vše, co chcete pevně řídit přístup, jako jsou klíče rozhraní API, hesla, certifikáty nebo kryptografické klíče. Tento konektor umožňuje streamovat diagnostické protokoly Azure Key Vault do Microsoft Sentinel, což vám umožní nepřetržitě monitorovat aktivity ve všech vašich instancích. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Azure Kubernetes Service (AKS)
Podporováno společností:Microsoft Corporation
Azure Kubernetes Service (AKS) je opensourcová plně spravovaná služba orchestrace kontejnerů, která umožňuje nasadit, škálovat a spravovat kontejnery Dockeru a kontejnerové aplikace v prostředí clusteru. Tento konektor umožňuje streamovat protokoly diagnostiky Azure Kubernetes Service (AKS) do Microsoft Sentinel, což umožňuje nepřetržitě monitorovat aktivity ve všech vašich instancích. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Azure Logic Apps
Podporováno společností:Microsoft Corporation
Azure Logic Apps je cloudová platforma pro vytváření a spouštění automatizovaných pracovních postupů, které integrují vaše aplikace, data, služby a systémy. Tento konektor umožňuje streamovat protokoly diagnostiky Azure Logic Apps do Microsoft Sentinel, což vám umožní nepřetržitě monitorovat aktivitu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Zásada: Role vlastníka přiřazená pro každý obor přiřazení zásad
Azure Resource Graph
Podporováno společností:Microsoft Corporation
konektor Azure Resource Graph poskytuje bohatší přehled o událostech Azure doplněním podrobností o Azure předplatných a Azure prostředcích.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Policy: Oprávnění role vlastníka u předplatných Azure
Azure Service Bus
Podporováno společností:Microsoft Corporation
Azure Service Bus je plně spravovaný podnikový zprostředkovatel zpráv s frontami zpráv a tématy publikování a odběrem zpráv (v oboru názvů). Tento konektor umožňuje streamovat diagnostické protokoly Azure Service Bus do Microsoft Sentinel, což vám umožní nepřetržitě monitorovat aktivitu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Zásada: Role vlastníka přiřazená pro každý obor přiřazení zásad
Azure SQL Databáze
Podporováno společností:Microsoft Corporation
Azure SQL je plně spravovaný databázový stroj PaaS (Platforma jako služba), který zpracovává většinu funkcí správy databází, jako je upgrade, opravy, zálohování a monitorování, aniž by bylo nutné zapojit uživatele. Tento konektor umožňuje streamovat Azure SQL databáze auditování a diagnostické protokoly do Microsoft Sentinel, což vám umožní nepřetržitě monitorovat aktivity ve všech vašich instancích.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Azure Storage Účet
Podporováno společností:Microsoft Corporation
Azure Storage účet je cloudové řešení pro moderní scénáře ukládání dat. Obsahuje všechny datové objekty: objekty blob, soubory, fronty, tabulky a disky. Tento konektor umožňuje streamovat protokoly diagnostiky účtů Azure Storage do pracovního prostoru Microsoft Sentinel, což vám umožní nepřetržitě monitorovat aktivity ve všech instancích a detekovat škodlivé aktivity ve vaší organizaci. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureMetrics |
Ne | Ne |
StorageBlobLogs |
Ano | Ano |
StorageQueueLogs |
Ano | Ano |
StorageTableLogs |
Ano | Ano |
StorageFileLogs |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Zásada: Role vlastníka přiřazená pro každý obor přiřazení zásad
Azure Stream Analytics
Podporováno společností:Microsoft Corporation
Azure Stream Analytics je analytický a složitý modul pro zpracování událostí v reálném čase, který je navržený tak, aby analyzoval a zpracovával velké objemy dat rychlého streamování z více zdrojů současně. Tento konektor umožňuje streamovat diagnostické protokoly centra Azure Stream Analytics do Microsoft Sentinel, což vám umožní nepřetržitě monitorovat aktivitu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Zásada: Role vlastníka přiřazená pro každý obor přiřazení zásad
Firewall webových aplikací Azure (WAF)
Podporováno společností:Microsoft Corporation
Připojte se ke Azure Web Application Firewall (WAF) pro Application Gateway, Front Door nebo CDN. Tento WAF chrání vaše aplikace před běžnými webovými ohroženími zabezpečení, jako je injektáž SQL a skriptování mezi weby, a umožňuje přizpůsobit pravidla, která snižují falešně pozitivní výsledky. Pokyny ke streamování protokolů firewallu webových aplikací microsoftu do Microsoft Sentinel se zobrazí během procesu instalace. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
BETTER Mobile Threat Defense (MTD)
Podporováno společností:Better Mobile Security Inc.
Konektor BETTER MTD umožňuje podnikům propojit své instance Better MTD s Microsoft Sentinel, zobrazit svá data na řídicích panelech, vytvářet vlastní výstrahy, používat je k aktivaci playbooků a rozšíření možností proaktivního vyhledávání hrozeb. To uživatelům poskytuje lepší přehled o mobilních zařízeních organizace a možnost rychle analyzovat aktuální stav zabezpečení mobilních zařízení, což zlepšuje celkové možnosti SecOps.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
BetterMTDIncidentLog_CL |
Ne | Ne |
BetterMTDDeviceLog_CL |
Ne | Ne |
BetterMTDNetflowLog_CL |
Ne | Ne |
BetterMTDAppLog_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
BeyondTrust PM Cloud
Podporováno:BeyondTrust
Datový konektor BeyondTrust Privilege Management Cloud poskytuje možnost ingestovat protokoly auditu aktivit a protokoly událostí klienta z BeyondTrust PM Cloudu do Microsoft Sentinel.
Tento konektor používá Azure Functions k načtení dat z rozhraní BEYONDTrust PM Cloud API a ingestování dat do vlastních tabulek Log Analytics.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
BeyondTrustPM_ActivityAudits_CL |
Ne | Ne |
BeyondTrustPM_ClientEvents_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
BeyondTrust PM Cloud API credentials: BeyondTrust PM Cloud OAuth Client ID a Client Secret jsou povinné. Účet rozhraní API vyžaduje následující oprávnění: Audit – Jen pro čtení a vytváření sestav – Jen pro čtení
Konektor BigID DSPM
Podporuje:BigID
Datový konektor BigID DSPM poskytuje možnost ingestovat případy BigID DSPM s ovlivněnými objekty a informacemi o zdroji dat do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
BigIDDSPMCatalog_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Přístup k rozhraní API BIGID DSPM: Vyžaduje se přístup k rozhraní API BigID DSPM prostřednictvím tokenu BigID.
Bitglass (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Datový konektor Bitglass poskytuje možnost načíst protokoly událostí zabezpečení služeb Bitglass a další události do Microsoft Sentinel prostřednictvím rozhraní REST API. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
BitglassLogs_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Pro volání rozhraní API se vyžadují bitglassToken a BitglassServiceURL .
Datový konektorBitsight (pomocí Azure Functions)
Podpora pro:BitSight
Datový konektor BitSight podporuje monitorování kybernetických rizik založených na důkazech tím, že přináší data BitSight do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
BitsightAlerts_data_CL |
Ano | Ano |
BitsightBreaches_data_CL |
Ano | Ano |
BitsightCompany_details_CL |
Ano | Ano |
BitsightCompany_rating_details_CL |
Ano | Ano |
BitsightDiligence_historical_statistics_CL |
Ano | Ano |
BitsightDiligence_statistics_CL |
Ano | Ano |
BitsightFindings_data_CL |
Ano | Ano |
BitsightFindings_summary_CL |
Ano | Ano |
BitsightGraph_data_CL |
Ano | Ano |
BitsightIndustrial_statistics_CL |
Ano | Ano |
BitsightObservation_statistics_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se token rozhraní API BitSight.
Další informace o tokenu rozhraní API najdete v dokumentaci.
Protokoly událostí bitwarden
Podporováno společností:Bitwarden Inc
Tento konektor poskytuje přehled o aktivitě vaší organizace Bitwarden, jako je aktivita uživatele (přihlášená, změněné heslo, 2fa atd.), šifrovaná aktivita (vytvořená, aktualizovaná, odstraněná, sdílená atd.), aktivita shromažďování, aktivita organizace a další.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
BitwardenEventLogs |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
ID klienta bitwarden a tajný klíč klienta: Váš klíč rozhraní API najdete v konzole pro správu organizace Bitwarden. Další informace najdete v dokumentaci k bitwardenu .
Box (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Datový konektor Box poskytuje možnost ingestovat události Box enterprise do Microsoft Sentinel pomocí rozhraní REST API boxu. Další informace najdete v dokumentaci k Boxu .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
BoxEvents_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje rozhraní API boxu: Pro ověřování JWT rozhraní REST API boxu se vyžaduje konfigurační soubor JSON boxu. Další informace najdete v tématu Ověřování JWT.
Události boxu (CCF)
Podporováno společností:Microsoft Corporation
Datový konektor Box poskytuje možnost ingestovat události Box enterprise do Microsoft Sentinel pomocí rozhraní REST API boxu. Další informace najdete v dokumentaci k Boxu .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
BoxEventsV2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Přihlašovací údaje rozhraní API boxu: Rozhraní API boxu vyžaduje k ověření ID klienta boxové aplikace a tajný klíč klienta. Další informace najdete v tématu Udělení přihlašovacích údajů klienta.
-
Enterprise ID boxu: K vytvoření připojení se vyžaduje podnikové ID boxu. Projděte si dokumentaci k vyhledání podnikového ID.
Check Point CloudGuard CNAPP Connector pro Microsoft Sentinel
Podporuje:Check Point
Datový konektor CloudGuard umožňuje ingestování událostí zabezpečení z rozhraní API CloudGuard do Microsoft Sentinel ™ pomocí architektury codeless Connector Framework Microsoft Sentinel. Konektor podporuje transformace času příjmu dat na základě DCR, které analyzují příchozí data událostí zabezpečení do vlastních sloupců. Tento předanalyzační proces eliminuje potřebu analýzy času dotazu, což vede ke zlepšení výkonu datových dotazů.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CloudGuard_SecurityEvents_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Klíč rozhraní API CloudGuard: Projděte si pokyny k vygenerování klíče rozhraní API.
Check Point Cyberint Alerts Connector Connector (prostřednictvím architektury konektoru bez kódu)
Podporováno:Cyberint
Cyberint, společnost Check Point, poskytuje integraci Microsoft Sentinel, která zjednodušuje kritické výstrahy a přináší rozšířené analýzy hrozeb z řešení Infinity External Risk Management do Microsoft Sentinel. To zjednodušuje proces sledování stavu lístků pomocí automatických aktualizací synchronizace napříč systémy. Díky této nové integraci pro Microsoft Sentinel můžou stávající zákazníci kyberintu a Microsoft Sentinel snadno získat protokoly na základě zjištění cyberintu do platformy Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
argsentdc_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Klíč rozhraní API Check Point Cyberint, adresa URL Argos a název zákazníka: Vyžaduje se klíč rozhraní API konektoru, adresa URL Argos a jméno zákazníka.
Konektor Check Point Cyberint IOC
Podporováno:Cyberint
Toto je datový konektor pro Check Point Cyberint IOC.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
iocsent_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Check Point Cyberint API Key and Argos URL: Vyžaduje se klíč rozhraní API konektoru a adresa URL Argos.
Cisco ASA/FTD přes AMA
Podporováno společností:Microsoft Corporation
Konektor brány firewall Cisco ASA umožňuje snadno připojit protokoly Cisco ASA pomocí Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Tím získáte lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Pokud chcete shromažďovat data z virtuálních počítačů, které nejsou Azure, musí mít nainstalované a povolené Azure Arc.
Další informace
Cisco Cloud Security (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Řešení Cisco Cloud Security pro Microsoft Sentinel umožňuje ingestovat Cisco Secure Access a Cisco Umbrellalogs uložené v AmazonU S3 do Microsoft Sentinel pomocí rozhraní Amazon S3 REST API. Další informace najdete v dokumentaci ke správě protokolů Cisco Cloud Security .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Cisco_Umbrella_dns_CL |
Ano | Ano |
Cisco_Umbrella_proxy_CL |
Ano | Ano |
Cisco_Umbrella_ip_CL |
Ano | Ano |
Cisco_Umbrella_cloudfirewall_CL |
Ano | Ano |
Cisco_Umbrella_firewall_CL |
Ano | Ano |
Cisco_Umbrella_dlp_CL |
Ne | Ne |
Cisco_Umbrella_ravpnlogs_CL |
Ne | Ne |
Cisco_Umbrella_audit_CL |
Ne | Ne |
Cisco_Umbrella_ztna_CL |
Ne | Ne |
Cisco_Umbrella_intrusion_CL |
Ne | Ne |
Cisco_Umbrella_ztaflow_CL |
Ne | Ne |
Cisco_Umbrella_fileevent_CL |
Ne | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API Amazon S3: Pro Amazon S3 REST API se vyžaduje ID přístupového klíče AWS, tajný přístupový klíč AWSS3 .
Cisco Cloud Security (pomocí plánu elastické úrovně Premium) (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Datový konektor Cisco Umbrella poskytuje možnost ingestovat Cisco Umbrella události uložené v Amazon S3 do Microsoft Sentinel pomocí rozhraní AMAZON S3 REST API. Další informace najdete v dokumentaci ke správě protokolů Cisco Umbrella .
NOTE: Tento datový konektor používá plán Azure Functions Premium Plan k povolení zabezpečených možností příjmu dat a bude mít další náklady. Další podrobnosti o cenách najdete tady.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Cisco_Umbrella_dns_CL |
Ano | Ano |
Cisco_Umbrella_proxy_CL |
Ano | Ano |
Cisco_Umbrella_ip_CL |
Ano | Ano |
Cisco_Umbrella_cloudfirewall_CL |
Ano | Ano |
Cisco_Umbrella_firewall_CL |
Ano | Ano |
Cisco_Umbrella_dlp_CL |
Ne | Ne |
Cisco_Umbrella_ravpnlogs_CL |
Ne | Ne |
Cisco_Umbrella_audit_CL |
Ne | Ne |
Cisco_Umbrella_ztna_CL |
Ne | Ne |
Cisco_Umbrella_intrusion_CL |
Ne | Ne |
Cisco_Umbrella_ztaflow_CL |
Ne | Ne |
Cisco_Umbrella_fileevent_CL |
Ne | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Přihlašovací údaje a oprávnění rozhraní REST API Amazon S3: Pro Amazon S3 REST API se vyžaduje ID přístupového klíče AWS, tajný přístupový klíč AWSS3 .
- oprávnění Virtual Network (pro privátní přístup): Pro přístup k účtu privátního úložiště se v Virtual Network a podsíti vyžadují oprávnění přispěvatele network. Podsíť musí být delegována na Microsoft.Web/serverFarms pro integraci virtuální sítě Function App.
Cisco Duo Security (pomocí Azure Functions)
Podporováno:Cisco Systems
Datový konektor Cisco Duo Security poskytuje možnost ingestovat protokoly ověřování, protokolyadministratoru, telephony logs, offline enrollment logs a Trust Monitor do Microsoft Sentinel pomocí rozhraní API pro správu Cisco Duo. Další informace najdete v dokumentaci k rozhraní API.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CiscoDuo_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje rozhraní Cisco Duo API: Pro rozhraní Cisco Duo API se vyžadují přihlašovací údaje rozhraní CISCO Duo API s oprávněním Udělit protokol pro čtení . Další informace o vytváření přihlašovacích údajů rozhraní Cisco Duo API najdete v dokumentaci .
Cisco ETD (pomocí Azure Functions)
Podporováno uživatelem:N/A
Konektor načte data z rozhraní ETD API pro analýzu hrozeb.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CiscoETD_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Rozhraní API pro ochranu před internetovými hrozbami, klíč rozhraní API, ID klienta a tajný klíč: Ujistěte se, že máte klíč rozhraní API, ID klienta a tajný klíč.
Cisco Meraki (pomocí rozhraní REST API)
Podporováno společností:Microsoft Corporation
Konektor Cisco Meraki umožňuje snadno připojit události organizace Cisco Meraki (události zabezpečení, změny konfigurace a žádosti rozhraní API) k Microsoft Sentinel. Datový konektor používá rozhraní Cisco Meraki REST API k načtení protokolů a podporuje transformace času založeného na DCR ingestionu která parsuje přijatá data a ingestace do ASIM a vlastních tabulek v pracovním prostoru Log Analytics. Tento datový konektor přináší výhody z možností, jako je filtrování času příjmu dat založené na DCR, normalizace dat.
Podporované schéma ASIM:
- Síťová relace
- Webová relace
- Událost auditu
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ASimNetworkSessionLogs |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Cisco Meraki REST API Key: Povolte přístup k rozhraní API v Cisco Meraki a vygenerujte klíč rozhraní API. Další informace najdete v oficiální dokumentaci k Cisco Meraki.
-
Cisco Meraki Organization ID: Získejte ID organizace Cisco Meraki, abyste mohli načíst události zabezpečení. Podle kroků v dokumentaci získejte ID organizace pomocí klíče rozhraní API Meraki získaného v předchozím kroku.
Zabezpečený koncový bod Cisco (přes architekturu konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor Cisco Secure Endpoint (dříve AMP pro koncové body) poskytuje možnost ingestovat protokoly Cisco Secure Endpoint audit logs a events do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CiscoSecureEndpointAuditLogsV2_CL |
Ano | Ano |
CiscoSecureEndpointEventsV2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Přihlašovací údaje a oblasti rozhraní CISCO Secure Endpoint API: Pokud chcete vytvořit přihlašovací údaje rozhraní API a porozumět oblastem, postupujte podle odkazu na dokument uvedený tady.
Klikněte sem.
Cisco Software Defined WAN
Podporováno:Cisco Systems
Datový konektor Cisco Software Defined WAN(SD-WAN) poskytuje možnost ingestovat data Cisco SD-WAN Syslog a Netflow do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Syslog |
Ano | Ano |
CiscoSDWANNetflow_CL |
Ne | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Claroty xDome
Podpora prozákazníky:xDome
Claroty xDome poskytuje komplexní možnosti zabezpečení a správy výstrah pro zdravotnická a průmyslová síťová prostředí. Je navržená k mapování více typů zdrojů, identifikaci shromážděných dat a jejich integraci do Microsoft Sentinel datových modelů. Výsledkem je možnost monitorovat všechny potenciální hrozby ve vašem zdravotnickém a průmyslovém prostředí na jednom místě, což vede k efektivnějšímu monitorování zabezpečení a silnějšímu stavu zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Cloudflare (Preview) (pomocí Azure Functions)
Podporuje:Cloudflare
Datový konektor Cloudflare poskytuje možnost ingestovat protokoly Cloudflare do Microsoft Sentinel pomocí cloudflare Logpush a Azure Blob Storage. Další informace najdete v dokumentaci ke cloudflare.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Cloudflare_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Azure Blob Storage connection string a název kontejneru: Azure Blob Storage connection string a název kontejneru, do kterého se protokoly odesílají do Cloudflare Logpush. Další informace najdete v tématu creating Azure Blob Storage container.
Cloudflare (pomocí Blob Container) (přes Codeless Connector Framework)
Podporuje:Cloudflare
Datový konektor Cloudflare poskytuje možnost ingestovat protokoly Cloudflare do Microsoft Sentinel pomocí Cloudflare Logpush a Azure Blob Storage. Pro více informací se podívejte na dokumentaci Cloudflare.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CloudflareV2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Vytvoření účtu úložiště a kontejneru: Před nastavením logpush v Cloudflare nejprve vytvořte účet úložiště a kontejner v Microsoft Azure. Použijte tento průvodce, abyste se dozvěděli více o Container a Blob. Podle pokynů v documentation vytvořte účet Azure Storage.
- Vygenerujte adresu URL SAS objektu blob: Vyžaduje se oprávnění k vytvoření a zápisu. Podívejte se na dokumentaci , abyste se dozvěděli více o Blob SAS tokenu a url.
-
Shromažďování protokolů z Cloudflare do kontejneru objektů blob: Postupujte podle kroků v dokumentaci ke shromažďování protokolů z Cloudflare do kontejneru objektů blob.
Cognni
Podporováno:Cognni
Konektor Cognni nabízí rychlou a jednoduchou integraci s Microsoft Sentinel. Cognni můžete použít k autonomnímu mapování dříve neklasifikovaných důležitých informací a zjišťování souvisejících incidentů. To vám umožní rozpoznat rizika pro důležité informace, porozumět závažnosti incidentů a prozkoumat podrobnosti, které potřebujete k nápravě, dostatečně rychle, aby se změnily.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CognniIncidents_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Cohesity (pomocí Azure Functions)
Podporuje:Cohesity
Aplikace funkcí Cohesity poskytují možnost přijímat výstrahy ransomwaru Cohesity Datahawk do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Cohesity_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Azure Blob Storage connection string a název kontejneru: Azure Blob Storage connection string a název kontejneru
CommvaultSecurityIQ
Podporuje:Commvault
Tato funkce Azure umožňuje uživatelům commvault ingestovat výstrahy nebo události do své instance Microsoft Sentinel. Pomocí analytických pravidel můžou Microsoft Sentinel automaticky vytvářet Microsoft Sentinel incidenty z příchozích událostí a protokolů.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CommvaultAlerts_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Adresa URL koncového bodu prostředí commvault: Nezapomeňte postupovat podle dokumentace a nastavit hodnotu tajného kódu ve službě KeyVault.
-
Token QSDK commvault: Nezapomeňte postupovat podle dokumentace a nastavit hodnotu tajného klíče ve službě KeyVault.
ContrastADR
Podporováno:Zabezpečení kontrastu
Datový konektor ContrastADR poskytuje možnost ingestovat události útoku ADR kontrastu do Microsoft Sentinel pomocí Webhooku ContrastADR. ContrastADR datový konektor může obohatit příchozí webhooková data pomocí obohacovacích volání ContrastADR API.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ContrastADR_CL |
Ne | Ne |
ContrastADRIncident_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
Exportér konektoru Corelight
Podporuje:Corelight
Datový konektor Corelight umožňuje reakce na incidenty a lovce hrozeb, kteří používají Microsoft Sentinel k rychlejší a efektivnější práci. Datový konektor umožňuje příjem událostí z Zeek a Suricata přes senzory Corelight do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Corelight |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Cortex XDR - Incidenty
Podporováno společností:DEFEND Ltd.
Vlastní datový konektor z FUNKCE DEFEND, který využívá rozhraní Cortex API k ingestování incidentů z platformy Cortex XDR do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CortexXDR_Incidents_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Přihlašovací údaje rozhraní CORTEX API: Token rozhraní API Cortex se vyžaduje pro rozhraní REST API. Další informace najdete v tématu ROZHRANÍ API. Zkontrolujte všechny požadavky a postupujte podle pokynů pro získání přihlašovacích údajů.
Dětská postýlka
Podporováno:Kolébka
Konektor Cribl umožňuje snadno připojit protokoly Dětské postýlky (Enterprise Edition - Standalone) s Microsoft Sentinel. Díky tomu získáte lepší přehled o datových kanálech vaší organizace.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CriblInternal_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
CrowdStrike API Data Connector (přes Codeless Connector Framework)
Podporováno společností:Microsoft Corporation
Datový konektor CrowdStrike umožňuje ingestování protokolů z rozhraní CrowdStrike API do Microsoft Sentinel. Tento konektor umožňuje ingestovat CrowdStrike Alerts, Detections, Hosts, Cases a Vulnerabilities do Microsoft Sentinel. Tento konektor je založený na rozhraní Microsoft Sentinel Codeless Connector Framework a k načtení protokolů používá rozhraní API CrowdStrike. Podporuje transformace času příjmu dat založené na DCR, aby dotazy mohly běžet efektivněji. Další informace najdete v dokumentaci k rozhraní API CrowdStrike .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CrowdStrikeAlerts |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Klient a obory rozhraní API Crowdstrike OAuth2: Výstrahy, integrace rozhraní API, protokoly aplikací, případy, pravidla korelace, detekce, hostitelé, prostředky, incidenty, soubory v karanténě, chyby zabezpečení jsou vyžadovány pro rozhraní REST API. Další informace najdete v tématu ROZHRANÍ API.
CrowdStrike Falcon Adversary Intelligence (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
CrowdStrike Indikátory Falconu pro ohrožení konektoru načte indikátory ohrožení z rozhraní Falcon Intel API a nahraje je Microsoft Sentinel Threat Intel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ThreatIntelIndicators |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
ID klienta rozhraní API CrowdStrike a tajný klíč klienta: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Přihlašovací údaje CrowdStrike musí mít rozsah čtení indikátorů (Falcon Intelligence).
