Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje seznam všech podporovaných předefinovaných datových konektorů a odkazy na kroky nasazení jednotlivých konektorů.
Důležité
- Všimněte si, že Microsoft Sentinel datové konektory jsou aktuálně ve verzi Preview. Dodatkové podmínky Azure Preview obsahují další právní podmínky, které se vztahují na Azure funkce, které jsou ve verzi beta, preview nebo jinak ještě nejsou obecně dostupné.
- Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender. Od července 2025 se mnoho nových zákazníků automaticky onboarduje a přesměruje na portál Defender. Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Je čas přesunout: Vyřazování Microsoft Sentinel Azure Portal pro větší zabezpečení.
Datové konektory jsou k dispozici jako součást následujících nabídek:
Řešení: Mnoho datových konektorů se nasazuje jako součást řešení Microsoft Sentinel společně se souvisejícím obsahem, jako jsou analytická pravidla, sešity a playbooky. Další informace najdete v katalogu řešení Microsoft Sentinel.
Konektory komunity: Další datové konektory poskytuje komunita Microsoft Sentinel a najdete je na Azure Marketplace. Za dokumentaci k datovým konektorům komunity zodpovídá organizace, která konektor vytvořila.
Vlastní konektory: Pokud máte zdroj dat, který není uvedený nebo aktuálně podporovaný, můžete si také vytvořit vlastní konektor. Další informace najdete v tématu Prostředky pro vytváření Microsoft Sentinel vlastních konektorů.
Poznámka
Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinel v tématu Dostupnost cloudových funkcí pro zákazníky státní správy USA.
Požadavky na datový konektor
Každý datový konektor má vlastní sadu požadavků. Mezi požadavky může patřit, že musíte mít ke svému Azure pracovnímu prostoru, předplatnému nebo zásadám specifická oprávnění. Nebo musíte splňovat další požadavky na partnerův zdroj dat, ke kterému se připojujete.
Požadavky na jednotlivé datové konektory jsou uvedené na stránce příslušného datového konektoru v Microsoft Sentinel.
Datové konektory Azure Monitor agenta (AMA) vyžadují připojení k internetu ze systému, ve kterém je agent nainstalovaný. Povolte odchozí port 443, abyste umožnili připojení mezi systémem, ve kterém je agent nainstalovaný, a Microsoft Sentinel.
Konektory Syslog a CEF (Common Event Format)
Shromažďování protokolů z mnoha bezpečnostních zařízení a zařízení jsou podporovány datovými konektory Syslog prostřednictvím AMA nebo CEF (Common Event Format) prostřednictvím AMA v Microsoft Sentinel. Pokud chcete předávat data do pracovního prostoru služby Log Analytics pro Microsoft Sentinel, proveďte kroky v tématu Ingestování zpráv syslogu a CEF a Microsoft Sentinel s agentem Azure Monitor. Mezi tyto kroky patří instalace řešení Microsoft Sentinel pro zařízení nebo zařízení zabezpečení z centra Obsahu v Microsoft Sentinel. Potom nakonfigurujte syslog přes AMA nebo CEF (Common Event Format) prostřednictvím datového konektoru AMA, který je vhodný pro Microsoft Sentinel řešení, které jste nainstalovali. Dokončete nastavení konfigurací zabezpečovacího zařízení nebo zařízení. Pokyny ke konfiguraci zabezpečovacího zařízení nebo zařízení najdete v jednom z následujících článků:
- CEF prostřednictvím datového konektoru AMA – Konfigurace konkrétního zařízení nebo zařízení pro Microsoft Sentinel příjem dat
- Syslog prostřednictvím datového konektoru AMA – Konfigurace konkrétního zařízení nebo zařízení pro Microsoft Sentinel příjem dat
Požádejte poskytovatele řešení o další informace nebo informace o tom, kde jsou informace pro zařízení nebo zařízení nedostupné.
Vlastní protokoly prostřednictvím konektoru AMA
Filtrujte a ingestujte protokoly ve formátu textového souboru ze síťových nebo bezpečnostních aplikací nainstalovaných ve Windows nebo Linux počítačů pomocí vlastních protokolů prostřednictvím konektoru AMA v Microsoft Sentinel. Další informace najdete v následujících článcích:
- Shromážděte protokoly z textových souborů pomocí agenta Azure Monitor a ingestujte Microsoft Sentinel
- Vlastní protokoly prostřednictvím datového konektoru AMA – Konfigurace příjmu dat pro Microsoft Sentinel z konkrétních aplikací
Sentinel datových konektorů
Poznámka
Následující tabulka obsahuje seznam datových konektorů, které jsou k dispozici v centru Microsoft Sentinel Content. Konektory podporuje dodavatel produktu. Pokud potřebujete podporu, podívejte se na odkaz Podporováno uživatelem .
Tip
Seznam tabulek přijatých do Microsoft Sentinel a konektorů, které je ingestují, najdete v tématu Microsoft Sentinel tabulek a přidružených konektorů.
1Password (bez serveru)
Podporováno uživatelem:1Password
Konektor 1Password CCF umožňuje uživateli ingestovat události 1Password Audit, Signin & ItemUsage do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
OnePasswordEventLogs_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
1 Token rozhraní APIPassword: Vyžaduje se token rozhraní API 1Password. Postup vytvoření tokenu rozhraní API najdete v dokumentaci 1Password .
1Password (pomocí Azure Functions)
Podporováno uživatelem:1Password
Řešení 1Password pro Microsoft Sentinel umožňuje ingestovat pokusy o přihlášení, využití položek a události auditu z vašeho účtu 1Password Business pomocí rozhraní API pro generování sestav událostí 1Password. To vám umožní monitorovat a zkoumat události v aplikaci 1Password v Microsoft Sentinel společně s dalšími aplikacemi a službami, které vaše organizace používá.
Použité základní technologie Microsoftu:
Toto řešení závisí na následujících technologiích a některé z nich můžou být ve stavu Preview nebo můžou být účtovány další náklady na příjem dat nebo provoz:
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
OnePasswordEventLogs_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- 1 Token rozhraní API pro události hesla: Vyžaduje se token rozhraní API pro události 1Password. Další informace najdete v tématu o rozhraní API 1Password.
Poznámka: Vyžaduje se účet 1Password Business.
Pozorovatelnost A365
Podporováno:Microsoft Corporation
Datový konektor A365 Observability poskytuje lepší přehled o aktivitě agenta AI tím, že přináší telemetrii agenta AI z A365, AI Foundry a Copilotu v Microsoft Sentinel Data Lake a zkoumá chování agenta, používání nástrojů a spouštění pomocí proaktivního vyhledávání, grafů a pracovních postupů MCP. Data z tohoto konektoru se používají ke zkoumání chování agenta AI, použití nástrojů a spouštění v Microsoft Sentinel. Pokud jste tyto pracovní postupy povolili, deaktivace tohoto konektoru zabrání provedení tohoto šetření.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
AbnormalSecurity (pomocí funkce Azure)
Podporováno:Neobvyklé zabezpečení
Datový konektor abnormálního zabezpečení umožňuje ingestovat hrozby a případové přihlášení do Microsoft Sentinel pomocí rozhraní REST API pro abnormální zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ABNORMAL_THREAT_MESSAGES_CL |
Ne | Ne |
ABNORMAL_CASES_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Neobvyklý token Rozhraní API pro zabezpečení: Vyžaduje se neobvyklý token Rozhraní API pro zabezpečení. Další informace najdete v tématu Abnormální Rozhraní API pro zabezpečení.
Poznámka: Vyžaduje