CrowdStrike Falcon Data Replicator (AWS S3) (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Konektor Crowdstrike Falcon Data Replicator (S3) poskytuje možnost ingestovat data událostí FDR při Microsoft Sentinel z kontejneru AWS S3, kde se streamovaly protokoly FDR. Konektor poskytuje možnost získat události od společnosti Falcon Agents, která pomáhá zkoumat potenciální rizika zabezpečení, analyzovat využití spolupráce vašeho týmu, diagnostikovat problémy s konfigurací a provádět další akce.
NOTE:
1. Licence FDR CrowdStrike musí být k dispozici a povolena.
2. Konektor vyžaduje, aby byla v AWS nakonfigurovaná role IAM, aby umožňovala přístup k kbelíku AWS S3 a nemusí být vhodná pro prostředí, která využívají CrowdStrike – spravované kontejnery.
3. Pro prostředí, která využívají kontejnery spravované CrowdStrike, nakonfigurujte konektor CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3).
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CrowdStrike_Additional_Events_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
CrowdStrike Falcon Data Replicator (Managed AWS-S3CrowdStrike) (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Tento konektor umožňuje ingestovat data FDR do Microsoft Sentinel pomocí Azure Functions, aby podporoval posouzení potenciálních bezpečnostních rizik, analýzu aktivit spolupráce, identifikaci problémů s konfigurací a další provozní přehledy.
NOTE:
1. Licence FDR CrowdStrike musí být k dispozici a povolena.
2. Konektor používá ověřování na základě klíče a tajného klíče a je vhodný pro spravované kontejnery CrowdStrike.
3. Pro prostředí, která používají plně vlastněný kbelík AWS S3, microsoft doporučuje používat konektor CrowdStrike Falcon Data Replicator (AWS S3).
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CrowdStrikeReplicatorV2 |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje/oprávnění účtu SQS a AWS S3: vyžaduje se AWS_SECRET, AWS_REGION_NAME, AWS_KEYQUEUE_URL . Další informace najdete v tématu načítání dat. Pokud chcete začít, obraťte se na podporu CrowdStrike. Na vaši žádost vytvoří kontejner Amazon Web Services (AWS) S3 spravovaný crowdStrike pro krátkodobé účely úložiště a účet SQS (jednoduchá frontová služba) pro monitorování změn v kontejneru S3.
CTERA Syslog
Podporováno:CTERA
Datový konektor CTERA pro Microsoft Sentinel nabízí možnosti monitorování a detekce hrozeb pro vaše řešení CTERA. Obsahuje sešit, který vizualizuje součet všech operací na typ, odstranění a operace odepření přístupu. Poskytuje také analytická pravidla, která detekuje incidenty ransomwaru a upozorní vás, když je uživatel zablokovaný kvůli podezřelé aktivitě ransomwaru. Kromě toho vám pomůže identifikovat kritické vzory, jako jsou události odepření hromadného přístupu, hromadné odstranění a změny hromadných oprávnění, což umožňuje proaktivní správu hrozeb a reakci.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Syslog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
CTM360 CyberBlindSpot (bez serveru)
Podporováno:Cyber Threat Management 360
Konektor CTM360 Cyber Blind Spot (CBS) poskytuje integraci s platformou CBS SPOLEČNOSTI CTM360 k ingestování dat zabezpečení napříč 6 typy modulů: incidenty, protokoly malwaru, porušené přihlašovací údaje, ohrožené karty, porušení domény a porušení subdomény. Tento konektor používá rozhraní CCF (Codeless Connector Framework) pro shromažďování dat bez serveru.
Datové typy:
- CBSLog_AzureV2_CL
- CBS_MalwareLogs_AzureV2_CL
- CBS_BreachedCredentials_AzureV2_CL
- CBS_CompromisedCards_AzureV2_CL
- CBS_DomainInfringement_AzureV2_CL
- CBS_SubdomainInfringement_AzureV2_CL
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CBSLog_AzureV2_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
CTM360 CBS API Key: Pro připojení ke koncovému bodu rozhraní CBS API se vyžaduje platný klíč rozhraní CTM360 Cyber Blind Spot API.
CTM360 HackerView (bez serveru)
Podporováno:Cyber Threat Management 360
Konektor CTM360 HackerView umožňuje ingestovat problémy se zabezpečením a ohrožení zabezpečení z platformy HackerView External Attack Surface Management do Microsoft Sentinelu. Tento bezserverový konektor používá rozhraní REST API k automatickému načítání dat o problému pro analýzu a korelaci s jinými událostmi zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
HackerViewLog_AzureV2_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
HackerView API Key: Vyžaduje se platný klíč rozhraní API HackerView s oprávněními pro přístup k datům.
Vlastní protokoly přes AMA
Podporováno společností:Microsoft Corporation
Mnoho aplikací protokoluje informace do textových souborů nebo souborů JSON místo standardních služeb protokolování, jako jsou například protokoly událostí Windows, Syslog nebo CEF. Datový konektor Vlastní protokoly umožňuje shromažďovat události ze souborů na počítačích Windows i Linuxu a streamovat je do vlastních tabulek protokolů, které jste vytvořili. Při streamování dat můžete analyzovat a transformovat obsah pomocí DCR. Po shromáždění dat můžete použít analytická pravidla, proaktivní vyhledávání, vyhledávání, analýzu hrozeb, rozšiřování a další.
POZNÁMKA: Tento konektor použijte pro následující zařízení: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, Server Apache HTTP, Apache Tomcat, Platforma aplikací Jboss Enterprise, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP server, Oracle Weblogic server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP a AI vectra stream.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
JBossEvent_CL |
Ne | Ne |
JuniperIDP_CL |
Ano | Ano |
ApacheHTTPServer_CL |
Ano | Ano |
Tomcat_CL |
Ano | Ano |
meraki_CL |
Ano | Ano |
VectraStream_CL |
Ne | Ne |
MarkLogicAudit_CL |
Ne | Ne |
MongoDBAudit_CL |
Ano | Ano |
NGINX_CL |
Ano | Ano |
OracleWebLogicServer_CL |
Ano | Ano |
PostgreSQL_CL |
Ano | Ano |
SquidProxy_CL |
Ano | Ano |
Ubiquiti_CL |
Ano | Ano |
vcenter_CL |
Ano | Ano |
ZPA_CL |
Ano | Ano |
SecurityBridgeLogs_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Permissions: Pokud chcete shromažďovat data z jiných než Azure virtuálních počítačů, musí mít nainstalované a povolené Azure Arc.
Další informace
CyberArk Audit
Podporováno:Podpora CyberArk
Datový konektor CyberArk Audit umožňuje službě Microsoft Sentinel ingestovat protokoly událostí zabezpečení a další události ze služby CyberArk Audit prostřednictvím rozhraní REST API. Tato integrace vám pomůže odhalit potenciální bezpečnostní rizika, monitorovat aktivity uživatelů, analyzovat vzory spolupráce, řešit problémy s konfigurací a získat hlubší přehled o vašem prostředí.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CyberArk_AuditEvents_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
CyberArk Audit Service Platform: Přístup k provádění požadovaných konfigurací na platformě CyberArk Audit
CyberArkAudit (pomocí Azure Functions)
Podporováno:Podpora CyberArk
Datový konektor CyberArk Audit poskytuje možnost načíst protokoly událostí zabezpečení služby CyberArk Audit a další události do Microsoft Sentinel prostřednictvím rozhraní REST API. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CyberArk_AuditEvents_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Auditovat podrobnosti o připojení rest API a přihlašovací údaje: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint a AuditApiBaseUrl jsou vyžadovány pro volání rozhraní API.
Abersixgillable Alerts (using Azure Functions)
Podporováno:Cybersixgill
Výstrahy s možností akce poskytují přizpůsobená upozornění na základě nakonfigurovaných prostředků.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CyberSixgill_Alerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: pro volání rozhraní API se vyžadují Client_ID a Client_Secret .
Upozornění na zpracování obrazu Cyble
Podpora:Cyble
Datový konektor Cyble Vision CCF Data Connector umožňuje ingestovat výstrahy hrozeb z Cyble Vision do Microsoft Sentinel pomocí konektoru Codeless Connector Framework. Shromažďuje data výstrah prostřednictvím rozhraní API, normalizuje je a ukládá do vlastní tabulky pro pokročilou detekci, korelaci a odpověď.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CybleVisionAlerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Token rozhraní API Cyble Vision: Vyžaduje se token rozhraní API z platformy Cyble Vision.
Balíčky Cyborg Security HUNTER Hunt
Podporováno:Cyborg Security
Cyborg Security je předním poskytovatelem pokročilých řešení proaktivního vyhledávání hrozeb, jejímž cílem je umožnit organizacím špičkové technologie a nástroje pro spolupráci k proaktivnímu zjišťování kybernetických hrozeb a reakci na ně. Vlajková nabídka Cyborg Security, platforma HUNTER, kombinuje výkonné analýzy, kurátorovaný obsah proaktivního vyhledávání hrozeb a komplexní možnosti správy lovu a vytváří dynamický ekosystém pro efektivní operace proaktivního vyhledávání hrozeb.
Postupujte podle kroků pro získání přístupu ke komunitě Cyborg Security a nastavte možnosti Open in Tool v platformě HUNTER.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityEvent |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Datový konektor Cyera DSPM Microsoft Sentinel
Podporováno společností:Cyera Inc
Datový konektor Cyera DSPM umožňuje připojit se k tenantovi DSPM vaší Cyery a ingestovat klasifikace, prostředky, problémy a prostředky identit a definice identit do Služby Microsoft Sentinel. Datový konektor je založený na rozhraní Codeless Connector Framework od Microsoft Sentinelu a pomocí rozhraní API Cyera načítá telemetrii DSPM Cyera, jakmile se obdrží, může korelovat s událostmi zabezpečení, které vytvářejí vlastní sloupce, aby dotazy nemusely znovu parsovat, což vede k lepšímu výkonu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CyeraClassifications_CL |
Ne | Ne |
CyeraAssets_CL |
Ne | Ne |
CyeraAssets_MS_CL |
Ne | Ne |
CyeraIssues_CL |
Ne | Ne |
CyeraIdentities_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Prostor pro útoky CYFIRMA
Podporováno:CYFIRMA
N/A
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CyfirmaASCertificatesAlerts_CL |
Ano | Ano |
CyfirmaASConfigurationAlerts_CL |
Ano | Ano |
CyfirmaASDomainIPReputationAlerts_CL |
Ano | Ano |
CyfirmaASOpenPortsAlerts_CL |
Ano | Ano |
CyfirmaASCloudWeaknessAlerts_CL |
Ano | Ano |
CyfirmaASDomainIPVulnerabilityAlerts_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
CYFIRMA Brand Intelligence
Podporováno:CYFIRMA
N/A
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CyfirmaBIDomainITAssetAlerts_CL |
Ano | Ano |
CyfirmaBIExecutivePeopleAlerts_CL |
Ano | Ano |
CyfirmaBIProductSolutionAlerts_CL |
Ano | Ano |
CyfirmaBISocialHandlersAlerts_CL |
Ano | Ano |
CyfirmaBIMaliciousMobileAppsAlerts_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Ohrožené účty CYFIRMA
Podporováno:CYFIRMA
Datový konektor ohrožených účtů CYFIRMA umožňuje bezproblémový příjem protokolů z rozhraní DECYFIR/DeTCT API do Microsoft Sentinel. Založený na rozhraní Microsoft Sentinel Codeless Connector Framework využívá rozhraní API DeCYFIR/DeTCT k načtení protokolů. Kromě toho podporuje transformace času příjmu dat založené na DCR, které analyzují data zabezpečení do vlastní tabulky během příjmu dat. Tím se eliminuje potřeba parsování v čase dotazu, zvýšení výkonu a efektivity.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CyfirmaCompromisedAccounts_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
CYFIRMA Kybernetická inteligence
Podporováno:CYFIRMA
Datový konektor CYFIRMA Cyber Intelligence umožňuje bezproblémový příjem protokolů z rozhraní DECYFIR API do Microsoft Sentinel. Založený na rozhraní Microsoft Sentinel Codeless Connector Framework využívá rozhraní API pro výstrahy DeCYFIR k načtení protokolů. Kromě toho podporuje transformace času příjmu dat založené na DCR, které analyzují data zabezpečení do vlastní tabulky během příjmu dat. Tím se eliminuje potřeba parsování v čase dotazu, zvýšení výkonu a efektivity.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CyfirmaIndicators_CL |
Ano | Ano |
CyfirmaThreatActors_CL |
Ano | Ano |
CyfirmaCampaigns_CL |
Ano | Ano |
CyfirmaMalware_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
CYFIRMA Digital Risk
Podporováno:CYFIRMA
Datový konektor CYFIRMA Digital Risk Alerts umožňuje bezproblémový příjem protokolů z rozhraní DECYFIR/DeTCT API do Microsoft Sentinel. Založený na rozhraní Microsoft Sentinel Codeless Connector Framework využívá rozhraní API pro výstrahy DeCYFIR k načtení protokolů. Kromě toho podporuje transformace času příjmu dat založené na DCR, které analyzují data zabezpečení do vlastní tabulky během příjmu dat. Tím se eliminuje potřeba parsování v čase dotazu, zvýšení výkonu a efektivity.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CyfirmaDBWMPhishingAlerts_CL |
Ano | Ano |
CyfirmaDBWMRansomwareAlerts_CL |
Ano | Ano |
CyfirmaDBWMDarkWebAlerts_CL |
Ano | Ano |
CyfirmaSPESourceCodeAlerts_CL |
Ano | Ano |
CyfirmaSPEConfidentialFilesAlerts_CL |
Ano | Ano |
CyfirmaSPEPIIAndCIIAlerts_CL |
Ano | Ano |
CyfirmaSPESocialThreatAlerts_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Analýza ohrožení zabezpečení CYFIRMA
Podporováno:CYFIRMA
Datový konektor CYFIRMA Vulnerabilities Intelligence umožňuje bezproblémový příjem protokolů z rozhraní DECYFIR API do Microsoft Sentinel. Založený na rozhraní Microsoft Sentinel Codeless Connector Framework využívá rozhraní API CYFIRMA k načtení protokolů. Kromě toho podporuje transformace času příjmu dat založené na DCR, které analyzují data zabezpečení do vlastní tabulky během příjmu dat. Tím se eliminuje potřeba parsování v čase dotazu, zvýšení výkonu a efektivity.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CyfirmaVulnerabilities_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Cynerio – události zabezpečení
Podporováno:Cynerio
Konektor Cynerio umožňuje snadno připojit události zabezpečení Cynerio s Microsoft Sentinel a zobrazit události IDS. Získáte tak lepší přehled o stavu zabezpečení sítě vaší organizace a zlepšíte možnosti operací zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CynerioEvent_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Analýza hrozeb Cyren
Podporováno společností:Data443 Risk Mitigation, Inc.
Ingestování indikátorů reputace IP adres a adresy URL malwaru z Cyrenu pomocí common Connector Frameworku (CCF).
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Cyren_Indicators_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Cyren JWT Tokens: Tokeny JWT uložené v Azure Key Vault nebo poskytnuté v době nasazení.
Darktrace pro Microsoft Sentinel rozhraní REST API
Podporováno uživatelem:Darktrace
Konektor Darktrace REST API nasdílí události v reálném čase z Darktrace do Microsoft Sentinel a je navržený tak, aby se používal s řešením Darktrace pro Sentinel. Konektor zapisuje protokoly do vlastní tabulky protokolů s názvem "darktrace_model_alerts_CL"; Porušení modelů, incidenty analytiků AI, upozornění systému a e-mailová upozornění se dají ingestovat – na stránce Konfigurace systému darktrace je možné nastavit další filtry. Data se posílají do Sentinelu z řídicích jednotek Darktrace.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
darktrace_model_alerts_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Požadavky na darktrace: K použití tohoto datového konektoru je vyžadován hlavní server Darktrace se systémem v5.2 nebo novějším. Data se odesílají do Azure Monitor rozhraní API kolektoru dat HTTP přes adresy HTTPs z předloh Darktrace, a proto se vyžaduje odchozí připojení z hlavního serveru Darktrace k Microsoft Sentinel rozhraní REST API.
- Filtrovat data darktrace: Během konfigurace je možné nastavit další filtrování na stránce Konfigurace systému Darktrace tak, aby omezilo množství nebo typy odesílaných dat.
-
Try the Darktrace Sentinel Solution: Z tohoto konektoru můžete využít maximum instalací řešení Darktrace pro Microsoft Sentinel. Díky tomu budou sešity vizuálně vizualizovat pravidla pro data výstrah a analýzy, která automaticky vytvoří výstrahy a incidenty z porušení modelu Darktrace a incidentů analytiků AI.
DataBahn
Podporováno:Databahn
Konektor DataBahn poskytuje možnost odesílat telemetrii platformy v reálném čase z vašeho prostředí DataBahn přímo do Služby Microsoft Sentinel pomocí modelu Push Framework (CCF) Codeless Connector Framework (CCF). Tento konektor ingestuje protokoly auditu, provozní výstrahy a inventář zařízení do vlastních tabulek Log Analytics pro účely analýzy, upozorňování a vizualizace.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
databahn_audit_logs_CL |
Ne | Ne |
databahn_alerts_CL |
Ne | Ne |
databahn_device_inventory_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje roli vývojáře aplikace Entra ID nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role Vydavatele metrik monitorování u pravidla shromažďování dat (DCR). Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
Datalake2Sentinel
Podporováno:Orange Cyberdefense
Toto řešení nainstaluje konektor Datalake2Sentinel vytvořený pomocí architektury Codeless Connector a umožňuje automaticky ingestovat indikátory analýzy hrozeb z platformy CTI od společnosti Datalake Orange Cyberdefense cti do Microsoft Sentinel prostřednictvím rozhraní REST API pro nahrání indikátorů. Po instalaci řešení nakonfigurujte a povolte tento datový konektor podle pokynů v zobrazení správa řešení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Dataminr Pulse Alerts – datový konektor (pomocí Azure Functions)
Podpora:Dataminr
Datový konektor Dataminr Pulse Alerts přináší naši inteligenci využívající umělou inteligenci v reálném čase do Microsoft Sentinel pro rychlejší detekci a reakci na hrozby.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
DataminrPulse_Alerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Azure Předplatné: k registraci aplikace ve Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků se vyžaduje Azure předplatné s rolí vlastníka.
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Požadované přihlašovací údaje nebo oprávnění dataminru:
a. Uživatelé musí mít platné ID klienta rozhraní Dataminr Pulse API a tajný kód pro použití tohoto datového konektoru.
b. Nejméně jeden seznam ke zhlédnutí Dataminr Pulse musí být nakonfigurovaný na webu Dataminr Pulse.
Datawiza DAP
Podporováno společností:Datawiza Technology Inc.
Připojí protokoly DAP datawiza k Azure Log Analytics prostřednictvím rozhraní REST API.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
datawizaserveraccess_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Derdack SIGNL4
Podporováno:Derdack
Když dojde k selhání kritických systémů nebo k incidentům zabezpečení, SIGNL4 přemístní "poslední míli" vašim zaměstnancům, technikům, správcům IT a pracovníkům v terénu. V reálném čase přidává mobilní výstrahy do služeb, systémů a procesů bez času. SIGNL4 upozorní prostřednictvím trvalého mobilního nabízení, sms textu a hlasových hovorů s potvrzením, sledováním a eskalací. Integrované plánování povinností a směn zajistí, aby správné osoby byly upozorněny ve správný čas.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityIncident |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Svícení stínůDigital (pomocí Azure Functions)
Podporováno:Digitální stíny
Datový konektor Digitální stíny poskytuje ingestování incidentů a výstrah ze služby Digital Shadows Searchlight do Microsoft Sentinel pomocí rozhraní REST API. Konektor poskytne informace o incidentech a výstrahách, které pomáhají zkoumat, diagnostikovat a analyzovat potenciální bezpečnostní rizika a hrozby.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
DigitalShadows_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se ID účtu digitálního stínu, tajný klíč a klíč . Podívejte se do dokumentace, kde se dozvíte více o rozhraní API na
https://portal-digitalshadows.com/learn/searchlight-api/overview/description.
DNS
Podporováno společností:Microsoft Corporation
Konektor protokolu DNS umožňuje snadno připojit protokoly analýzy a auditu DNS s Microsoft Sentinel a dalšími souvisejícími daty za účelem zlepšení šetření.
Když povolíte shromažďování protokolů DNS, můžete:
- Identifikujte klienty, kteří se pokoušejí přeložit škodlivé názvy domén.
- Identifikujte zastaralé záznamy prostředků.
- Identifikace často dotazovaných názvů domén a mluvených klientů DNS
- Zobrazení zatížení požadavků na serverech DNS
- Zobrazení dynamických selhání registrace DNS
Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
DnsEvents |
Ano | Ano |
DnsInventory |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Datový konektor Doppel
Podporováno uživatelem:Doppel
Datový konektor je založený na Microsoft Sentinel pro události a výstrahy Doppel a podporuje transformace času ingestace založené na DCR ingestionu která parsuje přijatá data událostí zabezpečení do vlastních sloupců, aby je dotazy nemusely znovu analyzovat, což vede k lepšímu výkonu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
DoppelTable_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft Entra ID klienta, ID klienta a tajný klíč klienta: Microsoft Entra ID k ověření aplikace vyžaduje ID klienta a tajný klíč klienta. Kromě toho je potřeba přístup na úrovni globálního správce nebo vlastníka k přiřazení aplikace zaregistrované v Entra a roli vydavatele metrik monitorování skupiny prostředků.
-
Požádky ID pracovního prostoru, DCE-URI, DCR-ID: Pro konfiguraci budete muset získat ID Log Analytics pracovního prostoru, identifikátor URI příjmu protokolů DCE a ID immutable DCR.
Přetahování oznámení prostřednictvím cloudového úložiště webů
Podporováno společností:Dragos Inc
Dragos Platform je přední průmyslovou platformou kybernetické bezpečnosti, která nabízí komplexní detekci kybernetických hrozeb OT (Operational Technology) sestavenou nehodnocenými odbornými znalostmi průmyslové kybernetické bezpečnosti. Toto řešení umožňuje zobrazení dat oznámení platformy Dragos v Microsoft Sentinel, aby analytici zabezpečení mohli určit prioritu potenciálních událostí kybernetického zabezpečení, ke kterým dochází v průmyslových prostředích.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
DragosAlerts_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Přístup k rozhraní API úložiště webů přetažení: Uživatelský účet sitestore, který má
notification:readoprávnění. Tento účet musí mít také klíč rozhraní API, který je možné poskytnout službě Sentinel.
Konektor událostí Druva
Podporováno společností:Druva Inc
Poskytuje možnosti ingestování událostí Druva z rozhraní API Druva.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
DruvaSecurityEvents_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Přístup k rozhraní DRuva API: Rozhraní API Druva vyžaduje k ověření ID klienta a tajný klíč klienta.
Dynamics 365 Finance a operace
Podporováno společností:Microsoft Corporation
Dynamics 365 for Finance and Operations je komplexní řešení pro plánování zdrojů organizace (ERP), které kombinuje finanční a provozní možnosti, které podnikům pomáhají spravovat každodenní provoz. Nabízí řadu funkcí, které firmám umožňují zjednodušit pracovní postupy, automatizovat úlohy a získat přehled o provozním výkonu.
Datové konektory Dynamics 365 Finance a Operations Data Connector ingestují Dynamics 365 Finance a protokoly auditu a aktivit správy operací a také protokoly obchodních procesů uživatelů a aktivit aplikací do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
FinanceOperationsActivity_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Microsoft Entra registrace aplikace: ID klienta aplikace a tajný klíč používaný pro přístup k Dynamics 365 Finance a operacím.
Dynamics365
Podporováno společností:Microsoft Corporation
Konektor aktivit Dynamics 365 Common Data Service (CDS) poskytuje přehled o aktivitách správců, uživatelů a podpory a také událostech protokolování Microsoft Social Engagementu. Připojením Dynamics 365 CRM k Microsoft Sentinel můžete tato data zobrazit v sešitech, použít je k vytváření vlastních upozornění a ke zlepšení procesu šetření.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Dynamics365Activity |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Útoky Dynatrace
Podporováno:Dynatrace
Tento konektor používá rozhraní REST API Dynatrace Attacks k ingestování ingestovaných útoků do Microsoft Sentinel Log Analytics
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
DynatraceAttacks_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Tenant Dynatrace (např. xyz.dynatrace.com):: Potřebujete platného tenanta Dynatrace s povoleným zabezpečením aplikací , přečtěte si další informace o platformě Dynatrace.
-
Přístupový token Dynatrace: Potřebujete přístupový token Dynatrace, token by měl mít obor útoků read (attacks.read ).
Protokoly auditu Dynatrace
Podporováno:Dynatrace
Tento konektor používá rozhraní REST API pro protokoly auditu c0 k ingestování protokolů auditu tenanta do Microsoft Sentinel Log Analytics
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
DynatraceAuditLogs_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Tenant Dynatrace (např. xyz.dynatrace.com): Potřebujete platného tenanta Dynatrace, abyste se dozvěděli více o platformě Dynatrace a začněte s bezplatnou zkušební verzí.
-
Přístupový token Dynatrace: Potřebujete přístupový token Dynatrace, token by měl mít obor Čtení protokolů auditu (auditLogs.read).
Problémy s dynatrace
Podporováno:Dynatrace
Tento konektor používá rozhraní REST API pro Dynatrace Problem k příjmu událostí problémů do Microsoft Sentinel Log Analytics
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
DynatraceProblems_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Tenant Dynatrace (např. xyz.dynatrace.com): Potřebujete platného tenanta Dynatrace, abyste se dozvěděli více o platformě Dynatrace a začněte s bezplatnou zkušební verzí.
-
Přístupový token Dynatrace: Potřebujete přístupový token Dynatrace, token by měl mít problémy se čtením (problémy.read).
Ohrožení zabezpečení modulu runtime Dynatrace
Podporováno:Dynatrace
Tento konektor používá rozhraní REST API Dynatrace Security Problem k ingestování ingestovaných ohrožení zabezpečení modulu runtime do Microsoft Sentinel Log Analytics.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
DynatraceSecurityProblems_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Tenant Dynatrace (např. xyz.dynatrace.com):: Potřebujete platného tenanta Dynatrace s povoleným zabezpečením aplikací , přečtěte si další informace o platformě Dynatrace.
-
Přístupový token Dynatrace: Potřebujete přístupový token Dynatrace, token by měl mít obor Zabezpečení čtení (securityProblems.read).
Elastický agent (samostatný)
Podporováno společností:Microsoft Corporation
Datový konektor Elastic Agent poskytuje možnost ingestovat protokoly elastického agenta, metriky a data zabezpečení do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ElasticAgentEvent |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Pokud připojení vyžaduje, zahrňte vlastní požadavky – jinak odstraňte celní předpisy: Popis pro všechny vlastní požadavky
Události zabezpečení prohlížeče Ermes
Podporuje:Ermes Cyber Security S.p.A.
Události zabezpečení prohlížeče Ermes
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ErmesBrowserSecurityEvents_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
ID klienta a tajný klíč klienta Ermes: Povolte přístup k rozhraní API v Ermes. Další informace vám poskytne podpora Ermes Cyber Security .
ESET Protect Platform (pomocí Azure Functions)
Podporováno:ESET Enterprise Integrations
Datový konektor ESET Protect Platform umožňuje uživatelům vkládat data detekce z platformy ESET Protect Platform pomocí poskytnutého rozhraní Integration REST API. Rozhraní REST API integrace se spouští podle plánu Azure aplikace funkcí.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
IntegrationTable_CL |
Ano | Ano |
IntegrationTableIncidents_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Permission k registraci aplikace v Microsoft Entra ID: Vyžaduje se dostatečná oprávnění k registraci aplikace ve vašem tenantovi Microsoft Entra.
-
Permission k přiřazení role zaregistrované aplikaci: Vyžaduje se oprávnění k přiřazení role Vydavatele metrik monitorování k registrované aplikaci v Microsoft Entra ID.
Místní kolektor Exchange Security Insights
Podporuje:Community
Konektor používaný k nabízení konfigurace místního zabezpečení Exchange pro analýzu Microsoft Sentinel
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ESIExchangeConfig_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Účet služby s rolí Správa organizace: Účet služby, který spouští skript podle naplánované úlohy, musí být správa organizace, aby mohl načíst všechny potřebné informace o zabezpečení.
-
Podrobná dokumentace: > Podrobná dokumentace k postupu instalace a použití najdete tady.
Exchange Security Insights Online Collector (pomocí Azure Functions)
Podporuje:Community
Konektor používaný k nabízení konfigurace zabezpečení Exchange Online pro analýzu Microsoft Sentinel
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ESIExchangeOnlineConfig_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- microsoft.automation/automationaccounts oprávnění: Vyžaduje se oprávnění ke čtení a zápisu k vytvoření Azure Automation s runbookem. Další informace najdete v tématu Účet Automation.
- oprávnění Microsoft.Graph: Groups.Read, Users.Read a Auditing.Read.Read jsou potřeba k načtení informací o uživatelích a skupinách propojených s přiřazeními Exchange Online. Další informace najdete v dokumentaci.
- oprávnění
Exchange Online : Oprávnění Exchange.ManageAsApp aGlobal Reader nebo < Role Čtenář zabezpečení> pro načtení role Exchange Online Security Configuration.Další informace najdete v dokumentaci . -
(Volitelné) Oprávnění úložiště protokolů: Přispěvatel dat objektů blob úložiště do účtu úložiště propojeného se spravovanou identitou účtu Automation nebo ID aplikace je povinné k ukládání protokolů. Další informace najdete v dokumentaci.
ExtraHop Detections Data Connector (pomocí Azure Functions)
Podpora pro:ExtraHop
Datový konektor ExtraHop Detections umožňuje importovat data detekce z ExtraHop RevealX do Microsoft Sentinel prostřednictvím datových částí webhooku.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ExtraHop_Detections_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Azure Předplatné: k registraci aplikace ve Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků se vyžaduje Azure předplatné s rolí vlastníka.
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Oprávnění ExtraHop RevealX: V systému ExtraHop RevealX se vyžaduje následující: 1.Váš systém RevealX musí používat firmware verze 9.9.2 nebo novější.
2.Váš systém RevealX musí být připojený ke cloudovým službám ExtraHop.
3. Váš uživatelský účet musí mít oprávnění správce systému pro oprávnění k revealx 360 nebo úplnému zápisu v systému RevealX Enterprise.
F5 BIG-IP
Podporováno službou:F5 Networks
Konektor brány firewall F5 umožňuje snadno propojit protokoly F5 s Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Tím získáte lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
F5Telemetry_LTM_CL |
Ne | Ne |
F5Telemetry_system_CL |
Ano | Ano |
F5Telemetry_ASM_CL |
Ne | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Feedly IoC
Podporováno společností:Feedly Inc
Datový konektor Feedly IoC poskytuje možnost ingestovat indikátory ohrožení (IoCS) z rozhraní API feedly do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
feedly_indicators_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Přístup k rozhraní API feedly: Vyžaduje se přístup k rozhraní API Feedly. Potřebujete token rozhraní API Feedly s přístupem k datovým proudům IoC, které chcete ingestovat. Vygenerování tokenu rozhraní API na adrese https://feedly.com/i/team/api
Flare Push Connector
Podporuje:Flare
Konektor Flare poskytuje možnost ingestovat analýzu hrozeb a data expozice z Flare do Microsoft Sentinel. Flare identifikuje digitální prostředky vaší společnosti, které byly veřejně dostupné z důvodu lidských chyb nebo škodlivých útoků, včetně úniku přihlašovacích údajů, vystavených cloudových kbelíků, zmínek darkwebu a dalších.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
FireworkV2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID.
- Microsoft Azure: Oprávnění k přiřazení role Vydavatele metrik monitorování u pravidla shromažďování dat (DCR).
-
Flare: Oprávnění ke konfiguraci integrace Microsoft Sentinel ve Flare.
Vynucení ochrany před únikem informací
Podporuje:Community
Konektor Forcepoint DLP (Data Loss Prevention) umožňuje automaticky exportovat data incidentů ochrany před únikem informací z forcepoint DLP do Microsoft Sentinel v reálném čase. To rozšiřuje přehled o aktivitách uživatelů a incidentech ztráty dat, umožňuje další korelaci s daty z Azure úloh a dalších informačních kanálů a zlepšuje možnosti monitorování pomocí sešitů uvnitř Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ForcepointDLPEvents_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Forescout
Podporováno společností:Microsoft Corporation
Datový konektor Forescout poskytuje možnost ingestovat události Forescout do Microsoft Sentinel. Další informace najdete v dokumentaci Forescout.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ForescoutEvent |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Monitorování vlastností hostitele Forescout
Podporováno společností:Microsoft Corporation
Konektor Forescout Host Property Monitor umožňuje připojit vlastnosti hostitele z platformy Forescout s Microsoft Sentinel, zobrazit, vytvářet vlastní incidenty a zlepšovat šetření. Díky tomu získáte lepší přehled o vaší organizační síti a zlepšíte možnosti operací zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ForescoutHostProperties_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Požadavek na modul plug-inForescout: Ujistěte se, že modul plug-in Forescout Microsoft Sentinel běží na platformě Forescout.
Fortinet FortiNDR Cloud
Podporuje:Fortinet
Datový konektor Fortinet FortiNDR Cloud poskytuje možnost ingestovat Fortinet FortiNDR Cloud data do Microsoft Sentinel pomocí cloudového rozhraní API FortiNDR.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
FncEventsSuricata_CL |
Ne | Ne |
FncEventsObservation_CL |
Ne | Ne |
FncEventsDetections_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Přihlašovací údaje metastreamu: K načtení dat událostí se vyžaduje ID přístupového klíče AWS, tajný přístupový klíč AWS, kód cloudového účtu FortiNDR .
-
Přihlašovací údaje rozhraní API: Token cloudového rozhraní API FortiNDR, UUID cloudového účtu FortiNDR se vyžaduje k načtení dat detekce.
Garrison ULTRA Remote Logs (pomocí Azure Functions)
Podporováno:Garrison
Konektor Garrison ULTRA Remote Logs umožňuje ingestovat vzdálené protokoly Garrison ULTRA do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Garrison_ULTRARemoteLogs_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Garrison ULTRA: Chcete-li použít tento datový konektor, musíte mít aktivní licenci Garrison ULTRA .
Spuštění cloudu GCP (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor GCP Cloud Run poskytuje možnost ingestovat protokoly požadavku Cloud Run do Microsoft Sentinel pomocí Pub/Sub. Další podrobnosti najdete v Cloud Run Overview.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GCPCloudRun |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
GCP Cloud SQL (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor GCP Cloud SQL poskytuje možnost ingestovat protokoly auditu do Microsoft Sentinel pomocí rozhraní SQL API GCP Cloud. Další informace najdete v dokumentaci k protokolům auditu SQL cloudu GCP .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GCPCloudSQL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Protokoly auditu GCP pub/sub audit
Podporováno společností:Microsoft Corporation
Protokoly auditu Google Cloud Platform (GCP), které se ingestují z konektoru Microsoft Sentinel, umožňují zachytit tři typy protokolů auditu: protokoly aktivit správce, protokoly přístupu k datům a protokoly transparentnosti přístupu. Protokoly auditu cloudu Google zaznamenávají záznam, který mohou odborníci použít ke sledování přístupu a zjišťování potenciálních hrozeb napříč prostředky GCP (Google Cloud Platform).
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GCPAuditLogs |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
GCP Pub/Sub Load Balancer Logs (prostřednictvím architektury konektoru bez kódu).
Podporováno společností:Microsoft Corporation
Protokoly Load Balancer Google Cloud Platform (GCP) poskytují podrobné přehledy o síťovém provozu a zachytávání příchozích i odchozích aktivit. Tyto protokoly se používají k monitorování vzorů přístupu a identifikaci potenciálních bezpečnostních hrozeb napříč prostředky GCP. Kromě toho tyto protokoly zahrnují také protokoly GCP Web Application Firewall (WAF), což zvyšuje schopnost efektivně zjišťovat a zmírnit rizika.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GCPLoadBalancerLogs_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Protokoly toku GCP Pub/Sub VPC (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Protokoly toku VPC (Google Cloud Platform) umožňují zaznamenávat aktivitu síťového provozu na úrovni VPC, což umožňuje monitorovat vzory přístupu, analyzovat výkon sítě a zjišťovat potenciální hrozby napříč prostředky GCP.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GCPVPCFlow |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Konektor Gigamon AMX
Podporováno uživatelem:Gigamon
Konektor Gigamon poskytuje možnost číst nezpracovaná data událostí z Gigamonu v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GigamonV2_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje roli vývojáře aplikace Entra ID nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role Vydavatele metrik monitorování u pravidla shromažďování dat (DCR). Obvykle vyžaduje roli vlastníka RBAC nebo správce uživatelských přístupů Azure.
GitHub (pomocí Webhooků)
Podporováno společností:Microsoft Corporation
Datový konektor webhooku GitHub poskytuje možnost ingestovat GitHub odebírané události do Microsoft Sentinel pomocí událostí webhooku GitHub. Konektor poskytuje možnost získat události do Microsoft Sentinel, což pomáhá zkoumat potenciální rizika zabezpečení, analyzovat využití spolupráce vašeho týmu, diagnostikovat problémy s konfigurací a provádět další akce.
Note: Pokud chcete ingestovat protokoly auditu Github, projděte si prosím GitHub Konektor protokolu auditu organizace z galerie Data Connectors.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
githubscanaudit_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
GitHub Protokol auditu organizace (prostřednictvím architektury bez kódu)
Podporováno společností:Microsoft Corporation
Konektor protokolu auditu GitHub poskytuje možnost ingestovat GitHub protokoly do Microsoft Sentinel. Propojením GitHub protokolů auditu do Microsoft Sentinel můžete tato data zobrazit v sešitech, použít je k vytváření vlastních upozornění a ke zlepšení procesu šetření.
Note: Pokud jste chtěli ingestovat GitHub odebírané události do Microsoft Sentinel, přečtěte si informace o konektoru GitHub (pomocí webhooků) z galerie "Data Connectors".
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GitHubAuditLogsV2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
GitHub token pat přístupového tokenu rozhraní API: Pokud chcete povolit dotazování na protokol podnikového auditu, ujistěte se, že ověřený uživatel je podnikový správce a má GitHub token pat (classic) s oborem
read:audit_log. -
GitHub typu Enterprise: Tento konektor bude fungovat pouze s GitHub Enterprise Cloud. Nebude podporovat GitHub Enterprise Server.
Google ApigeeX (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor Google ApigeeX poskytuje možnost ingestovat protokoly auditu do Microsoft Sentinel pomocí rozhraní API Apigee Google. Další informace najdete v dokumentaci k rozhraní API služby Google Apigee .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GCPApigee |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Google Cloud Platform CDN (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor CDN služby Google Cloud Platform poskytuje možnost ingestovat protokoly auditu CLOUD CDN a protokoly provozu CLOUD CDN do Microsoft Sentinel pomocí rozhraní API výpočetního stroje. Další podrobnosti najdete v dokumentu s přehledem produktu .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GCPCDN |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
IDS cloudu Google Cloud Platform (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor GOOGLE Cloud Platform IDS poskytuje možnost ingestovat protokoly provozu Cloud IDS, protokoly hrozeb a protokoly auditu do Microsoft Sentinel pomocí rozhraní API Google Cloud IDS. Další informace najdete v dokumentaci k rozhraní API cloudových IDS .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GCPIDS |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Monitorování cloudu Google Cloud Platform (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor Monitorování cloudu Google Cloud Platform ingestuje protokoly monitorování z Google Cloudu do Microsoft Sentinel pomocí rozhraní API pro monitorování cloudu Google. Další podrobnosti najdete v dokumentaci k rozhraní API pro monitorování cloudu .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GCPMonitoring |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Výpočetní modul Google Cloud Platform (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor výpočetního modulu Google Cloud Platform poskytuje možnost ingestovat protokoly auditu výpočetního modulu do Microsoft Sentinel pomocí rozhraní API výpočetního modulu Google Cloud. Další informace najdete v dokumentaci k rozhraní API cloudového výpočetního modulu .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GCPComputeEngine |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
GOOGLE Cloud Platform DNS (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor DNS služby Google Cloud Platform poskytuje možnost ingestovat protokoly dotazů DNS cloudu a protokoly auditu DNS cloudu do Microsoft Sentinel pomocí rozhraní API DNS služby Google Cloud. Další informace najdete v dokumentaci ke cloudovému rozhraní DNS API .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GCPDNS |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
IAM pro Google Cloud Platform (prostřednictvím architektury konektorů bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor IAM služby Google Cloud Platform poskytuje možnost ingestovat protokoly auditu týkající se aktivit správy identit a přístupu (IAM) v rámci Google Cloudu do Microsoft Sentinel pomocí rozhraní API Google IAM. Další informace najdete v dokumentaci k rozhraní API IAM GCP .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GCPIAM |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Překlad adres (NAT) Google Cloud Platform (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor NAT google Cloud Platform poskytuje možnost ingestovat protokoly auditu Cloud NAT a přenosy cloudových adres (NAT) do Microsoft Sentinel pomocí rozhraní API výpočetního stroje. Další podrobnosti najdete v dokumentu s přehledem produktu .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GCPNATAudit |
Ano | Ano |
GCPNAT |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Google Cloud Platform Resource Manager (prostřednictvím architektury konektorů bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor Google Cloud Platform Resource Manager poskytuje možnost ingestovat Resource Manager Protokoly auditu aktivit a přístupu k datům do Microsoft Sentinel pomocí rozhraní API cloudových Resource Manager. Další podrobnosti najdete v dokumentu s přehledem produktu .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GCPResourceManager |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Google Kubernetes Engine (prostřednictvím architektury konektorů bez kódu)
Podporováno společností:Microsoft Corporation
Protokoly GKE (Google Kubernetes Engine) umožňují zaznamenávat aktivity clusteru, chování úloh a události zabezpečení, které umožňují monitorovat úlohy Kubernetes, analyzovat výkon a zjišťovat potenciální hrozby napříč clustery GKE.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GKEAudit |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Centrum příkazů zabezpečení Google
Podporováno společností:Microsoft Corporation
Centrum GCP (Google Cloud Platform) Security Command Center je komplexní platforma pro správu zabezpečení a rizik pro Google Cloud, která se ingestuje z konektoru služby Sentinel. Nabízí funkce jako inventarizace a vyhledávání aktiv, detekce zranitelností a hrozeb, a zmírnění a náprava rizik, které vám pomohou získat přehled o zabezpečení vaší organizace a povrchu datových útoků. Tato integrace vám umožňuje efektivněji provádět úkoly související s nálezy a aktivy.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GoogleCloudSCC |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Aktivity Google Workspace (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor aktivit Aktivity poskytuje možnost ingestovat události aktivit z rozhraní API pracovního prostoru Google do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GoogleWorkspaceReports |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Přístup k rozhraní API pracovního prostoru Google: Vyžaduje se přístup k rozhraní API aktivit Google Workspace prostřednictvím Oauth.
Zpravodajství o hrozbách GreyNoise
Podporuje:GreyNoise
Tento datový konektor nainstaluje aplikaci funkcí Azure ke stažení indikátorů GreyNoise jednou denně a vloží je do tabulky ThreatIntelligenceIndicator v Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Klíč rozhraní API GreyNoise: Tady načtěte klíč rozhraní API GreyNoise.
Konektor Halcyon
Podporuje:Halcyon
Konektor Halcyon poskytuje možnost odesílat data z Halcyonu do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
HalcyonAuthenticationEvents_CL |
Ano | Ano |
HalcyonDnsActivity_CL |
Ano | Ano |
HalcyonFileActivity_CL |
Ano | Ano |
HalcyonNetworkSession_CL |
Ano | Ano |
HalcyonProcessEvent_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft Entra Vytvořit oprávnění: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje roli vývojáře aplikace Entra ID nebo vyšší.
-
Oprávnění přiřazení role: Oprávnění k zápisu potřebná k přiřazení role Vydavatele metrik monitorování k pravidlu shromažďování dat (DCR). Obvykle vyžaduje roli Vlastník nebo Správce uživatelských přístupů na úrovni skupiny prostředků.
Holm Security Asset Data (pomocí Azure Functions)
Podporováno:Holm Security
Konektor poskytuje možnost dotazovat data ze služby Holm Security Center do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
net_assets_CL |
Ne | Ne |
web_assets_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Holm Security API Token: Vyžaduje se token Security API Holm. token Holm Security API
IIS protokolů serverů Microsoft Exchange
Podporuje:Community
[Možnost 5] – Použití agenta Azure Monitor – Všechny protokoly služby IIS můžete streamovat z Windows počítačů připojených k pracovnímu prostoru Microsoft Sentinel pomocí agenta Windows. Toto připojení umožňuje vytvářet vlastní výstrahy a vylepšovat šetření.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
W3CIISLog |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Log Analytics budou zastaralé, pokud chcete shromažďovat data z jiných než Azure virtuálních počítačů, doporučujeme Azure Arc. Další informace
-
Podrobná dokumentace: > Podrobná dokumentace k postupu instalace a použití najdete tady.
Illumio Insights
Podporováno uživatelem:Illumio
Datový konektor Illumio Insights umožňuje ingestování protokolů z rozhraní Illumio API do Microsoft Sentinel. Datový konektor je založený na rozhraní Microsoft Sentinel Codeless Connector Framework. Pomocí rozhraní Illumio API načítá protokoly a podporuje transformace času příjmu dat založené na DCR, které analyzují přijatá data zabezpečení do vlastní tabulky, aby dotazy nemusely znovu analyzovat, což vede k lepšímu výkonu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
IlumioInsights |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Souhrn přehledů aplikace Illumio
Podporováno uživatelem:Illumio
Datový konektor Illumio Insights Summary poskytuje možnost ingestovat Illumio přehledy zabezpečení a sestavy analýzy hrozeb do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní Illumio API . Konektor poskytuje možnost získat denní a týdenní souhrnné sestavy z Illumio a vizualizovat je v Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
IllumioInsightsSummary_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Přístup k rozhraní API Illumio: Pro souhrnné rozhraní API illumio se vyžaduje přístup k rozhraní API illumio Insights.
Illumio SaaS (pomocí Azure Functions)
Podporováno uživatelem:Illumio
konektor Illumio poskytuje možnost ingestovat události do Microsoft Sentinel. Konektor poskytuje možnost ingestovat auditovatelné a tok událostí z kbelíku AWS S3.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Illumio_Auditable_Events_CL |
Ano | Ano |
Illumio_Flow_Events_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Přihlašovací údaje/oprávnění účtu SQS a AWS S3: vyžaduje se AWS_SECRET, AWS_REGION_NAME, AWS_KEYQUEUE_URL . Pokud používáte kbelík s3 poskytovaný společností Illumio, obraťte se na podporu společnosti Illumio. Na vaši žádost vám poskytne název kontejneru AWS S3, adresu URL AWS SQS a přihlašovací údaje AWS pro přístup k nim.
-
Klíč a tajný kód rozhraní API Illumio: ILLUMIO_API_KEY, ILLUMIO_API_SECRET se vyžaduje pro sešit, aby se připojení k pcE SaaS a načítání odpovědí rozhraní API.
Imperva Cloud WAF (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Datový konektor Imperva Cloud WAF poskytuje možnost integrovat a ingestovat události Web Application Firewall do Microsoft Sentinel prostřednictvím rozhraní REST API. Odkaz na dokumentaci k protokolové integraci pro více informací. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ImpervaWAFCloud_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Pro rozhraní API jsou vyžadovány přihlašovací údaje nebo oprávnění rozhraní REST API: ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI. Další informace najdete v tématu Proces integrace protokolu instalace. Zkontrolujte všechny požadavky a postupujte podle pokynů pro získání přihlašovacích údajů. Upozorňujeme, že tento konektor používá formát událostí protokolu CEF.
Další informace o formátu protokolu
Infoblox Cloud Data Connector přes AMA
Podporováno:Infoblox
Infoblox Cloud Data Connector umožňuje snadno připojit data Infoblox s Microsoft Sentinel. Propojením protokolů s Microsoft Sentinel můžete pro každý protokol využít výhod vyhledávání a korelace, upozorňování a rozšiřování analýzy hrozeb.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Datový konektor Infoblox prostřednictvím rozhraní REST API
Podporováno:Infoblox
Infoblox Data Connector umožňuje snadno připojit data Infoblox TIDE a data dokumentace s Microsoft Sentinel. Propojením dat s Microsoft Sentinel můžete pro každý protokol využít výhod vyhledávání a korelace, upozorňování a rozšiřování analýzy hrozeb.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Failed_Range_To_Ingest_CL |
Ne | Ne |
Infoblox_Failed_Indicators_CL |
Ne | Ne |
dossier_whois_CL |
Ne | Ne |
dossier_whitelist_CL |
Ne | Ne |
dossier_tld_risk_CL |
Ne | Ne |
dossier_threat_actor_CL |
Ne | Ne |
dossier_rpz_feeds_records_CL |
Ne | Ne |
dossier_rpz_feeds_CL |
Ne | Ne |
dossier_nameserver_matches_CL |
Ne | Ne |
dossier_nameserver_CL |
Ne | Ne |
dossier_malware_analysis_v3_CL |
Ne | Ne |
dossier_inforank_CL |
Ne | Ne |
dossier_infoblox_web_cat_CL |
Ne | Ne |
dossier_geo_CL |
Ne | Ne |
dossier_dns_CL |
Ne | Ne |
dossier_atp_threat_CL |
Ne | Ne |
dossier_atp_CL |
Ne | Ne |
dossier_ptr_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Azure Předplatné: k registraci aplikace ve Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků se vyžaduje Azure předplatné s rolí vlastníka.
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se klíč rozhraní API Infoblox . Další informace o rozhraní API v referenčních informacích k rozhraní REST API najdete v dokumentaci.
Infoblox SOC Insight Data Connector prostřednictvím AMA
Podporováno:Infoblox
Datový konektor Infoblox SOC Insight umožňuje snadno připojit data Infoblox BloxOne SOC Insight s Microsoft Sentinel. Propojením protokolů s Microsoft Sentinel můžete pro každý protokol využít výhod vyhledávání a korelace, upozorňování a rozšiřování analýzy hrozeb.
Tento datový konektor ingestuje infoblox SOC Insight CDC do vašeho pracovního prostoru Log Analytics pomocí nového agenta Azure Monitor Agent. Přečtěte si další informace o ingestování pomocí nového agenta Azure Monitor . Microsoft doporučuje používat tento datový konektor.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Pokud chcete shromažďovat data z virtuálních počítačů, které nejsou Azure, musí mít nainstalované a povolené Azure Arc. Další informace
- Je nutné nainstalovat společný formát událostí (CEF) přes AMA a Syslog prostřednictvím datových konektorů AMA.
Další informace
Datový konektor Infoblox SOC Insight prostřednictvím rozhraní REST API
Podporováno:Infoblox
Datový konektor Infoblox SOC Insight umožňuje snadno připojit data Infoblox BloxOne SOC Insight s Microsoft Sentinel. Propojením protokolů s Microsoft Sentinel můžete pro každý protokol využít výhod vyhledávání a korelace, upozorňování a rozšiřování analýzy hrozeb.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
InfobloxInsight_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Datový konektor InfoSecGlobal
Podporuje:InfoSecGlobal
Pomocí tohoto datového konektoru můžete integrovat s InfoSec Crypto Analytics a získat data odesílaná přímo do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
InfoSecAnalytics_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Protokoly zabezpečení IONIX
Podporuje:IONIX
Datový konektor protokoly zabezpečení IONIX, ingestuje protokoly ze systému IONIX přímo do služby Sentinel. Konektor umožňuje uživatelům vizualizovat svá data, vytvářet výstrahy a incidenty a vylepšovat šetření zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CyberpionActionItems_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Předplatné IONIX: Pro protokoly IONIX se vyžaduje předplatné a účet.
Tady je možné ho získat.
IPinfo – datový konektor pro zneužití
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Azure Functions ke stažení standard_abuse datových sad a jeho vložení do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_Abuse_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo ASN
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Azure Functions ke stažení standard_ASN datových sad a jeho vložení do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_ASN_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor operátora IPinfo
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Azure Functions ke stažení standard_carrier datových sad a jeho vložení do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_Carrier_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Konektor IPinfo Pro firemní data
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Funkcí Azure, která stáhne standard_company datové sady a vloží ji do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_Company_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo Core
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Funkcí Azure, která stáhne základní datové sady a vloží ji do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_CORE_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo Country ASN
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Azure Functions ke stažení country_asn datových sad a jeho vložení do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_Country_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
IPinfo Domain Data Connector
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Azure Functions ke stažení standard_domain datových sad a jeho vložení do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_Domain_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor iplocation IPinfo
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Azure Functions ke stažení standard_location datových sad a jeho vložení do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_Location_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Rozšířený datový konektor IPinfo Iplocation
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Azure Functions ke stažení standard_location_extended datových sad a jeho vložení do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_Location_extended_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo Plus
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Funkcí Azure, která stáhne datové sady Plus a vloží ji do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_PLUS_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor ochrany osobních údajů IPinfo
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Azure Functions ke stažení standard_privacy datových sad a jeho vložení do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_Privacy_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Rozšířený datový konektor ochrany osobních údajů IPinfo
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Azure Functions ke stažení standard_privacy datových sad a jeho vložení do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_Privacy_extended_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor ResProxy IPinfo
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Funkcí Azure, která stáhne datové sady ResProxy a vloží ji do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_RESIDENTIAL_PROXY_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo RIRWHOIS
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Funkcí Azure, která stáhne datové sady RIRWHOIS a vloží ji do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_RIRWHOIS_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo RWHOIS
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Funkcí Azure, která stáhne datové sady RWHOIS a vloží ji do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_RWHOIS_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo WHOIS ASN
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Funkcí Azure, která stáhne WHOIS_ASN datových sad a vloží ji do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_WHOIS_ASN_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo WHOIS MNT
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Funkcí Azure, která stáhne WHOIS_MNT datových sad a vloží ji do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_WHOIS_MNT_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo WHOIS NET
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Azure Functions ke stažení WHOIS_NET datových sad a jeho vložení do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_WHOIS_NET_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo WHOIS ORG
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Azure Functions ke stažení WHOIS_ORG datových sad a jeho vložení do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_WHOIS_ORG_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo WHOIS POC
Podporuje:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci Azure Functions ke stažení WHOIS_POC datových sad a jeho vložení do vlastní tabulky protokolů v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ipinfo_WHOIS_POC_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Island Enterprise Browser Admin Audit (dotazování CCF)
Podporováno uživatelem:Island
Konektor pro správu Island poskytuje možnost ingestovat protokoly auditu správce ostrova do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Island_Admin_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Klíč rozhraní API ostrova: Vyžaduje se klíč rozhraní API o ostrově.
Aktivita uživatele prohlížeče Island Enterprise (dotazování CCF)
Podporováno uživatelem:Island
Konektor Island poskytuje možnost ingestovat protokoly aktivity uživatelů o ostrově do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Island_User_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Klíč rozhraní API ostrova: Vyžaduje se klíč rozhraní API o ostrově.
Jamf Protect Push konektor
Podporováno:Jamf Software, LLC
Konektor Jamf Protect poskytuje možnost číst nezpracovaná data událostí z Jamf Protect v Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
jamfprotecttelemetryv2_CL |
Ano | Ano |
jamfprotectunifiedlogs_CL |
Ano | Ano |
jamfprotectalerts_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje roli vývojáře aplikace Entra ID nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role Vydavatele metrik monitorování u pravidla shromažďování dat (DCR). Obvykle vyžaduje roli vlastníka RBAC nebo správce uživatelských přístupů Azure.
JoeSandboxThreatIntelligence (pomocí Azure Functions)
Podporováno:Stefan Bühlmann
Konektor JoeSandboxThreatIntelligence automaticky generuje a odesílá informace o hrozbách pro všechna odeslání do JoeSandboxu a vylepšuje detekci hrozeb a reakce na incidenty ve službě Sentinel. Tato bezproblémová integrace umožňuje týmům proaktivně řešit vznikající hrozby.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Předplatné: k registraci aplikace ve azure active directory() a přiřazení role přispěvatele k aplikaci ve skupině prostředků se vyžaduje Azure předplatné s rolí vlastníka.
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Je vyžadován klíč rozhraní API JoeSandbox .
Keeper Security Push Connector
Podporováno službou:Keeper Security
Konektor Keeper Security poskytuje možnost číst nezpracovaná data událostí ze zabezpečení Keeper v Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
KeeperSecurityEventNewLogs_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje roli vývojáře aplikace Entra ID nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role Vydavatele metrik monitorování u pravidla shromažďování dat (DCR). Obvykle vyžaduje roli vlastníka RBAC nebo správce uživatelských přístupů Azure.
LastPass Enterprise – vytváření sestav (dotazování CCF)
Podporováno:Kolektivní poradenství
Konektor LastPass Enterprise poskytuje možnost protokolování sestav LastPass (audit) do Microsoft Sentinel. Konektor poskytuje přehled o přihlášeních a aktivitách v lastpassu (například čtení a odebírání hesel).
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
LastPassNativePoller_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Klíč rozhraní API LastPass a CID: Vyžaduje se klíč rozhraní API LastPass a identifikátor CID. Další informace naleznete v tématu LastPass API.
Konektor pro detekci mobilních hrozeb Lookout (prostřednictvím architektury konektoru bez kódu) (Preview)
Podporováno aplikací:Lookout
Datový konektor Lookout Mobile Threat Detection poskytuje možnost ingestovat události související s riziky zabezpečení mobilních zařízení do Microsoft Sentinel prostřednictvím rozhraní API pro mobilní rizika. Další informace najdete v dokumentaci k rozhraní API. Tento konektor vám pomůže prozkoumat potenciální bezpečnostní rizika zjištěná na mobilních zařízeních.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
LookoutMtdV2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Sloupc2 a nevrácené přihlašovací údaje (pomocí Azure Functions)
Podporováno:Cognyte Luminar
Konektor Luminar IOCs a Leaked Credentials umožňuje propojení zpravodajských dat IOC a záznamů souvisejících se zákazníky identifikovaných společností Luminar.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Předplatné: k registraci aplikace ve azure active directory() a přiřazení role přispěvatele k aplikaci ve skupině prostředků se vyžaduje Azure předplatné s rolí vlastníka.
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Id klienta Luminar, tajný klíč klienta Luminar a ID účtu Luminar jsou povinné.
MailGuard 365
Podporováno uživatelem:MailGuard 365
MailGuard 365 Enhanced Email Security for Microsoft 365. MailGuard 365 je integrovaný s Microsoft 365 zabezpečením (včetně Defenderu) pro rozšířenou ochranu před pokročilými e-mailovými hrozbami, jako jsou phishing, ransomware a sofistikované útoky BEC.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
MailGuard365_Threats_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
MailRisk zabezpečeným postupem (pomocí Azure Functions)
Podporováno:Secure Practice
Datový konektor pro odesílání e-mailů z MailRisk do Microsoft Sentinel Log Analytics
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
MailRiskEmails_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje rozhraní API: Je potřeba použít také pár klíčů rozhraní API pro zabezpečený postup, který se vytvoří v nastavení na portálu pro správu. Pokud jste ztratili tajný klíč rozhraní API, můžete vygenerovat nový pár klíčů (UPOZORNĚNÍ: Všechny ostatní integrace pomocí starého páru klíčů přestanou fungovat).
Microsoft 365 (dříve Office 365)
Podporováno společností:Microsoft Corporation
Konektor protokolu aktivit Microsoft 365 (dříve Office 365) poskytuje přehled o probíhajících aktivitách uživatelů. Zobrazí se podrobnosti o operacích, jako jsou stahování souborů, odeslané žádosti o přístup, změny událostí skupiny, nastavení poštovní schránky a podrobnosti o uživateli, který akce provedl. Propojením Microsoft 365 protokolů do Microsoft Sentinel můžete tato data použít k zobrazení řídicích panelů, vytváření vlastních upozornění a vylepšení procesu šetření. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
OfficeActivity |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Microsoft 365 Insider Risk Management
Podporováno společností:Microsoft Corporation
Microsoft 365 Insider Risk Management je řešení dodržování předpisů v Microsoft 365, které pomáhá minimalizovat interní rizika tím, že vám umožní detekovat, prošetřit a reagovat na škodlivé a neúmyslné aktivity ve vaší organizaci. Analytici rizik ve vaší organizaci můžou rychle provést příslušné akce, aby zajistili, že uživatelé vyhovují standardům dodržování předpisů vaší organizace.
Zásady insiderských rizik umožňují:
- definujte typy rizik, která chcete identifikovat a detekovat ve vaší organizaci.
- rozhodnutí o tom, jaké akce se mají provést v reakci, včetně eskalace případů do Microsoft Advanced eDiscovery v případě potřeby.
Toto řešení vytváří výstrahy, které můžou zákazníci Office vidět v řešení Insider Risk Management v centru dodržování předpisů Microsoft 365. Přečtěte si další informace o správě insiderských rizik.
Tyto výstrahy je možné importovat do Microsoft Sentinel pomocí tohoto konektoru, abyste je mohli zobrazit, prozkoumat a reagovat na ně v širším kontextu ohrožení organizace. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Protokoly událostí zabezpečení řadičů domény Microsoft Active-Directory
Podporuje:Community
[Možnost 3 & 4] – Použití -You agenta Azure Monitor může streamovat část nebo všechny protokoly událostí zabezpečení řadičů domény z Windows počítačů připojených k vašemu pracovnímu prostoru Microsoft Sentinel pomocí agenta Windows. Toto připojení umožňuje vytvářet vlastní výstrahy a vylepšovat šetření.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityEvent |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Log Analytics budou zastaralé, pokud chcete shromažďovat data z jiných než Azure virtuálních počítačů, doporučujeme Azure Arc. Další informace
-
Podrobná dokumentace: > Podrobná dokumentace k postupu instalace a použití najdete tady.
Microsoft Copilot
Podporováno společností:Microsoft
Konektor Microsoft Copilot protokoluje Microsoft Sentinel umožňuje bezproblémový příjem Copilot vygenerovaných protokolů aktivit do Microsoft Sentinel pro pokročilou detekci hrozeb, šetření a reakci. Shromažďuje telemetrii ze služeb Microsoft Copilot , jako jsou data o využití, výzvy a odezvy systému, a ingestuje do Microsoft Sentinel, což týmům zabezpečení umožňuje monitorovat zneužití, zjišťovat anomálie a udržovat dodržování zásad organizace.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CopilotActivity |
Ne | Ano |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Oprávnění tenanta: Správce zabezpečení nebo Globální správce v tenantovi pracovního prostoru.
Microsoft Dataverse
Podporováno společností:Microsoft Corporation
Microsoft Dataverse je škálovatelná a zabezpečená datová platforma, která organizacím umožňuje ukládat a spravovat data používaná obchodními aplikacemi. Datový konektor Microsoft Dataverse poskytuje možnost ingestovat dataverse a Dynamics 365 protokoly aktivit CRM z protokolu auditu Microsoft Purview audit do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
DataverseActivity |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Oprávnění tenanta: Správce zabezpečení nebo Globální správce v tenantovi pracovního prostoru.
- Micorosft Purview Audit: musí být aktivován Microsoft Purview Audit (Standard nebo Premium).
- Produkční dataverse: Protokolování aktivit je k dispozici pouze pro produkční prostředí. Jiné typy, jako je sandbox, nepodporují protokolování aktivit.
-
Nastavení auditu služby Dataverse: Nastavení auditu musí být nakonfigurovaná globálně i na úrovni entity nebo tabulky. Další informace najdete v tématu Nastavení auditu služby Dataverse.
Microsoft Defender for Cloud Apps
Podporováno společností:Microsoft Corporation
Když se připojíte pomocí Microsoft Defender for Cloud Apps získáte přehled o cloudových aplikacích, získáte sofistikované analýzy pro identifikaci a boj s kybernetickými hrozbami a budete řídit způsob, jakým data cestují.
- Identifikujte stínové cloudové aplikace IT ve vaší síti.
- Řízení a omezení přístupu na základě podmínek a kontextu relace
- Používejte integrované nebo vlastní zásady pro sdílení dat a ochranu před únikem informací.
- Identifikujte vysoce rizikové použití a získejte upozornění na neobvyklé aktivity uživatelů s možnostmi analýzy chování a detekce anomálií od Microsoftu, včetně aktivity ransomwaru, nemožného cestování, pravidel přesměrování podezřelých e-mailů a hromadného stahování souborů.
- Hromadné stahování souborů
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityAlert |
Ne | Ne |
McasShadowItReporting |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Microsoft Defender for Endpoint
Podporováno společností:Microsoft Corporation
Microsoft Defender for Endpoint je platforma zabezpečení navržená tak, aby bránila, detekovala, prošetřovala a reagovala na pokročilé hrozby. Platforma vytváří výstrahy, když se v organizaci zobrazí podezřelé události zabezpečení. Načtení výstrah vygenerovaných v Microsoft Defender for Endpoint pro Microsoft Sentinel, abyste mohli efektivně analyzovat události zabezpečení. Můžete vytvářet pravidla, vytvářet řídicí panely a vytvářet playbooky pro okamžitou reakci. Další informace najdete v dokumentaci Microsoft Sentinel >.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Microsoft Defender for Identity
Podporováno společností:Microsoft Corporation
Připojte Microsoft Defender for Identity, abyste získali přehled o událostech a analýzách uživatelů. Microsoft Defender for Identity identifikuje, detekuje a pomáhá zkoumat pokročilé hrozby, ohrožené identity a škodlivé vnitřní akce zaměřené na vaši organizaci. Microsoft Defender for Identity umožňuje analytikům secOp a odborníkům na zabezpečení, kteří se snaží detekovat pokročilé útoky v hybridních prostředích, aby:
- Monitorování uživatelů, chování entit a aktivit pomocí analýz založených na učení
- Ochrana identit uživatelů a přihlašovacích údajů uložených v Active Directory
- Identifikace a zkoumání podezřelých aktivit uživatelů a pokročilých útoků v rámci řetězu kill
- Poskytnutí jasných informací oincidentch
Další informace najdete v dokumentaci Microsoft Sentinel >.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Microsoft Defender pro IoT
Podporováno společností:Microsoft Corporation
Získejte přehled o zabezpečení IoT připojením výstrah Microsoft Defender for IoT k Microsoft Sentinel. Můžete získat přehledné metriky a data upozornění, včetně trendů výstrah, hlavních výstrah a rozpisu výstrah podle závažnosti. Můžete také získat informace o doporučeních poskytovaných pro vaše centra IoT, včetně hlavních doporučení a doporučení podle závažnosti. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Microsoft Defender pro Office 365 (Preview)
Podporováno společností:Microsoft Corporation
Microsoft Defender for Office 365 chrání vaši organizaci před škodlivými hrozbami, které představují e-mailové zprávy, odkazy (adresy URL) a nástroje pro spolupráci. Když do Microsoft Sentinel ingestujete Microsoft Defender for Office 365 výstrahy, můžete do širší analýzy rizik začlenit informace o hrozbách založených na e-mailu a adresÁCH URL a odpovídajícím způsobem vytvářet scénáře reakce.
Importují se následující typy výstrah:
- Zjistilo se potenciálně škodlivé kliknutí na adresu URL.
- E-mailové zprávy obsahující malware odebrané po doručení
- E-mailové zprávy obsahující adresy URL phish odebrané po doručení
- E-mail nahlášený uživatelem jako malware nebo phish
- Zjištěné vzory podezřelého odesílání e-mailů
- Uživatel omezil odesílání e-mailů
Tyto výstrahy můžou vidět zákazníci Office v Centru zabezpečení a dodržování předpisů Office**.
Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Microsoft Defender Analýza hrozeb
Podporováno společností:Microsoft Corporation
Microsoft Sentinel poskytuje možnost importovat analýzu hrozeb vygenerovanou Microsoftem, která umožňuje monitorování, upozorňování a proaktivního vyhledávání. Tento datový konektor slouží k importu indikátorů ohrožení zabezpečení (IOC) z Microsoft Defender analýzy hrozeb (MDTI) do Microsoft Sentinel. Indikátory hrozeb můžou zahrnovat IP adresy, domény, adresy URL a hodnoty hash souborů atd.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Microsoft Defender XDR
Podporováno společností:Microsoft Corporation
Microsoft Defender XDR je jednotná, nativně integrovaná, předem a po porušení zabezpečení enterprise defense suite, která chrání koncový bod, identitu, e-mail a aplikace a pomáhá zjišťovat, bránit, vyšetřovat a automaticky reagovat na sofistikované hrozby.
Sada Microsoft Defender XDR zahrnuje:
- Microsoft Defender for Endpoint (ochrana koncových bodů)
- Microsoft Defender for Identity
- Microsoft Defender pro Office 365
- Správa hrozeb a ohrožení zabezpečení
- Microsoft Defender pro cloudové aplikace
Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityIncident |
Ano | Ano |
SecurityAlert |
Ano | Ano |
DeviceEvents |
Ano | Ano |
EmailEvents |
Ano | Ano |
IdentityLogonEvents |
Ano | Ano |
CloudAppEvents |
Ano | Ano |
AlertEvidence |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Microsoft Entra ID
Podporováno společností:Microsoft Corporation
Získejte přehled o Microsoft Entra ID připojením protokolů auditu a přihlašování k Microsoft Sentinel a získejte přehledy o Microsoft Entra ID scénářích. Informace o využití aplikací, zásadách podmíněného přístupu a starších verzích ověřování najdete v našich protokolech přihlašování. Informace o využití samoobslužného resetování hesla (SSPR) můžete získat Microsoft Entra ID aktivity správy, jako je uživatel, skupina, role, správa aplikací, pomocí tabulky protokolů auditu. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SigninLogs |
Ano | Ano |
AuditLogs |
Ano | Ano |
AADNonInteractiveUserSignInLogs |
Ano | Ano |
AADServicePrincipalSignInLogs |
Ano | Ano |
AADManagedIdentitySignInLogs |
Ano | Ano |
AADProvisioningLogs |
Ano | Ano |
ADFSSignInLogs |
Ano | Ano |
AADUserRiskEvents |
Ano | Ano |
AADRiskyUsers |
Ano | Ano |
NetworkAccessTraffic |
Ano | Ano |
AADRiskyServicePrincipals |
Ano | Ano |
AADServicePrincipalRiskEvents |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Microsoft Entra ID Prostředky
Podporováno společností:Microsoft Corporation
Datový konektor assetů Entra ID poskytuje bohatší přehled o datech aktivit doplněním podrobností o informacích o aktivech. Data z tohoto konektoru slouží k vytváření grafů rizik dat v Purview. Pokud jste tyto grafy povolili, deaktivace tohoto konektoru zabrání vytváření grafů. Seznamte se s grafem rizik dat.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Microsoft Entra ID Protection
Podporováno společností:Microsoft Corporation
Microsoft Entra ID Protection poskytuje konsolidované zobrazení rizikových uživatelů, rizikových událostí a ohrožení zabezpečení s možností okamžité nápravy rizika a nastavení zásad pro automatické nápravy budoucích událostí. Tato služba je založená na zkušenostech Microsoftu s ochranou identit uživatelů a získává obrovskou přesnost od signálu z více než 13 miliard přihlášení denně. Integrujte upozornění Microsoft Microsoft Entra ID Protection s Microsoft Sentinel, abyste mohli zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Další informace najdete v dokumentaci Microsoft Sentinel .
Získání Microsoft Entra ID Premium P1/P2
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Microsoft Exchange Protokoly auditu správce podle protokolů událostí
Podporuje:Community
[Možnost 1] – Použití agenta Azure Monitor – Všechny události auditu Exchange můžete streamovat z Windows počítačů připojených k pracovnímu prostoru Microsoft Sentinel pomocí agenta Windows. Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Používá Microsoft Exchange sešity zabezpečení k poskytování přehledů zabezpečení místního prostředí Exchange.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Event |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Log Analytics budou zastaralé, pokud chcete shromažďovat data z jiných než Azure virtuálních počítačů, doporučujeme Azure Arc. Další informace
-
Podrobná dokumentace: > Podrobná dokumentace k postupu instalace a použití najdete tady.
Microsoft Exchange protokoly proxy serveru HTTP
Podporuje:Community
[Možnost 7] – Použití agenta Azure Monitor – Protokoly proxy serveru HTTP a protokoly událostí zabezpečení můžete streamovat z počítačů Windows připojených k pracovnímu prostoru Microsoft Sentinel pomocí agenta Windows. Toto připojení umožňuje vytvářet vlastní výstrahy a vylepšovat šetření. Další informace
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ExchangeHttpProxy_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Log Analytics budou zastaralé: Azure Log Analytics bude zastaralé, pokud chcete shromažďovat data z virtuálních počítačů, které nejsou Azure, doporučujeme Azure Arc. Další informace
-
Podrobná dokumentace: > Podrobná dokumentace k postupu instalace a použití najdete tady.
Microsoft Exchange Protokoly a události
Podporuje:Community
[Možnost 2] – Použití agenta Azure Monitor – Můžete streamovat všechna zabezpečení a zabezpečení Exchange. Protokoly událostí aplikace z počítačů Windows připojených k pracovnímu prostoru Microsoft Sentinel pomocí agenta Windows. Toto připojení umožňuje vytvářet vlastní výstrahy a vylepšovat šetření.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Event |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Log Analytics budou zastaralé: Azure Log Analytics bude zastaralé, pokud chcete shromažďovat data z virtuálních počítačů, které nejsou Azure, doporučujeme Azure Arc. Další informace
-
Podrobná dokumentace: > Podrobná dokumentace k postupu instalace a použití najdete tady.
Microsoft Exchange protokoly sledování zpráv
Podporuje:Community
[Možnost 6] – Pomocí agenta Azure Monitor – Pomocí agenta Windows můžete streamovat všechna sledování zpráv Exchange ze Windows počítačů připojených k pracovnímu prostoru Microsoft Sentinel. Tyto protokoly je možné použít ke sledování toku zpráv ve vašem prostředí Exchange. Tento datový konektor vychází z možnosti 6 wikiwebu zabezpečení Microsoft Exchange zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
MessageTrackingLog_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Log Analytics budou zastaralé: Azure Log Analytics bude zastaralé, pokud chcete shromažďovat data z virtuálních počítačů, které nejsou Azure, doporučujeme Azure Arc. Další informace
-
Podrobná dokumentace: > Podrobná dokumentace k postupu instalace a použití najdete tady.
Microsoft Power Automate
Podporováno společností:Microsoft Corporation
Power Automate je služba Microsoftu, která uživatelům pomáhá vytvářet automatizované pracovní postupy mezi aplikacemi a službami k synchronizaci souborů, získávání oznámení, shromažďování dat a další. Zjednodušuje automatizaci úloh, zvyšuje efektivitu tím, že snižuje ruční, opakující se úkoly a zvyšuje produktivitu. Datový konektor Power Automate poskytuje možnost ingestovat protokoly aktivit Power Automate z protokolu Microsoft Purview Audit do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
PowerAutomateActivity |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Oprávnění tenanta: Správce zabezpečení nebo Globální správce v tenantovi pracovního prostoru.
-
Micorosft Purview Audit: musí být aktivován Microsoft Purview Audit (Standard nebo Premium).
Microsoft Power Platform Aktivita správce
Podporováno společností:Microsoft Corporation
Microsoft Power Platform je sada s minimem kódu nebo bez kódu, která vývojářům umožňuje zjednodušit obchodní procesy tím, že umožňuje vytvářet vlastní aplikace, automatizaci pracovních postupů a analýzu dat s minimálním kódováním. Datový konektor pro správu Power Platform poskytuje možnost ingestovat protokoly aktivit správce Power Platform z protokolu auditu Microsoft Purview do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
PowerPlatformAdminActivity |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Oprávnění tenanta: Správce zabezpečení nebo Globální správce v tenantovi pracovního prostoru.
-
Micorosft Purview Audit: musí být aktivován Microsoft Purview Audit (Standard nebo Premium).
Microsoft PowerBI
Podporováno společností:Microsoft Corporation
Microsoft PowerBI je kolekce softwarových služeb, aplikací a konektorů, které spolupracují a umožňují přeměnit nesouvisející zdroje dat na koherentní, vizuálně imerzivní a interaktivní přehledy. Data můžou být excelová tabulka, kolekce cloudových a místních hybridních datových skladů nebo úložiště dat jiného typu. Tento konektor umožňuje streamovat protokoly auditu PowerBI do Microsoft Sentinel, což vám umožní sledovat aktivity uživatelů ve vašem prostředí PowerBI. Data auditu můžete filtrovat podle rozsahu dat, uživatele, řídicího panelu, sestavy, datové sady a typu aktivity.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
PowerBIActivity |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Microsoft Project
Podporováno společností:Microsoft
Microsoft Project (MSP) je softwarové řešení pro řízení projektů. V závislosti na plánu vám Microsoft Project umožňuje plánovat projekty, přiřazovat úkoly, spravovat zdroje, vytvářet sestavy a provádět další akce. Tento konektor umožňuje streamovat protokoly auditu Azure Projectu do Microsoft Sentinel, aby bylo možné sledovat aktivity projektu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ProjectActivity |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Microsoft Purview
Podporováno společností:Microsoft Corporation
Připojte se k Microsoft Purview, abyste umožnili rozšiřování citlivosti dat Microsoft Sentinel. Protokoly klasifikace dat a popisků citlivosti z Microsoft Purview kontrol je možné ingestovat a vizualizovat prostřednictvím sešitů, analytických pravidel a dalších. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
PurviewDataSensitivityLogs |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Microsoft Purview Information Protection
Podporováno společností:Microsoft Corporation
Microsoft Purview Information Protection vám pomůže zjišťovat, klasifikovat, chránit a řídit citlivé informace bez ohledu na to, kde se nachází nebo cestuje. Díky těmto možnostem můžete znát svá data, identifikovat citlivé položky a získat přehled o tom, jak se používají k lepší ochraně dat. Popisky citlivosti jsou základní schopností, která poskytuje akce ochrany, použití šifrování, omezení přístupu a vizuální označení. Integrujte protokoly Microsoft Purview Information Protection s Microsoft Sentinel, abyste mohli zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
MicrosoftPurviewInformationProtection |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Audit mimecastu
Podporuje:Mimecast
Datový konektor pro Mimecast Audit poskytuje zákazníkům přehled o událostech zabezpečení souvisejících s událostmi auditu a ověřování v rámci Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které analytikům umožňují zobrazit přehled o aktivitách uživatelů, pomoct korelaci incidentů a zkrátit dobu odezvy šetření v kombinaci s vlastními možnostmi upozornění.
Produkty Mimecast zahrnuté v konektoru jsou: Audit
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Audit_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Předplatné: k registraci aplikace ve Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků se vyžaduje Azure předplatné s rolí vlastníka.
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Další informace o rozhraní API najdete v dokumentaci k referenčním informacím k rozhraní REST API.
Podporuje:Mimecast
Datový konektor pro
Produkty Mimecast zahrnuté v konektoru jsou: Audit a ověřování
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
MimecastAudit_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Přihlašovací údaje rozhraní MIMEcast API: Ke konfiguraci integrace musíte mít následující informace:
- mimecastEmail: E-mailová adresa vyhrazeného uživatele správce Mimecast
- mimecastPassword: Heslo pro vyhrazeného uživatele správce Mimecast
- mimecastAppId: ID aplikace API mimecast Microsoft Sentinel aplikace zaregistrované pomocí Mimecastu
- mimecastAppKey: Klíč aplikace API mimecast Microsoft Sentinel aplikace zaregistrované pomocí Mimecastu
- mimecastAccessKey: Přístupový klíč pro vyhrazeného uživatele správce Mimecast
- mimecastSecretKey: Tajný klíč pro vyhrazeného uživatele správce Mimecast
- mimecastBaseURL: Regionální adresa URL základního rozhraní API Mimecast
ID aplikace Mimecast, klíč aplikace spolu s přístupovým klíčem a tajnými klíči pro vyhrazeného uživatele správce Mimecast lze získat prostřednictvím konzoly pro správu Mimecast: Správa | Služby | Integrace rozhraní API a platformy
Základní adresa URL rozhraní API Mimecast pro každou oblast je zdokumentovaná tady: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Skupina prostředků: Musíte mít vytvořenou skupinu prostředků s předplatným, které budete používat.
- Funkční aplikace: Abyste mohli tento konektor používat, musíte mít zaregistrovanou Azure App.
- ID aplikace
- ID nájemce
- ID klienta
- Tajný klíč klienta
Školení pro zvyšování povědomí o mimecastu
Podporuje:Mimecast
Datový konektor pro Trénování povědomí o služběMimecast poskytuje zákazníkům přehled o událostech zabezpečení souvisejících s technologiemi kontroly cílené ochrany před internetovými útoky v rámci Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které analytikům umožňují zobrazit přehled o e-mailových hrozbách, pomoct korelaci incidentů a zkrátit dobu odezvy šetření ve spojení s vlastními možnostmi upozornění.
Produkty Mimecast zahrnuté v konektoru jsou:
- Podrobnosti o výkonu
- Podrobnosti o bezpečném skóre
- Uživatelská data
- Podrobnosti seznamu ke zhlédnutí
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Awareness_Performance_Details_CL |
Ano | Ano |
Awareness_SafeScore_Details_CL |
Ano | Ano |
Awareness_User_Data_CL |
Ano | Ano |
Awareness_Watchlist_Details_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Předplatné: k registraci aplikace ve Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků se vyžaduje Azure předplatné s rolí vlastníka.
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Další informace o rozhraní API najdete v dokumentaci k referenčním informacím k rozhraní REST API.
Integrovaný cloud Mimecast
Podporuje:Mimecast
Datový konektor pro Mimecast Cloud Integrated poskytuje zákazníkům přehled o událostech zabezpečení souvisejících s technologiemi integrované kontroly cloudu v rámci Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které analytikům umožňují zobrazit přehled o e-mailových hrozbách, pomoct korelaci incidentů a zkrátit dobu odezvy šetření ve spojení s vlastními možnostmi upozornění.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Cloud_Integrated_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Předplatné: k registraci aplikace ve Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků se vyžaduje Azure předplatné s rolí vlastníka.
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Další informace o rozhraní API najdete v dokumentaci k referenčním informacím k rozhraní REST API.
Mimecast Intelligence for Microsoft – Microsoft Sentinel (pomocí Azure Functions)
Podporuje:Mimecast
Datový konektor mimecast Intelligence pro Microsoft poskytuje regionální analýzy hrozeb kurátorované z technologií kontroly e-mailů Mimecastu s předem vytvořenými řídicími panely, které analytikům umožňují zobrazit přehled o e-mailových hrozbách, pomoct korelaci incidentů a zkrátit dobu odezvy šetření.
Požadované produkty a funkce Mimecast:
- Zabezpečená e-mailová brána Mimecast
- Analýza hrozeb Mimecast
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Přihlašovací údaje rozhraní MIMEcast API: Ke konfiguraci integrace musíte mít následující informace:
- mimecastEmail: E-mailová adresa vyhrazeného uživatele správce Mimecast
- mimecastPassword: Heslo pro vyhrazeného uživatele správce Mimecast
- mimecastAppId: ID aplikace API mimecast Microsoft Sentinel aplikace zaregistrované pomocí Mimecastu
- mimecastAppKey: Klíč aplikace API mimecast Microsoft Sentinel aplikace zaregistrované pomocí Mimecastu
- mimecastAccessKey: Přístupový klíč pro vyhrazeného uživatele správce Mimecast
- mimecastSecretKey: Tajný klíč pro vyhrazeného uživatele správce Mimecast
- mimecastBaseURL: Regionální adresa URL základního rozhraní API Mimecast
ID aplikace Mimecast, klíč aplikace spolu s přístupovým klíčem a tajnými klíči pro vyhrazeného uživatele správce Mimecast lze získat prostřednictvím konzoly pro správu Mimecast: Správa | Služby | Integrace rozhraní API a platformy
Základní adresa URL rozhraní API Mimecast pro každou oblast je zdokumentovaná tady: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Skupina prostředků: Musíte mít vytvořenou skupinu prostředků s předplatným, které budete používat.
- Funkční aplikace: Abyste mohli tento konektor používat, musíte mít zaregistrovanou Azure App.
- ID aplikace
- ID nájemce
- ID klienta
- Tajný klíč klienta
Zabezpečená e-mailová brána Mimecast
Podporuje:Mimecast
Datový konektor pro zabezpečené e-mailové brány Mimecast umožňuje snadné shromažďování protokolů z zabezpečené brány e-mailu, aby se v rámci Microsoft Sentinel mohli snadno připojit k přehledům e-mailů a aktivitám uživatelů. Datový konektor poskytuje předem vytvořené řídicí panely, které analytikům umožňují zobrazit přehled o e-mailových hrozbách, pomoct korelaci incidentů a zkrátit dobu odezvy šetření ve spojení s vlastními možnostmi upozornění. Požadované produkty a funkce Mimecast:
- Cloudová brána Mimecast
- Prevence úniku dat mimecastu
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Seg_Cg_CL |
Ano | Ano |
Seg_Dlp_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Předplatné: k registraci aplikace ve Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků se vyžaduje Azure předplatné s rolí vlastníka.
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Další informace o rozhraní API najdete v dokumentaci k referenčním informacím k rozhraní REST API.
Mimecast Secure Email Gateway (pomocí Azure Functions)
Podporuje:Mimecast
Datový konektor pro zabezpečené e-mailové brány Mimecast umožňuje snadné shromažďování protokolů z zabezpečené brány e-mailu, aby se v rámci Microsoft Sentinel mohli snadno připojit k přehledům e-mailů a aktivitám uživatelů. Datový konektor poskytuje předem vytvořené řídicí panely, které analytikům umožňují zobrazit přehled o e-mailových hrozbách, pomoct korelaci incidentů a zkrátit dobu odezvy šetření ve spojení s vlastními možnostmi upozornění. Požadované produkty a funkce Mimecast:
- Zabezpečená e-mailová brána Mimecast
- Prevence úniku dat mimecastu
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
MimecastSIEM_CL |
Ne | Ne |
MimecastDLP_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Přihlašovací údaje rozhraní MIMEcast API: Ke konfiguraci integrace musíte mít následující informace:
- mimecastEmail: E-mailová adresa vyhrazeného uživatele správce Mimecast
- mimecastPassword: Heslo pro vyhrazeného uživatele správce Mimecast
- mimecastAppId: ID aplikace API mimecast Microsoft Sentinel aplikace zaregistrované pomocí Mimecastu
- mimecastAppKey: Klíč aplikace API mimecast Microsoft Sentinel aplikace zaregistrované pomocí Mimecastu
- mimecastAccessKey: Přístupový klíč pro vyhrazeného uživatele správce Mimecast
- mimecastSecretKey: Tajný klíč pro vyhrazeného uživatele správce Mimecast
- mimecastBaseURL: Regionální adresa URL základního rozhraní API Mimecast
ID aplikace Mimecast, klíč aplikace spolu s přístupovým klíčem a tajnými klíči pro vyhrazeného uživatele správce Mimecast lze získat prostřednictvím konzoly pro správu Mimecast: Správa | Služby | Integrace rozhraní API a platformy
Základní adresa URL rozhraní API Mimecast pro každou oblast je zdokumentovaná tady: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Skupina prostředků: Musíte mít vytvořenou skupinu prostředků s předplatným, které budete používat.
- Funkční aplikace: Abyste mohli tento konektor používat, musíte mít zaregistrovanou Azure App.
- ID aplikace
- ID nájemce
- ID klienta
- Tajný klíč klienta
Cílová ochrana před internetovými útoky Mimecast
Podporuje:Mimecast
Datový konektor pro Mimecast Targeted Threat Protection poskytuje zákazníkům přehled o událostech zabezpečení souvisejících s technologiemi kontroly cílené ochrany před internetovými útoky v rámci Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které analytikům umožňují zobrazit přehled o e-mailových hrozbách, pomoct korelaci incidentů a zkrátit dobu odezvy šetření ve spojení s vlastními možnostmi upozornění.
Produkty Mimecast zahrnuté v konektoru jsou:
- Ochrana adresy URL
- Ochrana zosobnění
- Ochrana přílohy
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Ttp_Url_CL |
Ano | Ano |
Ttp_Attachment_CL |
Ano | Ano |
Ttp_Impersonation_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Předplatné: k registraci aplikace ve Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků se vyžaduje Azure předplatné s rolí vlastníka.
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Další informace o rozhraní API najdete v dokumentaci k referenčním informacím k rozhraní REST API.
Násměrová ochrana před internetovými útoky (pomocí Azure Functions)
Podporuje:Mimecast
Datový konektor pro Mimecast Targeted Threat Protection poskytuje zákazníkům přehled o událostech zabezpečení souvisejících s technologiemi kontroly cílené ochrany před internetovými útoky v rámci Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které analytikům umožňují zobrazit přehled o e-mailových hrozbách, pomoct korelaci incidentů a zkrátit dobu odezvy šetření ve spojení s vlastními možnostmi upozornění.
Produkty Mimecast zahrnuté v konektoru jsou:
- Ochrana adresy URL
- Ochrana zosobnění
- Ochrana přílohy
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
MimecastTTPUrl_CL |
Ne | Ne |
MimecastTTPAttachment_CL |
Ne | Ne |
MimecastTTPImpersonation_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Přihlašovací údaje nebo oprávnění rozhraní REST API: Abyste mohli nakonfigurovat integraci, musíte mít následující informace:
- mimecastEmail: E-mailová adresa vyhrazeného uživatele správce Mimecast
- mimecastPassword: Heslo pro vyhrazeného uživatele správce Mimecast
- mimecastAppId: ID aplikace API mimecast Microsoft Sentinel aplikace zaregistrované pomocí Mimecastu
- mimecastAppKey: Klíč aplikace API mimecast Microsoft Sentinel aplikace zaregistrované pomocí Mimecastu
- mimecastAccessKey: Přístupový klíč pro vyhrazeného uživatele správce Mimecast
- mimecastSecretKey: Tajný klíč pro vyhrazeného uživatele správce Mimecast
- mimecastBaseURL: Regionální adresa URL základního rozhraní API Mimecast
ID aplikace Mimecast, klíč aplikace spolu s přístupovým klíčem a tajnými klíči pro vyhrazeného uživatele správce Mimecast lze získat prostřednictvím konzoly pro správu Mimecast: Správa | Služby | Integrace rozhraní API a platformy
Základní adresa URL rozhraní API Mimecast pro každou oblast je zdokumentovaná tady: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
MISP2Sentinel
Podporuje:Community
Toto řešení nainstaluje konektor MISP2Sentinel, který umožňuje automaticky odesílat indikátory hrozeb z programu MISP do Microsoft Sentinel prostřednictvím rozhraní REST API pro nahrání indikátorů. Po instalaci řešení nakonfigurujte a povolte tento datový konektor podle pokynů v zobrazení správa řešení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Protokoly MongoDB Atlas
Podporuje:MongoDB
Konektor MongoDBAtlas Logs poskytuje možnost nahrát protokoly databáze MongoDB Atlas do Microsoft Sentinel prostřednictvím rozhraní MongoDB Atlas Administration API. Pro více informací se podívejte do dokumentace API . Konektor umožňuje získat řadu databázových logovacích zpráv pro specifikované hostitele a projekty.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
MDBALogTable_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Vyžaduje se ID klienta účtu služby MongoDB Atlas a tajný klíč klienta . Další informace najdete v tématu Vytvoření účtu služby.
MuleSoft CloudHub (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Datový konektor MuleSoft CloudHub poskytuje možnost načítat protokoly z aplikací CloudHub pomocí rozhraní API Cloudhubu a další události do Microsoft Sentinel prostřednictvím rozhraní REST API. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
MuleSoft_Cloudhub_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Pro volání rozhraní API rozhraní API se vyžadují přihlašovací údaje a oprávnění rozhraní REST API: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername a MuleSoftPassword.
Ochrana NC
Podporováno:archTIS
NC Protect Data Connector (archtis.com) poskytuje možnost ingestovat protokoly aktivit uživatelů a události do Microsoft Sentinel. Konektor poskytuje přehled o protokolech a událostech aktivit uživatele NC Protect v Microsoft Sentinel za účelem zlepšení možností monitorování a vyšetřování.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
NCProtectUAL_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Ochrana síťového adaptéru: Musíte mít spuštěnou instanci nc Protect pro O365.
Kontaktujte nás prosím.
Netskope – výstrahy a události
Podporuje:Netskope
Netskope – výstrahy a události zabezpečení
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
NetskopeAlerts_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Adresa URL organizace Netskope: Datový konektor Netskope vyžaduje, abyste zadali adresu URL vaší organizace. Adresu URL vaší organizace najdete tak, že se přihlásíte k portálu Netskope.
-
Klíč rozhraní Netskope API: Datový konektor Netskope vyžaduje, abyste zadali platný klíč rozhraní API. Můžete ji vytvořit podle dokumentace k Netskope.
Datový konektor Netskope
Podporuje:Netskope
Datový konektor Netskope poskytuje následující možnosti:
- NetskopeToAzureStorage :
- Získejte data výstrah a událostí Netskope z Netskope a ingestování do Azure úložiště. 2. StorageToSentinel :
- Získejte data výstrah a událostí Netskope z úložiště Azure a ingestování do vlastní tabulky protokolů v pracovním prostoru služby Log Analytics. 3. WebTxMetrics :
- Získejte data WebTxMetrics z Netskope a ingestování do vlastní tabulky protokolů v pracovním prostoru služby Log Analytics.
Další podrobnosti o rozhraních REST API najdete v následujících dokumentech:
- Dokumentace k rozhraní Netskope API:
https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/ 2. Azure dokumentaci k úložišti: /azure/storage/common/storage-introduction 3. Dokumentace k analýze protokolů Microsoftu: /azure/azure-monitor/logs/log-analytics-overview
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
alertscompromisedcredentialdata_CL |
Ne | Ne |
alertsctepdata_CL |
Ne | Ne |
alertsdlpdata_CL |
Ne | Ne |
alertsmalsitedata_CL |
Ne | Ne |
alertsmalwaredata_CL |
Ne | Ne |
alertspolicydata_CL |
Ne | Ne |
alertsquarantinedata_CL |
Ne | Ne |
alertsremediationdata_CL |
Ne | Ne |
alertssecurityassessmentdata_CL |
Ne | Ne |
alertsubadata_CL |
Ne | Ne |
eventsapplicationdata_CL |
Ne | Ne |
eventsauditdata_CL |
Ne | Ne |
eventsconnectiondata_CL |
Ne | Ne |
eventsincidentdata_CL |
Ne | Ne |
eventsnetworkdata_CL |
Ne | Ne |
eventspagedata_CL |
Ne | Ne |
Netskope_WebTx_metrics_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Azure Předplatné: k registraci aplikace ve azure active directory() a přiřazení role přispěvatele k aplikaci ve skupině prostředků se vyžaduje Azure předplatné s rolí vlastníka.
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se tenant Netskope a token rozhraní Netskope API . Další informace o rozhraní API v referenčních informacích k rozhraní REST API najdete v dokumentaci.
Netskope Web Transactions Data Connector
Podporuje:Netskope
Datový konektor Netskope Web Transactions poskytuje funkce image Dockeru pro načtení dat Netskope Web Transactions z google pubsublite, zpracování dat a ingestování zpracovaných dat do Log Analytics. V rámci tohoto datového konektoru se vytvoří dvě tabulky v Log Analytics, jedna pro data webových transakcí a další pro chyby, ke kterým došlo během provádění.
Další podrobnosti týkající se webových transakcí najdete v následující dokumentaci:
- Dokumentace k webovým transakcím Netskope:
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
NetskopeWebtxData_CL |
Ne | Ne |
NetskopeWebtxErrors_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Azure Předplatné: k registraci aplikace ve Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků se vyžaduje Azure předplatné s rolí vlastníka.
- Microsoft.Compute permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure virtuálních počítačů. Další informace najdete v tématu Azure virtuální počítače.
- Přihlašovací údaje a oprávnění TransactionEvents: Vyžaduje se tenant Netskope a token rozhraní Netskope API . Další informace naleznete v tématu Události transakcí.
-
Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
Skupiny zabezpečení sítě
Podporováno společností:Microsoft Corporation
Azure skupiny zabezpečení sítě (NSG) umožňují filtrovat síťový provoz do a z Azure prostředků ve Azure virtuální síti. Skupina zabezpečení sítě zahrnuje pravidla, která povolují nebo zakazují provoz do podsítě virtuální sítě, síťového rozhraní nebo obojího.
Když povolíte protokolování pro skupinu zabezpečení sítě, můžete shromáždit následující typy informací protokolu prostředků:
- Událost: Položky jsou protokolovány, pro které se pravidla NSG použijí na virtuální počítače na základě adresy MAC.
- Čítač pravidla: Obsahuje položky pro to, kolikrát se každé pravidlo NSG použije k odepření nebo povolení provozu. Stav těchto pravidel se shromažďuje každých 300 sekund.
Tento konektor umožňuje streamovat diagnostické protokoly NSG do Microsoft Sentinel a umožňuje nepřetržitě monitorovat aktivitu ve všech vašich instancích. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
NordPass
Podporováno:NordPass
Integrace NordPassu s Microsoft Sentinel SIEM prostřednictvím rozhraní API vám umožní automaticky přenášet data protokolu aktivit z NordPassu do Microsoft Sentinel a získávat přehledy v reálném čase, jako je aktivita položky, všechny pokusy o přihlášení a oznámení o zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
NordPassEventLogs_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Ujistěte se, že se vytvoří skupina resource a pracovní prostor Log Analytics a nachází se ve stejné oblasti, abyste mohli nasadit Azure Functions.
- Přidat Microsoft Sentinel do vytvořeného pracovního prostoru Log Analytics.
- Vygenerujte adresu URL a token rozhraní API Microsoft Sentinel na panelu pro správu NordPass a dokončete integraci Azure Functions. Upozorňujeme, že k tomu budete potřebovat účet NordPass Enterprise.
-
Important: Tento konektor používá Azure Functions k načtení protokolů aktivit z NordPassu do Microsoft Sentinel. To může vést k dalším nákladům na příjem dat. Další informace najdete na stránce s cenami Azure Functions.
Konektor Obsidian Datasharing
Podporováno:Obsidian Security
Konektor Obsidian Datasharing poskytuje možnost číst nezpracovaná data událostí z Obsidian Datasharing v Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ObsidianActivity_CL |
Ne | Ne |
ObsidianThreat_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje roli vývojáře aplikace Entra ID nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role Vydavatele metrik monitorování u pravidla shromažďování dat (DCR). Obvykle vyžaduje roli vlastníka RBAC nebo správce uživatelských přístupů Azure.
Jednotné přihlašování okta
Podporováno společností:Microsoft Corporation
Datový konektor Okta Single Sign-On (SSO) poskytuje možnost ingestovat protokoly auditu a událostí z rozhraní API protokolu Okta Sysem do Microsoft Sentinel. Datový konektor je založený na rozhraní Microsoft Sentinel Codeless Connector Framework a k načtení událostí používá rozhraní API protokolu systému Okta. Konektor podporuje transformace času příjmu dat založené na DCR, které analyzují přijatá data událostí zabezpečení do vlastních sloupců, aby je dotazy nemusely znovu analyzovat, což vede k lepšímu výkonu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
OktaSSO |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Token rozhraní API Okta: Token rozhraní API Okta. Podle následujících pokynů vytvořte dokumentaci k rozhraní OKTA System Log API.
Okta Single Sign-On (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Konektor Okta single Sign-On (SSO) poskytuje možnost ingestovat protokoly auditu a událostí z rozhraní OKta API do Microsoft Sentinel. Konektor poskytuje přehled o těchto typech protokolů v Microsoft Sentinel k zobrazení řídicích panelů, vytváření vlastních upozornění a ke zlepšení možností monitorování a vyšetřování.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Okta_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API Okta: Vyžaduje se token rozhraní API Okta. Další informace o rozhraní OKta System Log API najdete v dokumentaci.
Podporuje:Onapsis
Posílení zabezpečení týmů s hlubokým přehledem o jedinečném zneužití, nulovém dni a aktivitě aktéra hrozeb; podezřelé chování uživatele nebo člena programu Insider; stahování citlivých údajů; porušení bezpečnostních kontrol; a další – vše obohacené odborníky SAP v Onapsis.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Onapsis_Defend_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje roli vývojáře aplikace Entra ID nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele metrik monitorování pro pravidla shromažďování dat. Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
OneLogin IAM Platform (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor OneLogin poskytuje možnost ingestovat běžné události platformy IAM IAM OneLogin do Microsoft Sentinel prostřednictvím rozhraní REST API pomocí rozhraní OneLogin Events API a rozhraní API oneLogin Users API. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
OneLoginEventsV2_CL |
Ano | Ano |
OneLoginUsersV2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Přihlašovací údaje rozhraní API IAM pro OneLogin: Pokud chcete vytvořit přihlašovací údaje rozhraní API, postupujte podle odkazu na dokument uvedený zde, klikněte sem.
Pokud chcete vytvořit přihlašovací údaje rozhraní API, ujistěte se, že máte typ účtu vlastníka nebo správce účtu.
Po vytvoření přihlašovacích údajů rozhraní API získáte ID klienta a tajný klíč klienta.
OneTrust
Podporováno společností:OneTrust, LLC
Konektor OneTrust pro Microsoft Sentinel poskytuje možnost mít téměř v reálném čase přehled o tom, kde se citlivá data nacházejí nebo opravili napříč Google Cloudem a dalšími podporovanými zdroji dat OneTrust.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
OneTrustMetadataV3_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje roli vývojáře aplikace Entra ID nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role Vydavatele metrik monitorování u pravidla shromažďování dat (DCR). Obvykle vyžaduje roli vlastníka RBAC nebo správce uživatelských přístupů Azure.
Open Systems Data Connector
Podporováno:Open Systems
Rozhraní API pro protokoly Open Systems Microsoft Sentinel Connector poskytuje možnost ingestovat protokoly Open Systems do Microsoft Sentinel pomocí rozhraní OPEN Systems Logs API.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
OpenSystemsZtnaLogs_CL |
Ne | Ne |
OpenSystemsFirewallLogs_CL |
Ne | Ne |
OpenSystemsAuthenticationLogs_CL |
Ne | Ne |
OpenSystemsProxyLogs_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Azure Container Apps, dcrs a DCEs: Jsou vyžadována oprávnění k nasazení Azure Container Apps, spravovaných prostředí, pravidel shromažďování dat (DCR) a koncových bodů shromažďování dat (DCE). Obvykle se to vztahuje na roli Přispěvatel v předplatném nebo skupině prostředků.
- Oprávnění přiřazení role: Oprávnění k vytváření přiřazení rolí (konkrétně "Monitoring Metrics Publisher" v řadičích domény) jsou vyžadována pro nasazení uživatele nebo instančního objektu.
- Požádky přihlašovacích údajů pro šablonu ARM: Během nasazení budete muset zadat: koncový bod rozhraní API protokolů open Systems a connection string a přihlašovací údaje instančního objektu (ID klienta, tajný klíč klienta, ID objektu nebo objektu zabezpečení).
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
V případě potřeby vlastní požadavky odstraňte tuto celní značku: Popis všech vlastních požadavků
Oracle Cloud Infrastructure (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor Oracle Cloud Infrastructure (OCI) poskytuje možnost ingestovat protokoly OCI ze služby OCI Stream do Microsoft Sentinel pomocí rozhraní REST API pro streamování OCI.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
OCI_LogsV2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Přístup k rozhraní API streamování OCI: Vyžaduje se přístup k rozhraní API pro streamování OCI prostřednictvím podpisových klíčů rozhraní API.
Výstrahy zabezpečení Orca
Podporováno službou:Orca Security
Konektor Výstrahy zabezpečení orca umožňuje snadno exportovat protokoly výstrah do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
OrcaAlerts_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Palo Alto Cortex XDR
Podporováno společností:Microsoft Corporation
Datový konektor Palo Alto Cortex XDR umožňuje ingestování protokolů z rozhraní PALo Alto Cortex XDR API do Microsoft Sentinel. Datový konektor je založený na rozhraní Microsoft Sentinel Codeless Connector Framework. K načtení protokolů používá rozhraní API Palo Alto Cortex XDR a podporuje transformace času příjmu dat založené na DCR, které analyzují přijatá data zabezpečení do vlastní tabulky, aby dotazy nemusely znovu analyzovat, což vede k lepšímu výkonu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
PaloAltoCortexXDR_Incidents_CL |
Ano | Ano |
PaloAltoCortexXDR_Endpoints_CL |
Ano | Ano |
PaloAltoCortexXDR_Audit_Management_CL |
Ano | Ano |
PaloAltoCortexXDR_Audit_Agent_CL |
Ano | Ano |
PaloAltoCortexXDR_Alerts_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Palo Alto Cortex Xpanse (prostřednictvím architektury konektorů bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor Palo Alto Cortex Xpanse ingestuje výstrahy dat do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CortexXpanseAlerts_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Palo Alto Prisma Cloud CSPM (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor Palo Alto Prisma Cloud CSPM umožňuje připojit se k instanci CSPM cloudu Palo Alto Prisma a ingestování výstrah (https://pan.dev/prisma-cloud/api/cspm/alerts/) a Protokoly auditu (https://pan.dev/prisma-cloud/api/cspm/audit-logs/) do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
PaloAltoPrismaCloudAlertV2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Palo Alto Prisma Cloud CWPP (pomocí rozhraní REST API)
Podporováno společností:Microsoft Corporation
Datový konektor Palo Alto Prisma Cloud CWPP umožňuje připojit se k instanci Palo Alto Prisma Cloud CWPP a ingestovat výstrahy do Microsoft Sentinel. Datový konektor je založený na rozhraní codeless Connector Framework Microsoft Sentinel a používá rozhraní Prisma Cloud API k načtení událostí zabezpečení a podporuje transformace času založeného na dcR ingestace času která parsuje přijatá data událostí zabezpečení do vlastních sloupců, aby dotazy nemusely znovu parsovat, což vede k lepšímu výkonu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
PrismaCloudCompute_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Klíč rozhraní API PrismaCloudCompute: Vyžaduje se uživatelské jméno a heslo rozhraní API monitorování CWPP pro Palo Alto Prisma Cloud. Další informace najdete v tématu PrismaCloudCompute SIEM API.
Pathlock Inc.: Detekce hrozeb a reakce pro SAP
Podporováno společností:Pathlock Inc.
Detekce a reakce na hrozby
Konektor Pathlock je speciálně navržen pro SAP a ve výchozím nastavení přeposílá pouze události relevantní pro bezpečnost, čímž minimalizuje objem dat a šum a zároveň si zachovává flexibilitu přeposílat všechny zdroje logů podle potřeby. Každá událost je rozšířená o kontext podnikové procesy a umožňuje Microsoft Sentinel Řešení pro analýzu SAP rozlišovat provozní vzory od skutečných hrozeb a určovat prioritu skutečně důležitých skutečností.
Tento precizně řízený přístup pomáhá bezpečnostním týmům výrazně snížit počet falešných poplachů, zaměřit vyšetřování a urychlit průměrný čas detekce (MTTD) a střední dobu reakce (MTTR). Knihovna Pathlocku obsahuje více než 1 500 SAP-specifických detekčních signatur napříč 70+ logovými zdroji, řešení odhaluje složité chování útoků, slabiny v konfiguraci a přístupové anomálie.
Kombinací inteligence podnikového kontextu s pokročilou analytikou umožňuje Pathlock podnikům posílit přesnost detekce, zjednodušit reakční akce a udržovat kontinuální kontrolu napříč svými SAP prostředími – bez přidávání složitosti nebo zbytečných monitorovacích vrstev.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ABAPAuditLog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje roli vývojáře aplikace Entra ID nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele metrik monitorování pro pravidla shromažďování dat. Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
Protokoly aktivit hraniční sítě 81
Podporováno:Hraniční síť 81
Konektor Protokoly aktivit perimetru 81 umožňuje snadno propojit protokoly aktivit hraniční sítě 81 s Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Perimeter81_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Fosforová zařízení
Podporováno společností:Fosfor Inc.
Konektor fosforu poskytuje schopnost fosforu ingestovat datové protokoly zařízení do Microsoft Sentinel prostřednictvím rozhraní REST API fosforu. Konektor poskytuje přehled o zařízeních zaregistrovaných v fosforu. Tento datový konektor načítá informace o zařízeních spolu s odpovídajícími výstrahami.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Phosphorus_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se klíč rozhraní API pro fosfor . Ujistěte se, že klíč rozhraní API přidružený k uživateli má povolená oprávnění Spravovat nastavení.
Podle těchto pokynů povolte oprávnění Spravovat nastavení.
- Přihlášení k aplikaci fosforu
- Přejít na Nastavení –> Skupiny
- Vyberte skupinu, ve které je uživatel integrace součástí
- Přejděte na Product Actions (Akce produktu) –> přepněte na oprávnění Spravovat nastavení.
Ping One (přes architekturu konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Tento konektor ingestuje protokoly aktivit audit z platformy PingOne Identity platform do Microsoft Sentinel pomocí architektury Codeless Connector Framework.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
PingOne_AuditActivitiesV2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Datový konektor Prancer
Podporuje:Prancer PenSuiteAI Integration
Datový konektor Prancer nabízí možnost ingestovat prancer (CSPM)[https://docs.prancer.io/web/CSPM/] a PAC zpracovávat prostřednictvím Microsoft Sentinel. Další informace najdete v dokumentaci k aplikaci Prancer .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
prancer_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Pokud připojení vyžaduje, zahrňte vlastní požadavky – jinak odstraňte celní předpisy: Popis pro všechny vlastní požadavky
Premium Microsoft Defender Analýza hrozeb
Podporováno společností:Microsoft Corporation
Microsoft Sentinel poskytuje možnost importovat analýzu hrozeb vygenerovanou Microsoftem, která umožňuje monitorování, upozorňování a proaktivního vyhledávání. Pomocí tohoto datového konektoru můžete do Microsoft Sentinel importovat indikátory ohrožení zabezpečení (IOCS) z úrovně Premium Microsoft Defender Threat Intelligence (MDTI). Indikátory hrozeb můžou zahrnovat IP adresy, domény, adresy URL a hodnoty hash souborů atd. Poznámka: Jedná se o placený konektor. Pokud chcete data používat a ingestovat z ní, kupte si skladovou položku MDTI API Access z Partnerského centra.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Kontrola pravopisu e-mailu na vyžádání (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Proofpoint, Inc.
Konektor Proofpoint On Demand Email Security poskytuje možnost získat data z Proofpoint on Demand Email Protection, umožňuje uživatelům sledovat sledování zpráv, monitorovat e-mailové aktivity, hrozby a únik dat způsobený útočníky a škodlivými vnitřními osobami. Konektor poskytuje možnost rychlejší kontroly událostí ve vaší organizaci a získávání souborů protokolu událostí v hodinových intervalech pro nedávné aktivity.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ProofpointPODMailLog_CL |
Ano | Ano |
ProofpointPODMessage_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Vyžaduje se přihlašovací údaje a oprávnění rozhraní API protokolu Websocket: ProofpointClusterID a ProofpointToken. Další informace najdete v tématu ROZHRANÍ API.
Kontrola pravopisu e-mailu na vyžádání (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Konektor Proofpoint On Demand Email Security poskytuje možnost získat data z Proofpoint on Demand Email Protection, umožňuje uživatelům sledovat sledování zpráv, monitorovat e-mailové aktivity, hrozby a únik dat způsobený útočníky a škodlivými vnitřními osobami. Konektor poskytuje možnost rychlejší kontroly událostí ve vaší organizaci a získávání souborů protokolu událostí v hodinových intervalech pro nedávné aktivity.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ProofpointPODMailLog_CL |
Ano | Ano |
ProofpointPODMessage_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Vyžaduje se přihlašovací údaje a oprávnění rozhraní API protokolu Websocket: ProofpointClusterID a ProofpointToken. Další informace najdete v tématu ROZHRANÍ API.
Proofpoint TAP (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Proofpoint, Inc.
Konektor Proofpoint Targeted Attack Protection (TAP) poskytuje možnost ingestovat protokoly a události TAP proofpointu do Microsoft Sentinel. Konektor poskytuje přehled o událostech zpráv a kliknutí v Microsoft Sentinel k zobrazení řídicích panelů, vytváření vlastních upozornění a ke zlepšení možností monitorování a vyšetřování.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Ano | Ano |
ProofPointTAPMessagesBlockedV2_CL |
Ano | Ano |
ProofPointTAPClicksPermittedV2_CL |
Ano | Ano |
ProofPointTAPClicksBlockedV2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Klíč rozhraní API proofpointu: Instanční objekt rozhraní API proofpoint TAP a tajný kód se vyžaduje pro přístup k rozhraní SIEM API proofpointu. Další informace naleznete v tématu Proofpoint SIEM API.
Proofpoint TAP (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Konektor Proofpoint Targeted Attack Protection (TAP) poskytuje možnost ingestovat protokoly a události TAP proofpointu do Microsoft Sentinel. Konektor poskytuje přehled o událostech zpráv a kliknutí v Microsoft Sentinel k zobrazení řídicích panelů, vytváření vlastních upozornění a ke zlepšení možností monitorování a vyšetřování.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Ano | Ano |
ProofPointTAPMessagesBlockedV2_CL |
Ano | Ano |
ProofPointTAPClicksPermittedV2_CL |
Ano | Ano |
ProofPointTAPClicksBlockedV2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Klíč rozhraní API proofpointu: Instanční objekt rozhraní API proofpoint TAP a tajný kód se vyžaduje pro přístup k rozhraní SIEM API proofpointu. Další informace naleznete v tématu Proofpoint SIEM API.
QscoutAppEventsConnector (prostřednictvím architektury konektoru bez kódu)
Podporuje:Quokka
Ingestování událostí aplikace Qscout do Microsoft Sentinel
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
QscoutAppEvents_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- ID organizace Qscout: Rozhraní API vyžaduje ID vaší organizace v Qscoutu.
-
Klíč rozhraní API organizace Qscout: Rozhraní API vyžaduje klíč rozhraní API vaší organizace v Qscoutu.
KnowledgeBase virtuálního počítačeQualys (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Konektor Správa ohrožení zabezpečení (VM) KnowledgeBase (KB) poskytuje možnost ingestovat nejnovější data ohrožení zabezpečení z znalostní báze Qualys do Microsoft Sentinel.
Tato data se dají použít ke korelaci a obohacení detekcí ohrožení zabezpečení nalezených datovým konektorem Qualys Vulnerability Management (VM).
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
QualysKB_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Klíč rozhraní API Qualys: Vyžaduje se uživatelské jméno a heslo rozhraní API virtuálního počítače Qualys. Další informace najdete v tématu Qualys VM API.
Správa ohrožení zabezpečení Qualys (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor Qualys Vulnerability Management (VM) poskytuje možnost ingestovat data detekce hostitelů ohrožení zabezpečení do Microsoft Sentinel prostřednictvím rozhraní Qualys API. Konektor poskytuje přehled o datech detekce hostitelů z kontrol vulerability.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
QualysHostDetectionV3_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Přístup k rozhraní API a role: Ujistěte se, že uživatel virtuálního počítače Qualys má roli čtenáře nebo vyšší. Pokud je role Čtenář, ujistěte se, že je pro účet povolený přístup k rozhraní API. Role auditora není podporovaná pro přístup k rozhraní API. Další podrobnosti najdete v dokumentu Porovnání rolí uživatelů a rozhraní API pro detekci hostitelů virtuálních počítačů Qualys.
Radiflow iSID přes AMA
Podporováno uživatelem:Radiflow
ISID umožňuje nenarušující monitorování distribuovaných sítí ICS pro změny topologie a chování pomocí více balíčků zabezpečení. Každá nabízí jedinečnou funkci, která se týká určitého typu síťové aktivity.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
RadiflowEvent |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Zprávy správy ohrožení zabezpečení platformy Insight7 (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Datový konektor pro sestavy Náklady Insight poskytuje možnost ingestovat sestavy kontroly a data ohrožení zabezpečení do Microsoft Sentinel prostřednictvím rozhraní REST API z platformy Rapid7 Insight (spravované v cloudu). Další informace najdete v dokumentaci k rozhraní API. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
NexposeInsightVMCloud_assets_CL |
Ne | Ne |
NexposeInsightVMCloud_vulnerabilities_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje rozhraní REST API: Pro rozhraní REST API se vyžaduje klíč InsightVMAPIKey . Další informace najdete v tématu ROZHRANÍ API. Zkontrolujte všechny požadavky a postupujte podle pokynů pro získání přihlašovacích údajů.
Konektor protokolů správy RSA ID Plus
Podporováno týmempodpory RSA
Konektor RSA ID Plus AdminLogs poskytuje možnost ingestovat Události auditu konzoly pro správuCloudu do Microsoft Sentinel pomocí rozhraní API pro správu cloudu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
RSAIDPlus_AdminLogs_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Ověřování rozhraní API RSA ID Plus: Pro přístup k rozhraním API pro správu se vyžaduje platný token JWT s kódováním Base64URL, podepsaný pomocí klíče rozhraní API pro správu starší verze klienta.
Datový konektorRubrik Security Cloud (pomocí Azure Functions)
Podporováno uživatelem:Rubrik
Datový konektor Rubrik Security Cloud umožňuje týmům operací zabezpečení integrovat přehledy ze služeb Pozorování dat Rubrika do Microsoft Sentinel. Mezi přehledy patří identifikace neobvyklého chování systému souborů spojeného s ransomwarem a hromadným odstraněním, vyhodnocení rozsahu dopadu útoku ransomwarem a stanovení priorit pro operace s citlivými daty, aby bylo možné rychleji prozkoumat potenciální incidenty.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Rubrik_Anomaly_Data_CL |
Ano | Ano |
Rubrik_Ransomware_Data_CL |
Ano | Ano |
Rubrik_ThreatHunt_Data_CL |
Ano | Ano |
Rubrik_Events_Data_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
Zabezpečení SaaS
Podporováno službou:Valence Security
Připojí platformu zabezpečení Valence SaaS Azure Log Analytics prostřednictvím rozhraní REST API.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ValenceAlert_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
SailPoint IdentityNow (pomocí Azure Functions)
Podporováno uživatelem:SailPoint
Datový konektor SailPoint IdentityNow umožňuje ingestovat události hledání [SailPoint IdentityNow] do Microsoft Sentinel prostřednictvím rozhraní REST API. Konektor poskytuje zákazníkům možnost extrahovat informace o auditu ze svého tenanta IdentityNow. Cílem je ještě usnadnit přenesení událostí aktivit uživatelů a zásad správného řízení IdentityNow do Microsoft Sentinel ke zlepšení přehledů z vašeho řešení incidentu zabezpečení a monitorování událostí.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SailPointIDN_Events_CL |
Ano | Ano |
SailPointIDN_Triggers_CL |
Ne | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje pro ověřování rozhraní API SailPoint IdentityNow: k ověřování se vyžadují TENANT_ID, CLIENT_ID a CLIENT_SECRET.
Cloud služeb Salesforce (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor cloudových služeb Salesforce poskytuje možnost ingestovat informace o provozních událostech Salesforce do Microsoft Sentinel prostřednictvím rozhraní REST API. Konektor poskytuje možnost kontrolovat události ve vaší organizaci na akcelerovaném základě, získávat soubory protokolu událostí v hodinových přírůstcích po nedávných aktivitách.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SalesforceServiceCloudV2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Přístup ke cloudovému rozhraní API služby Salesforce: Vyžaduje se přístup k rozhraní API cloudu služby Salesforce prostřednictvím připojené aplikace.
Samsung Knox Asset Intelligence
Podporováno společností:Samsung Electronics Co., Ltd.
Datový konektor Samsung Knox Asset Intelligence umožňuje centralizovat události a protokoly mobilního zabezpečení, abyste mohli zobrazit přizpůsobené přehledy pomocí šablony sešitu a identifikovat incidenty na základě šablon analytických pravidel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Samsung_Knox_Audit_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Aplikace Entra: Aplikace Entra musí být zaregistrovaná a zřízená s rolí Vydavatel metrik Microsoftu a nakonfigurována s certifikátem nebo tajným klíčem klienta jako přihlašovacími údaji pro zabezpečený přenos dat. Další informace o vytváření, registraci a konfiguraci přihlašovacích údajů aplikace entra najdete v kurzu ingestování protokolů.
SAP BTP
Podporováno společností:Microsoft Corporation
SAP Business Technology Platform (SAP BTP) spojuje správu dat, analýzu, umělou inteligenci, vývoj aplikací, automatizaci a integraci v jednom sjednocené prostředí.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SAPBTPAuditLog_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
ID klienta a tajný klíč klienta pro rozhraní API pro načítání auditu: Povolení přístupu k rozhraní API v BTP
SAP Enterprise Threat Detection, cloudová edice
Podporuje:SAP
Datový konektor SAP Enterprise Threat Detection, cloud edition (ETD) umožňuje ingestovat výstrahy zabezpečení z ETD do Microsoft Sentinel, podporovat křížovou korelaci, upozorňování a proaktivní vyhledávání hrozeb.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SAPETDAlerts_CL |
Ano | Ano |
SAPETDInvestigations_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
ID klienta a tajný klíč klienta pro rozhraní API pro načítání ETD: Povolení přístupu k rozhraní API v ETD
SAP LogServ (RISE), privátní edice S/4HANA Cloud
Podporuje:SAP
SAP LogServ je služba SAP Enterprise Cloud Services (ECS) zaměřená na shromažďování, ukládání, předávání a přístup k protokolům. LogServ centralizuje protokoly ze všech systémů, aplikací a služeb ECS používaných registrovaným zákazníkem.
Mezi hlavní funkce patří:
Shromažďování protokolů téměř v reálném čase: S možností integrace do Microsoft Sentinel jako řešení SIEM.
LogServ doplňuje stávající monitorování hrozeb aplikační vrstvy SAP a detekce v Microsoft Sentinel typy protokolů vlastněnými SAP ECS jako poskytovatele systému. Patří sem protokoly, jako jsou protokoly auditu zabezpečení SAP (AS ABAP), databáze HANA, AS JAVA, ICM, SAP Web Dispatcher, SAP Cloud Connector, OS, SAP Gateway, databáze třetích stran, síť, DNS, proxy server, brána firewall
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SAPLogServ_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje roli vývojáře aplikace Entra ID nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele metrik monitorování pro pravidla shromažďování dat. Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
SAP S/4HANA Cloud Public Edition
Podporuje:SAP
Datový konektor SAP S/4HANA Cloud Public Edition (GROW s SAP) umožňuje ingestování protokolu auditu zabezpečení SAP do řešení Microsoft Sentinel pro SAP, které podporuje křížovou korelaci, upozorňování a proaktivního vyhledávání hrozeb. Hledáte alternativní mechanismy ověřování? Viz here.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ABAPAuditLog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
ID klienta a tajný klíč klienta pro rozhraní API pro načítání auditu: Povolení přístupu k rozhraní API v BTP
Řešení SecurityBridge pro SAP
Podporováno:SecurityBridge
SecurityBridge vylepšuje zabezpečení SAP bezproblémovou integrací s Microsoft Sentinel a umožňuje monitorování v reálném čase a detekci hrozeb napříč prostředími SAP. Tato integrace umožňuje službě Security Operations Center (SOC) konsolidovat události zabezpečení SAP s jinými organizačními daty, což poskytuje jednotný přehled o oblasti hrozeb . SecurityBridge identifikuje sofistikované způsoby útoku a ohrožení zabezpečení v aplikacích SAP s využitím analýz založených na umělé inteligenci a Copilot zabezpečení od Microsoftu, včetně kontroly kódu ABAP a posouzení konfigurace. Řešení podporuje škálovatelné nasazení napříč komplexními prostředími SAP, ať už místně, v cloudu nebo v hybridních prostředích. Díky přemostění mezer mezi týmy zabezpečení IT a SAP umožňuje SecurityBridge organizacím aktivně zjišťovat, zkoumat hrozby a reagovat na ně, což zvyšuje celkový stav zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ABAPAuditLog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje roli vývojáře aplikace Entra ID nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele metrik monitorování pro pravidla shromažďování dat. Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
Protokoly Blesku semperis
Podporováno uživatelem:Semperis
Konektor Semperis Lightning používá azure Functions k ingestování dat zabezpečení identity Semperis Lightning do Microsoft Sentinelu. Konektor nasadí funkci Azure Functions a shromažďuje data do vlastních tabulek Log Analytics pro účely prošetření a proaktivního vyhledávání hrozeb.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
LightningTier0Nodes_CL |
Ne | Ne |
LightningAttackPaths_CL |
Ne | Ne |
LightningIOEResults_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje rozhraní Semperis Lightning API: Klíč rozhraní Lightning a vybraná zóna (na nebo eu) jsou potřeba k ověření konektoru v systému Semperis Lightning.
SentinelOne
Podporováno společností:Microsoft Corporation
Datový konektor SentinelOne umožňuje ingestování protokolů z rozhraní SENTINELOne API do Microsoft Sentinel. Datový konektor je založený na rozhraní Microsoft Sentinel Codeless Connector Framework. Pomocí rozhraní API SentinelOne načítá protokoly a podporuje transformace času příjmu dat založené na DCR, které analyzují přijatá data zabezpečení do vlastní tabulky, aby je dotazy nemusely znovu analyzovat, což vede k lepšímu výkonu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SentinelOneActivities_CL |
Ano | Ano |
SentinelOneAgents_CL |
Ano | Ano |
SentinelOneGroups_CL |
Ano | Ano |
SentinelOneThreats_CL |
Ano | Ano |
SentinelOneAlerts_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
SentinelOne (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Datový konektor SentinelOne poskytuje možnost ingestovat běžné objekty serveru SentinelOne, jako jsou hrozby, agenti, aplikace, aktivity, zásady, skupiny a další události do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview k rozhraní API. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SentinelOne_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se SentinelOneAPIToken . Podívejte se do dokumentace, kde se dozvíte více o rozhraní API na
https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.
Seraphic Web Security
Podporováno:Seraphic Security
Datový konektor Seraphic Web Security poskytuje možnost ingestovat Seraphic Web Security události a výstrahy do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SeraphicWebSecurity_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Klíč rozhraní APISeraphic: Klíč rozhraní API pro Microsoft Sentinel připojený k vašemu tenantovi Seraphic Web Security. Pokud chcete získat tento klíč rozhraní API pro vašeho tenanta, přečtěte si tuto dokumentaci.
Silverfort Admin Console
Podporováno:Silverfort
Řešení konektoru konzoly pro správu ITDR Silverfort umožňuje příjem událostí Silverfort a přihlášení k Microsoft Sentinel. Silverfort poskytuje události založené na syslogu a protokolování pomocí formátu CEF (Common Event Format). Předáním dat CEF konzoly správce ITDR Silverfort do Microsoft Sentinel můžete využít výhod vyhledávání a korelace, upozorňování a rozšiřování analýzy hrozeb v datech Silverfort. Další informace získáte v dokumentaci k silverfortu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
SlackAudit (prostřednictvím architektury konektorů bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor SlackAudit poskytuje možnost ingestovat protokoly auditu Slack Audit do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SlackAuditV2_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
UserName, SlackAudit API Key & Action Type: Chcete-li vygenerovat přístupový token, vytvořit novou aplikaci ve Slacku, pak přidat potřebné obory a nakonfigurovat adresu URL pro přesměrování. Podrobné pokyny ke generování přístupového tokenu, uživatelského jména a limitu názvu akce najdete na odkazu.
Snowflake (přes architekturu konektorů bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor Snowflake poskytuje možnost ingestovat Snowflake Login History Logs, Query History Logs, User-Grant Logs, Role-Grant Logs, Load History Logs, Materialized View History Logs, protokoly Roles Logs, Tables Logs, Table Storage Metrics Logs, Users Logs do Microsoft Sentinel pomocí rozhraní SNOWflake SQL API. Další informace najdete v dokumentaci k rozhraní SQL API Snowflake .
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SnowflakeLogin_CL |
Ano | Ano |
SnowflakeQuery_CL |
Ano | Ano |
SnowflakeUserGrant_CL |
Ano | Ano |
SnowflakeRoleGrant_CL |
Ano | Ano |
SnowflakeLoad_CL |
Ano | Ano |
SnowflakeMaterializedView_CL |
Ano | Ano |
SnowflakeRoles_CL |
Ano | Ano |
SnowflakeTables_CL |
Ano | Ano |
SnowflakeTableStorageMetrics_CL |
Ano | Ano |
SnowflakeUsers_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Datový konektor protokolů auditu platformy SOC Prime Platform
Podporuje:SOC Prime
Datový konektor SOC Prime Audit Logs umožňuje ingestování protokolů z rozhraní SOC Prime Platform API do Microsoft Sentinel. Datový konektor je založený na rozhraní Microsoft Sentinel Codeless Connector Framework. Pomocí rozhraní API platformy SOC Prime platform načte protokoly auditu platformy SOC Prime a podporuje transformace doby příjmu dat založené na DCR, které analyzují přijatá data zabezpečení do vlastní tabulky, což vede k lepšímu výkonu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SOCPrimeAuditLogs_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Datový konektor Sonrai
Podporováno uživatelem:N/A
Pomocí tohoto datového konektoru můžete integrovat se službou Sonrai Security a získat lístky Sonrai odeslané přímo do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Sonrai_Tickets_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Sophos Endpoint Protection (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Datový konektor Sophos Endpoint Protection poskytuje možnost ingestovat události Sophos do Microsoft Sentinel. Další informace najdete v dokumentaci k Centrálnímu správci Sophos.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SophosEP_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Je vyžadován token rozhraní API . Další informace najdete v tématu Token rozhraní API.
Sophos Endpoint Protection (pomocí rozhraní REST API)
Podporováno společností:Microsoft Corporation
Datový konektor Sophos Endpoint Protection poskytuje možnost ingestovat Sophos events a Sophos alerts do Microsoft Sentinel. Další informace najdete v dokumentaci k Centrálnímu správci Sophos.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SophosEPEvents_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Přístup k rozhraní API služby Sophos Endpoint Protection: Vyžaduje se přístup k rozhraní API služby Sophos Endpoint Protection prostřednictvím instančního objektu.
Symantec Integrovaná kybernetická obranná výměna
Podporováno společností:Microsoft Corporation
Konektor Symantec ICDx umožňuje snadno propojit protokoly řešení zabezpečení Symantec pomocí Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní výstrahy a zlepšovat šetření. Tím získáte lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SymantecICDx_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Synqly Integration Connector
Podporuje:Synqly
Konektor Synqly poskytuje možnost odesílat události zabezpečení z integrace Synqly do Microsoft Sentinelu pomocí rozhraní API pro příjem protokolů Azure. Události se automaticky normalizují do tabulek ASIM (Advanced Security Information Model) pro použití s analýzami, sešity a dotazy proaktivního vyhledávání v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft Entra ID: Role vývojáře aplikací (nebo vyšší) pro vytváření registrací aplikací.
-
Microsoft Azure: Role Vlastník nebo Správce uživatelských přístupů ve skupině prostředků pro nasazení DCR a přiřazení role Vydavatele metrik monitorování
Syslog přes AMA
Podporováno společností:Microsoft Corporation
Syslog je protokol protokolování událostí, který je běžný pro Linux. Aplikace budou odesílat zprávy, které mohou být uloženy na místním počítači nebo doručeny do kolektoru Syslog. Když je agent pro Linux nainstalovaný, nakonfiguruje místní proces démon Syslog tak, aby předával zprávy agentu. Agent pak odešle zprávu do pracovního prostoru.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Syslog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Ohrožené přihlašovací údaje tacitRed
Podporováno společností:Data443 Risk Mitigation, Inc.
Ingestování ohrožených zjištění přihlašovacích údajů z TacitRed pomocí rozhraní CCF (Common Connector Framework).
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
TacitRed_Findings_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
TacitRed API Key: Klíč rozhraní API uložený v Azure Key Vault nebo zadaný v době nasazení.
Přehledy pro Talon
Podporováno:Zabezpečení Talonu
Konektor Protokoly zabezpečení Talon umožňuje snadno propojit události a protokoly auditu Talon s Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Talon_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Team Cymru Scout Data Connector (pomocí Azure Functions)
Podporováno:Team Cymru
Datový konektor TeamCymruScout umožňuje uživatelům přenést data o využití team Cymru Scout IP, domény a účtu do Microsoft Sentinel pro rozšiřování.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Cymru_Scout_Domain_Data_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Foundation_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Details_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Communications_CL |
Ne | Ne |
Cymru_Scout_IP_Data_PDNS_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Fingerprints_CL |
Ne | Ne |
Cymru_Scout_IP_Data_OpenPorts_CL |
Ne | Ne |
Cymru_Scout_IP_Data_x509_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Summary_Details_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Summary_PDNS_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Summary_OpenPorts_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Summary_Certs_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Summary_Fingerprints_CL |
Ne | Ne |
Cymru_Scout_Account_Usage_Data_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Permission k přiřazení role zaregistrované aplikaci: Vyžaduje se oprávnění k přiřazení role zaregistrované aplikaci v Microsoft Entra ID.
-
Team Cymru Scout Credentials/permissions: Vyžaduje se přihlašovací údaje účtu Team Cymru Scout (uživatelské jméno, heslo).
Vystavení tenantovatelné identity
Podporováno uživatelem:Tenable
Konektor pro vystavení tenanta identity umožňuje inestovat do Microsoft Sentinel indikátory ohrožení, indikátory protokolů útoku a koncového toku. Různé pracovní knihy a analyzátory dat umožňují snadněji manipulovat s protokoly a monitorovat Active Directory prostředí. Analytické šablony umožňují automatizovat odpovědi týkající se různých událostí, expozic a útoků.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Přístup ke konfiguraci TenableIE: Oprávnění ke konfiguraci modulu upozornění syslogu
Správa ohrožení zabezpečení s možností použití Azure Functions)
Podporováno uživatelem:Tenable
Datový konektor TVM umožňuje ingestovat prostředky, ohrožení zabezpečení, dodržování předpisů, prostředky WAS a chyby zabezpečení WAS do Microsoft Sentinel pomocí rozhraní TVM REST API. Další informace najdete v dokumentaci k rozhraní API. Konektor poskytuje možnost získat data, která pomáhají zkoumat potenciální rizika zabezpečení, získat přehled o výpočetních prostředcích, diagnostikovat problémy s konfigurací a provádět další informace.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Tenable_VM_Asset_CL |
Ano | Ano |
Tenable_VM_Vuln_CL |
Ano | Ano |
Tenable_VM_Compliance_CL |
Ano | Ano |
Tenable_WAS_Asset_CL |
Ano | Ano |
Tenable_WAS_Vuln_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Pro přístup k rozhraní REST API pro tenable se vyžaduje klíč TenableAccessKey i TenableSecretKey . Další informace najdete v tématu ROZHRANÍ API. Zkontrolujte všechny požadavky a postupujte podle pokynů pro získání přihlašovacích údajů.
Klientských Microsoft Defender for Cloud
Podporováno společností:Microsoft Corporation
Microsoft Defender for Cloud je nástroj pro správu zabezpečení, který umožňuje detekovat a rychle reagovat na hrozby napříč Azure, hybridními a multicloudovými úlohami. Tento konektor umožňuje streamovat výstrahy zabezpečení MDC z Microsoft 365 Defender do Microsoft Sentinel, takže můžete využít výhody korelací XDR, které propojují tečky napříč vašimi cloudovými prostředky, zařízeními a identitami a zobrazují data v sešitech, dotazech a prošetřují incidenty a reagují na ně. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
TheHive (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor TheHive poskytuje možnost ingestovat data platformy Reakce na incidenty zabezpečení TheHive do Služby Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API. Konektor poskytuje možnost získat případy, úkoly a výstrahy z TheHive a vizualizovat je v Microsoft Sentinelu.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
TheHiveData |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Přístup k rozhraní API TheHive: Pro rozhraní TheHive API verze 4 a vyšší se vyžaduje přístup k rozhraní TheHive API.
Teom
Podporováno:Theom
Datový konektor Theom umožňuje organizacím připojit své prostředí Theom k Microsoft Sentinel. Toto řešení umožňuje uživatelům přijímat upozornění na rizika zabezpečení dat, vytvářet a rozšiřovat incidenty, kontrolovat statistiky a aktivovat playbooky SOAR v Microsoft Sentinel
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
TheomAlerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Analýza hrozeb – TAXII
Podporováno společností:Microsoft Corporation
Microsoft Sentinel integruje se zdroji dat TAXII 2.0 a 2.1, které umožňují monitorování, upozorňování a proaktivní vyhledávání pomocí analýzy hrozeb. Pomocí tohoto konektoru odešlete podporované typy objektů STIX ze serverů TAXII do Microsoft Sentinel. Indikátory hrozeb můžou zahrnovat IP adresy, domény, adresy URL a hodnoty hash souborů. Další informace najdete v dokumentaci Microsoft Sentinel >.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Platformy analýzy hrozeb
Podporováno společností:Microsoft Corporation
Microsoft Sentinel se integruje s Microsoft Graph Security API zdroji dat, které umožňují monitorování, upozorňování a proaktivní vyhledávání pomocí analýzy hrozeb. Pomocí tohoto konektoru můžete odesílat indikátory hrozeb do Microsoft Sentinel z platformy Threat Intelligence Platform (TIP), jako je Threat Connect, Palo Alto Networks MindMeld, MISP nebo jiné integrované aplikace. Indikátory hrozeb můžou zahrnovat IP adresy, domény, adresy URL a hodnoty hash souborů. Další informace najdete v dokumentaci Microsoft Sentinel >.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Rozhraní API pro nahrání analýzy hrozeb (Preview)
Podporováno společností:Microsoft Corporation
Microsoft Sentinel nabízí rozhraní API roviny dat, které poskytuje analýzu hrozeb z platformy Threat Intelligence Platform (TIP), jako je Threat Connect, Palo Alto Networks MineMeld, MISP nebo jiné integrované aplikace. Indikátory hrozeb můžou zahrnovat IP adresy, domény, adresy URL, hodnoty hash souborů a e-mailové adresy. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Konektor zabezpečení přenosu (pomocí Azure Functions)
Podporováno:Přenést zabezpečení
Datový konektor [Přenos zabezpečení] poskytuje schopnost ingestovat běžné události Přenos Security API do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
TransmitSecurityActivity_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
ID klienta rozhraní REST API: Vyžaduje se id klienta TransmitSecurityClientID . Podívejte se do dokumentace, kde se dozvíte více o rozhraní API na
https://developer.transmitsecurity.com/. -
Tajný klíč klienta ROZHRANÍ REST API: Vyžaduje se PřenosSecurityClientSecret . Podívejte se do dokumentace, kde se dozvíte více o rozhraní API na
https://developer.transmitsecurity.com/.
Zabezpečení koncového bodu Trellix (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor Trellix Endpoint Security umožňuje ingestovat události zabezpečení z ePO Trellix (ePolicy Orchestrator) do Microsoft Sentinelu. Tento konektor používá ověřování přihlašovacích údajů klienta OAuth2 a automaticky zpracovává stránkování ke shromažďování komplexních dat zabezpečení koncových bodů, včetně detekcí hrozeb, informací analyzátoru, podrobností o zdrojovém a cílovém systému a akcí reakcí na hrozby.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
TrellixEvents |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Trend Vision One (pomocí Azure Functions)
Podporováno:Trend Micro
Konektor Trend Vision One umožňuje snadno připojit data výstrah Aplikace Workbench s Microsoft Sentinel k zobrazení řídicích panelů, vytváření vlastních upozornění a ke zlepšení možností monitorování a šetření. Získáte tak lepší přehled o sítích a systémech vaší organizace a zlepšíte možnosti operací zabezpečení.
Konektor Trend Vision One je podporován v Microsoft Sentinel v následujících oblastech: Austrálie – východ, Austrálie – jih, Brazílie – jih, Kanada – střed, Kanada – východ, Indie – střed, USA – střed, Východní Asie, USA – východ, USA – východ 2, Francie – střed, Japonsko – východ, Korea – střed, Usa – středosever, Severní Evropa, Norsko – východ, Jižní Afrika – sever, USA – středojiž, Jihovýchodní Asie, Švédsko – střed, Švýcarsko – sever, Spojené arabské emiráty – sever, Velká Británie – jih, Velká Británie – západ, Západní Evropa, USA – západ, USA – západ 2, USA – západ 3.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
TrendMicro_XDR_WORKBENCH_CL |
Ne | Ne |
TrendMicro_XDR_RCA_Task_CL |
Ne | Ne |
TrendMicro_XDR_RCA_Result_CL |
Ne | Ne |
TrendMicro_XDR_OAT_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Trend Vision One API Token: Vyžaduje se token rozhraní API Trend Vision One. Další informace o rozhraní Trend Vision One API najdete v dokumentaci.
Tropico Security – Výstrahy
Podporováno:TROPICO Security
Ingestování výstrah zabezpečení z platformy Tropico Security Platform ve formátu hledání zabezpečení OCSF
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
{{graphQueriesTableName}} |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Tropico Security – Události
Podporováno:TROPICO Security
Ingestování událostí zabezpečení z platformy Tropico Security Platform ve formátu Hledání zabezpečení OCSF
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
{{graphQueriesTableName}} |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Tropico Security – Incidenty
Podporováno:TROPICO Security
Ingestování incidentů relace útočníka z platformy Tropico Security Platform
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
{{graphQueriesTableName}} |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Varonis Purview Push Connector
Podporuje:Varonis
Konektor Varonis Purview poskytuje možnost synchronizovat prostředky z Varonis do Microsoft Purview.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
varonisresources_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje roli vývojáře aplikace Entra ID nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role Vydavatele metrik monitorování u pravidla shromažďování dat (DCR). Obvykle vyžaduje roli vlastníka RBAC nebo správce uživatelských přístupů Azure.
Varonis SaaS
Podporuje:Varonis
Varonis SaaS poskytuje možnost ingestovat Varonis Alerts do Microsoft Sentinel.
Varonis upřednostňuje hloubkovou viditelnost dat, možnosti klasifikace a automatizovanou nápravu přístupu k datům. Varonis vytváří jeden pohled na rizika pro vaše data s jednou prioritou, takže můžete proaktivně a systematicky eliminovat riziko před vnitřními hrozbami a kybernetickými útoky.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
VaronisAlerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
Vectra XDR (pomocí Azure Functions)
Podporováno:Vectra Podpora
Konektor Vectra XDR poskytuje možnost ingestovat detekce, audity, vyhodnocování entit, uzamčení, stav a entity do Microsoft Sentinel prostřednictvím rozhraní REST API Vectra. Další informace najdete v dokumentaci https://support.vectra.ai/s/article/KB-VS-1666 k rozhraní API.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Detections_Data_CL |
Ano | Ano |
Audits_Data_CL |
Ano | Ano |
Entity_Scoring_Data_CL |
Ano | Ano |
Lockdown_Data_CL |
Ano | Ano |
Health_Data_CL |
Ano | Ano |
Entities_Data_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje/oprávnění rozhraní REST API: ID klienta Vectra a tajný klíč klienta se vyžadují pro shromažďování dat o stavu, vyhodnocování entit, entitách, detekcích, uzamčení a auditování dat. Podívejte se do dokumentace, kde se dozvíte více o rozhraní API na
https://support.vectra.ai/s/article/KB-VS-1666.
Veeam – datový konektor (pomocí Azure Functions)
Podporováno společností:Veeam Software
Veeam Data Connector umožňuje ingestovat telemetrická data společnosti Veeam z několika vlastních tabulek do Microsoft Sentinel.
Konektor podporuje integraci s platformami Veeam Backup & Replication, Veeam ONE a Coveware, aby poskytl komplexní monitoring a bezpečnostní analytiku. Data se shromažďují prostřednictvím Azure Functions a ukládají se ve vlastních tabulkách Log Analytics s vyhrazenými pravidly shromažďování dat (DCR) a koncovými body shromažďování dat (DCE).
Mezi vlastní stoly patřily:
- VeeamMalwareEvents_CL: Události detekce malwaru ze služby Veeam Backup &Replication
- VeeamSecurityComplianceAnalyzer_CL: Výsledky analyzátoru zabezpečení a dodržování předpisů shromážděné ze součástí infrastruktury zálohování Veeam
- VeeamAuthorizationEvents_CL: Události autorizace a ověřování
- VeeamOneTriggeredAlarms_CL: Aktivované alarmy ze serverů Veeam ONE
- VeeamCovewareFindings_CL: Zjištění zabezpečení z řešení Coveware
- VeeamSessions_CL: Relace Veeam
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
VeeamMalwareEvents_CL |
Ano | Ano |
VeeamSecurityComplianceAnalyzer_CL |
Ano | Ano |
VeeamOneTriggeredAlarms_CL |
Ano | Ano |
VeeamAuthorizationEvents_CL |
Ano | Ano |
VeeamCovewareFindings_CL |
Ano | Ano |
VeeamSessions_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přístup k infrastruktuře Veeam: Vyžaduje se přístup k rozhraní REST API společnosti Veeam Backup & Replication a monitorovací platformě Veeam ONE. To zahrnuje správné ověřovací přihlašovací údaje a síťové připojení.
VersasecCms
Podpora:Versasec
Datový konektor VersasecCms umožňuje ingestování protokolů do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
VersasecCmsSysLogs_CL |
Ne | Ne |
VersasecCmsErrorLogs_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
VirtualMetric DataStream pro Microsoft Sentinel
Podporováno:VirtualMetric
Konektor VirtualMetric DataStream nasadí pravidla shromažďování dat do ingestování telemetrie zabezpečení do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Registrace aplikace nebo spravovaná identita Azure: VirtualMetric DataStream vyžaduje identitu ID Entra k ověřování a odesílání protokolů do Microsoft Sentinel. Můžete si vybrat mezi vytvořením registrace aplikace s ID klienta a tajným klíčem klienta nebo pomocí Azure spravované identity pro lepší zabezpečení bez správy přihlašovacích údajů.
-
Přiřazení role skupiny prostředků: Vybraná identita (registrace aplikace nebo spravovaná identita) musí být přiřazená skupině prostředků obsahující koncový bod shromažďování dat s následujícími rolemi: Vydavatel metrik monitorování (pro příjem protokolů) a čtenář monitorování (pro konfiguraci streamu čtení).
VirtualMetric DataStream for Microsoft Sentinel Data Lake
Podporováno:VirtualMetric
Konektor VirtualMetric DataStream nasadí pravidla shromažďování dat do ingestování telemetrie zabezpečení do Microsoft Sentinel data lake.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Registrace aplikace nebo spravovaná identita Azure: VirtualMetric DataStream vyžaduje identitu ID Entra k ověřování a odesílání protokolů do Microsoft Sentinel data lake. Můžete si vybrat mezi vytvořením registrace aplikace s ID klienta a tajným klíčem klienta nebo pomocí Azure spravované identity pro lepší zabezpečení bez správy přihlašovacích údajů.
-
Přiřazení role skupiny prostředků: Vybraná identita (registrace aplikace nebo spravovaná identita) musí být přiřazená skupině prostředků obsahující koncový bod shromažďování dat s následujícími rolemi: Vydavatel metrik monitorování (pro příjem protokolů) a čtenář monitorování (pro konfiguraci streamu čtení).
Proxy adresáře virtualmetrice
Podporováno:VirtualMetric
Proxy adresáře virtualmetrice nasadí aplikaci funkcí Azure pro bezpečné přemísťování VirtualMetric DataStream se službami Azure, včetně Microsoft Sentinel, Azure Data Explorer a Azure Storage.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Function App: Aplikace funkcí Azure musí být nasazena pro hostování proxy adresáře. K vytvoření a správě aplikace funkcí vyžaduje oprávnění ke čtení, zápisu a odstraňování prostředků microsoft.web/sites ve vaší skupině prostředků.
- Konfigurace VirtualMetric DataStream: Pro připojení k proxy adresáře potřebujete VirtualMetric DataStream nakonfigurované ověřovací přihlašovací údaje. Proxy adresáře funguje jako zabezpečený most mezi virtualmetrickou datastreamem a službami Azure.
-
Target Azure Services: Nakonfigurujte cílové Azure služby, jako jsou koncové body shromažďování dat Microsoft Sentinel, clustery Azure Data Explorer nebo účty Azure Storage, ve kterých bude proxy adresáře předávat data.
VMRayThreatIntelligence (pomocí Azure Functions)
Podporuje:VMRay
Konektor VMRayThreatIntelligence automaticky generuje a posílá threat intelligence pro všechny příspěvky do VMRay, čímž zlepšuje detekci hrozeb a reakci na incidenty v Sentinel. Tato bezproblémová integrace umožňuje týmům proaktivně řešit vznikající hrozby.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Předplatné: k registraci aplikace ve azure active directory() a přiřazení role přispěvatele k aplikaci ve skupině prostředků se vyžaduje Azure předplatné s rolí vlastníka.
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje nebo oprávnění rozhraní REST API: Vyžaduje se klíč rozhraní API VMRay .
VMware Carbon Black Cloud (pomocí Azure Functions)
Podporováno společností:Microsoft
Konektor VMware Carbon Black Cloud poskytuje možnost ingestovat data uhlíku black do Microsoft Sentinel. Konektor poskytuje přehled o protokolech auditování, oznámení a událostí v Microsoft Sentinel k zobrazení řídicích panelů, vytváření vlastních upozornění a ke zlepšení možností monitorování a vyšetřování.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CarbonBlackEvents_CL |
Ne | Ne |
CarbonBlackNotifications_CL |
Ne | Ne |
CarbonBlackAuditLogs_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Klíče rozhraní API VMware Carbon Black: Jsou vyžadovány klíče rozhraní API úrovně CARBON BLACK NEBO SIEM. Další informace o rozhraní API carbon black najdete v dokumentaci.
- Pro protokoly auditu a událostí se vyžaduje ID a klíč rozhraní API na úrovni přístupu k rozhraní API uhlíku Black.
- Pro upozornění oznámení se vyžaduje ID rozhraní API a klíč úrovně přístupu Carbon Black SIEM.
-
Přihlašovací údaje a oprávnění rozhraní REST API Amazon S3: ID přístupového klíče AWS, tajný přístupový klíč AWSS3, název kontejneru AWS S3, název složky v kontejneru AWS S3 se vyžaduje pro rozhraní AMAZON S3 REST API.
VMware Carbon Black Cloud prostřednictvím AWS S3
Podporováno společností:Microsoft
Datový konektor VMware Carbon Black Cloud prostřednictvím datového konektoru AWS S3 poskytuje možnost ingestovat sledovací seznam, výstrahy, ověřování a koncové body prostřednictvím AWS S3 a streamovat je do normalizovaných tabulek ASIM. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CarbonBlack_Alerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Prostředí: Musíte mít definované a nakonfigurované následující prostředky AWS: S3, Simple Queue Service (SQS), role IAM a zásady oprávnění.
-
Prostředí: Abyste mohli vytvořit kontejnery AWS S3, musíte mít účet uhlíku a požadovaná oprávnění k vytvoření dat předávaných do kontejnerů AWS S3.
Další informace najdete v dokumentaci k službě Pro předávání dat uhlíku black
Windows události DNS přes AMA
Podporováno společností:Microsoft Corporation
Konektor protokolu DNS Windows umožňuje snadno filtrovat a streamovat všechny analytické protokoly z Windows serverů DNS do pracovního prostoru Microsoft Sentinel pomocí agenta Azure Monitoring (AMA). Tato data v Microsoft Sentinel vám pomůžou identifikovat problémy a bezpečnostní hrozby, jako jsou:
- Pokoušíte se přeložit škodlivé názvy domén.
- Zastaralé záznamy prostředků.
- Často se dotazovali na názvy domén a mluvení klienti DNS.
- Útoky prováděné na serveru DNS.
Z Microsoft Sentinel můžete získat následující přehledy o serverech DNS Windows:
- Všechny protokoly jsou centralizované na jednom místě.
- Zatížení požadavků na servery DNS
- Selhání dynamické registrace DNS
Windows události DNS podporují Advanced SIEM Information Model (ASIM) a streamují data do tabulky ASimDnsActivityLogs. Další informace.
Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ASimDnsActivityLogs |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Windows Firewall
Podporováno společností:Microsoft Corporation
Windows Firewall je aplikace Microsoft Windows, která filtruje informace přicházející do systému z internetu a blokuje potenciálně škodlivé programy. Software blokuje komunikaci většiny programů přes bránu firewall. Uživatelé jednoduše přidají program do seznamu povolených programů, aby mohli komunikovat přes bránu firewall. Při použití veřejné sítě může brána firewall Windows také zabezpečit systém blokováním všech nevyžádaných pokusů o připojení k počítači. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Windows události brány firewall přes AMA
Podporováno společností:Microsoft Corporation
Windows Firewall je aplikace Microsoft Windows, která filtruje informace přicházející do vašeho systému z internetu a blokuje potenciálně škodlivé programy. Software brány firewall blokuje komunikaci většiny programů přes bránu firewall. Pokud chcete streamovat protokoly aplikací brány Windows firewall shromažďované z vašich počítačů, použijte agenta Azure Monitor (AMA) ke streamování těchto protokolů do pracovního prostoru Microsoft Sentinel.
Nakonfigurovaný koncový bod shromažďování dat (DCE) musí být propojený s pravidlem shromažďování dat (DCR) vytvořeným pro shromažďování protokolů AMA. Pro tento konektor se DCE automaticky vytvoří ve stejné oblasti jako pracovní prostor. Pokud už používáte DCE uložené ve stejné oblasti, je možné změnit výchozí vytvořenou hodnotu DCE a použít existující soubor prostřednictvím rozhraní API. Řadiče domény můžou být umístěné ve vašich prostředcích s předponou SentinelDCE v názvu prostředku.
Další informace najdete v následujících článcích:
- koncové body kolekce Data v Azure Monitor
- Dokumentace k Microsoft Sentinel
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Windows Předávané události
Podporováno společností:Microsoft Corporation
Všechny protokoly předávání událostí Windows (WEF) můžete streamovat ze serverů Windows připojených k pracovnímu prostoru Microsoft Sentinel pomocí agenta Azure Monitor (AMA). Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Tím získáte lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
WindowsEvent |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Windows Security Události přes AMA
Podporováno společností:Microsoft Corporation
Pomocí agenta Windows můžete streamovat všechny události zabezpečení z Windows počítačů připojených k pracovnímu prostoru Microsoft Sentinel. Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Tím získáte lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityEvent |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
WithSecure Elements API (funkce Azure)
Podporuje:WithSecure
WithSecure Elements je sjednocená cloudová platforma pro zabezpečení kyberbezpečnosti navržená tak, aby snížila riziko, složitost a neefektivitu.
Zvyšte zabezpečení z koncových bodů na cloudové aplikace. Připravte se proti každému typu kybernetické hrozby, od cílených útoků až po ransomwar s nulovým dnem.
WithSecure Elements kombinuje výkonné prediktivní, preventivní a responzivní funkce zabezpečení – všechny spravované a monitorované prostřednictvím jediného centra zabezpečení. Naše modulární struktura a flexibilní cenové modely vám poskytují svobodu vývoje. S našimi znalostmi a přehledy budete mít vždy možnost - a nikdy nebudete sami.
Díky integraci Microsoft Sentinel můžete korelovat události zabezpečení data z řešení WithSecure Elements s daty z jiných zdrojů, což umožňuje bohatý přehled celého prostředí a rychlejší reakci na hrozby.
S tímto řešením Azure Funkce se nasadí do vašeho tenanta a pravidelně se dotazuje na události zabezpečení WithSecure Elements.
Další informace naleznete na našich webových stránkách: https://www.withsecure.com.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
WsSecurityEvents_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
S přihlašovacími údaji klienta rozhraní APISecure Elements: Jsou vyžadovány přihlašovací údaje klienta.
Další informace najdete v dokumentaci.
Wiz (pomocí Azure Functions)
Podporováno:Wiz
Konektor Wiz umožňuje snadno odesílat problémy s Wiz, zjištění ohrožení zabezpečení a protokoly auditu do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) |
Ne | Ne |
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) |
Ne | Ne |
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje účtu služby Wiz: Ujistěte se, že máte ID klienta účtu služby Wiz a tajný klíč klienta, adresu URL koncového bodu rozhraní API a adresu URL ověřování. Pokyny najdete v dokumentaci k Wiz.
Aktivita uživatele Workday
Podporováno společností:Microsoft Corporation
Datový konektor Workday User Activity connector umožňuje ingestovat protokoly aktivit uživatelů z rozhraní API Workday do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ASimAuditEventLogs |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
-
Přístup k rozhraní API aktivity uživatele Workday: Vyžaduje se přístup k rozhraní API aktivity uživatele Workday prostřednictvím OAuth. Klient rozhraní API musí mít obor: Systém a musí ho autorizovat účet s oprávněními auditování systému.
Workplace z Facebooku (pomocí Azure Functions)
Podporováno společností:Microsoft Corporation
Datový konektor Workplace poskytuje možnost ingestovat běžné události pracoviště do Microsoft Sentinel prostřednictvím webhooků. Webhooky umožňují vlastním aplikacím integrace přihlásit se k odběru událostí na pracovišti a přijímat aktualizace v reálném čase. Když dojde ke změně na pracovišti, odešle se požadavek HTTPS POST s informacemi o události na adresu URL datového konektoru zpětného volání. Další informace najdete v dokumentaci k webhookům . Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Workplace_Facebook_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění webhooků: WorkplaceAppSecret, WorkplaceVerifyToken, adresa URL zpětného volání jsou vyžadována pro pracovní webhooky. Další informace o konfiguraci webhooků a konfiguraci oprávnění najdete v dokumentaci.
XBOW Security Platform (prostřednictvím funkce Azure)
Podporuje:XBOW
Datový konektor XBOW ingestuje snímky prostředků, zjištění ohrožení zabezpečení a aktivitu posouzení z platformy zabezpečení XBOW do Služby Microsoft Sentinel. Funkce Azure se dotazuje rozhraní API XBOW na časovači a odesílá snímky JSON prostředků do XbowAssets_CL, rozšířená zjištění (s důkazy, recepty PoC, dopad a zmírnění rizik) a XbowFindings_CLdo událostí XbowAssessments_CLživotního cyklu posouzení pomocí rozhraní API pro příjem dat služby Azure Monitor (DCE/DCR).
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
XbowAssets_CL |
Ne | Ne |
XbowFindings_CL |
Ne | Ne |
XbowAssessments_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Token rozhraní API XBOW: Vyžaduje se osobní přístupový token XBOW. Vygenerujte ho v konzole XBOW v části Osobní přístupové tokeny nastavení>. Nasadíte token na organizaci, kterou chcete monitorovat.
- ID organizace XBOW: ID organizace z vašeho účtu XBOW. Najdete ho v adrese URL konzoly XBOW nebo prostřednictvím rozhraní API.
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- V případě potřeby vlastní požadavky odstraňte tuto celní značku: Popis všech vlastních požadavků
-
Registrace aplikace Azure AD: Vyžaduje se registrace aplikace Azure AD (instanční objekt). Po nasazení musíte ručně přiřadit roli Vydavatele metrik monitorování v pravidle shromažďování dat (DCR) k této registraci aplikace.
Segment nulové sítě (nabízení)
Podporováno:Zero Networks
Konektor Push Connector zero Networks Segment umožňuje nulovým sítím odesílat audity, síťové aktivity, aktivity identit a aktivity RPC přímo do služby Microsoft Sentinel v reálném čase. Nasaďte konektor pro vytvoření pravidla shromažďování dat (DCR) a aplikace Microsoft Entra; pak nakonfigurujte aplikaci Zero Networks s podrobnostmi o připojení k nabízeným událostem.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ZNAudit_CL |
Ne | Ne |
ZNNetworkActivity_CL |
Ne | Ne |
ZNIdentityActivity_CL |
Ne | Ne |
ZNRPCActivity_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje roli vývojáře aplikace Entra ID nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role Vydavatele metrik monitorování u pravidla shromažďování dat (DCR). Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
Audit segmentů nulové sítě
Podporováno:Zero Networks
Datový konektor Zero Networks Segment Audit poskytuje možnost ingestovat události auditu zero networks do Microsoft Sentinel prostřednictvím rozhraní REST API. Tento datový konektor používá Microsoft Sentinel nativní možnosti dotazování.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ZNSegmentAuditNativePoller_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Token rozhraní API nulové sítě: Pro rozhraní REST API se vyžaduje ZeroNetworksAPIToken . Projděte si příručku k rozhraní API a postupujte podle pokynů pro získání přihlašovacích údajů.
ZeroFox CTI
Podporuje:ZeroFox
Datové konektory ZeroFox CTI poskytují možnost ingestovat různé ZeroFox výstrahy analýzy kybernetických hrozeb do Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ZeroFox_CTI_advanced_dark_web_CL |
Ne | Ne |
ZeroFox_CTI_botnet_CL |
Ne | Ne |
ZeroFox_CTI_breaches_CL |
Ne | Ne |
ZeroFox_CTI_C2_CL |
Ne | Ne |
ZeroFox_CTI_compromised_credentials_CL |
Ne | Ne |
ZeroFox_CTI_credit_cards_CL |
Ne | Ne |
ZeroFox_CTI_dark_web_CL |
Ne | Ne |
ZeroFox_CTI_discord_CL |
Ne | Ne |
ZeroFox_CTI_disruption_CL |
Ne | Ne |
ZeroFox_CTI_email_addresses_CL |
Ne | Ne |
ZeroFox_CTI_exploits_CL |
Ne | Ne |
ZeroFox_CTI_irc_CL |
Ne | Ne |
ZeroFox_CTI_malware_CL |
Ne | Ne |
ZeroFox_CTI_national_ids_CL |
Ne | Ne |
ZeroFox_CTI_phishing_CL |
Ne | Ne |
ZeroFox_CTI_phone_numbers_CL |
Ne | Ne |
ZeroFox_CTI_ransomware_CL |
Ne | Ne |
ZeroFox_CTI_telegram_CL |
Ne | Ne |
ZeroFox_CTI_threat_actors_CL |
Ne | Ne |
ZeroFox_CTI_vulnerabilities_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní API ZeroFox: Uživatelské jméno ZeroFox, osobní přístupový token ZeroFox se vyžaduje pro rozhraní REST API ZeroFox CTI.
ZeroFox Enterprise – upozornění (dotazování CCF)
Podporuje:ZeroFox
Shromažďuje výstrahy z rozhraní ZeroFox API.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ZeroFoxAlertPoller_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
Zimperium Mobile Threat Defense
Podporováno:Zimperium
Konektor Zimperium Mobile Threat Defense vám umožňuje připojit protokol hrozeb Zimperium s Microsoft Sentinel k zobrazení řídicích panelů, vytváření vlastních upozornění a vylepšení vyšetřování. Díky tomu získáte lepší přehled o mobilní hrozbě vaší organizace a zlepšíte možnosti operací zabezpečení.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ZimperiumThreatLog_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Zoom Reports (using Azure Functions)
Podporováno společností:Microsoft Corporation
Datový konektor Zoom Reports poskytuje možnost ingestovat Zoom Reports do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API. Konektor umožňuje načítání událostí k vyhodnocení potenciálních rizik zabezpečení, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Zoom_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
- Pro rozhraní Zoom API se vyžadují přihlašovací údaje a oprávnění rozhraní REST API: AccountID, ClientID a ClientSecret. Další informace najdete v tématu Zoom API.
Postupujte podle pokynů pro konfigurace rozhraní ZOOM API.
Zoom Reports Connector (prostřednictvím architektury konektoru bez kódu)
Podporováno společností:Microsoft Corporation
Datový konektor Sestavy lupy umožňuje ingestovat data sestav lupy do Microsoft Sentinelu prostřednictvím rozhraní REST API zoomu verze 2, takže můžete monitorovat a auditovat využití lupy ve vaší organizaci. Tento konektor používá pro ověřování přihlašovací údaje účtu OAuth mezi servery a podporuje příjem více typů sestav, včetně denních sestav pro statistiky a metriky využití schůzek, Sestavy uživatelů pro aktivní/neaktivní informace o hostiteli uživatelů, telefonní sestavy pro statistiky využití telefonie, sestavy využití cloudových záznamů pro cloudové úložiště a zaznamenávání využití, protokoly operací pro operace správy a záznam záznamu auditu. protokoly aktivit pro aktivity přihlašování a odhlášení uživatelů. Každý typ sestavy se shromažďuje v samostatné konfiguraci dotazování s automatickou podporou stránkování pomocí NextPageToken. Datový konektor je založený na platformě Microsoft Sentinel Codeless Connector Framework a podporuje transformace doby příjmu dat založené na DCR pro optimalizovaný výkon dotazů.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
ZoomV2_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Přístup k rozhraní API zoomu: Přístup k rozhraní REST API Zoom v2 s přihlašovacími údaji účtu
Zastaralé datové konektory sentinelu
Note
Následující tabulka uvádí zastaralé a zastaralé datové konektory. Zastaralé konektory se už nepodporují.
[Zastaralé] GitHub Protokol podnikového auditu
Podporováno společností:Microsoft Corporation
Konektor protokolu auditu GitHub poskytuje možnost ingestovat GitHub protokoly do Microsoft Sentinel. Propojením GitHub protokolů auditu do Microsoft Sentinel můžete tato data zobrazit v sešitech, použít je k vytváření vlastních upozornění a ke zlepšení procesu šetření.
Note: Pokud jste chtěli ingestovat GitHub odebírané události do Microsoft Sentinel, přečtěte si informace o konektoru GitHub (pomocí webhooků) z galerie "Data Connectors".
POZNÁMKA: Tento datový konektor je zastaralý, zvažte přechod na datový konektor CCF dostupný v řešení, který nahrazuje příjem dat prostřednictvím zastaralého rozhraní API kolektoru dat HTTP.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
GitHubAuditLogPolling_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- GitHub token pat přístupového tokenu rozhraní API: K povolení dotazování protokolu auditu organizace potřebujete GitHub osobní přístupový token. Můžete použít buď klasický token s oborem read:org, nebo jemně odstupňovaný token s oborem Správa: Jen pro čtení.
-
GitHub typu Enterprise: Tento konektor bude fungovat pouze s GitHub Enterprise Cloud. Nebude podporovat GitHub Enterprise Server.
[Zastaralé] Infoblox SOC Insight Data Connector prostřednictvím starší verze agenta
Podporováno:Infoblox
Datový konektor Infoblox SOC Insight umožňuje snadno připojit data Infoblox BloxOne SOC Insight s Microsoft Sentinel. Propojením protokolů s Microsoft Sentinel můžete pro každý protokol využít výhod vyhledávání a korelace, upozorňování a rozšiřování analýzy hrozeb.
Tento datový konektor ingestuje infoblox SOC Insight CDC do vašeho pracovního prostoru Log Analytics pomocí starší verze agenta Log Analytics.
Společnost Microsoft doporučuje instalaci datového konektoru Infoblox SOC Insight prostřednictvím konektoru AMA. Starší verze konektoru používá agenta Log Analytics, který se chystá přestat používat Aug 31, 2024, a měl by být nainstalovaný jenom tam, kde se AMA nepodporuje.
Použití MMA a AMA na stejném počítači může způsobit duplikaci protokolů a další náklady na příjem dat. Další podrobnosti.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
[Zastaralé] Rozhledna
Podporováno aplikací:Lookout
Datový konektor Lookout poskytuje možnost ingestovat události Vyhledat do Microsoft Sentinel prostřednictvím rozhraní API pro mobilní rizika. Další informace najdete v dokumentaci k rozhraní API. Datový konektor Lookout poskytuje možnost získat události, které pomáhají zkoumat potenciální rizika zabezpečení a další.
POZNÁMKA: Tento datový konektor je zastaralý, zvažte přechod na datový konektor CCF dostupný v řešení, který nahrazuje příjem dat prostřednictvím zastaralého rozhraní API kolektoru dat HTTP.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Lookout_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft.Web/sites permissions: Vyžaduje se oprávnění ke čtení a zápisu pro Azure Functions k vytvoření aplikace funkcí. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní API pro mobilní rizika: Pro rozhraní API pro mobilní rizika se vyžaduje klíč EnterpriseName a ApiKey . Další informace najdete v tématu ROZHRANÍ API. Zkontrolujte všechny požadavky a postupujte podle pokynů pro získání přihlašovacích údajů.
[Zastaralé] Microsoft Exchange protokoly a události
Podporuje:Community
Zastaralé, použijte datovéconnectory ESI-Opt. Pomocí agenta Windows můžete streamovat všechny události auditu Exchange, protokoly SLUŽBY IIS, protokoly proxy serveru HTTP a protokoly událostí zabezpečení z Windows počítačů připojených k vašemu pracovnímu prostoru Microsoft Sentinel. Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Používá Microsoft Exchange sešity zabezpečení k poskytování přehledů zabezpečení místního prostředí Exchange.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Event |
Ano | Ne |
SecurityEvent |
Ano | Ano |
W3CIISLog |
Ano | Ne |
MessageTrackingLog_CL |
Ano | Ano |
ExchangeHttpProxy_CL |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Požadavky:
- Azure Log Analytics budou zastaralé, pokud chcete shromažďovat data z jiných než Azure virtuálních počítačů, doporučujeme Azure Arc. Další informace
-
Podrobná dokumentace: > Podrobná dokumentace k postupu instalace a použití najdete tady.
Události zabezpečení prostřednictvím starší verze agenta
Podporováno společností:Microsoft Corporation
Pomocí agenta Windows můžete streamovat všechny události zabezpečení z Windows počítačů připojených k pracovnímu prostoru Microsoft Sentinel. Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat šetření. Tím získáte lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení. Další informace najdete v dokumentaci k Microsoft Sentinel.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityEvent |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Subscription-based Microsoft Defender for Cloud (starší verze)
Podporováno společností:Microsoft Corporation
Microsoft Defender for Cloud je nástroj pro správu zabezpečení, který umožňuje detekovat a rychle reagovat na hrozby napříč Azure, hybridními a multicloudovými úlohami. Tento konektor umožňuje streamovat výstrahy zabezpečení z Microsoft Defender for Cloud do Microsoft Sentinel, takže můžete zobrazit data Defenderu v sešitech, dotazovat se na ně a vytvářet výstrahy a zkoumat incidenty a reagovat na ně.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Syslog prostřednictvím starší verze agenta
Podporováno společností:Microsoft Corporation
Syslog je protokol protokolování událostí, který je běžný pro Linux. Aplikace budou odesílat zprávy, které mohou být uloženy na místním počítači nebo doručeny do kolektoru Syslog. Když je agent pro Linux nainstalovaný, nakonfiguruje místní proces démon Syslog tak, aby předával zprávy agentu. Agent pak odešle zprávu do pracovního prostoru.
tabulky Log Analytics:
| Table | Podpora DCR | Příjem dat pouze u jezera |
|---|---|---|
Syslog |
Ano | Ano |
Podpora pravidel shromažďování dat:Transformace pracovního prostoru – DCR
Další kroky
Další informace naleznete v tématu:
- katalog řešení Microsoft Sentinel
- integrace inteligentních funkcí v Microsoft Sentinel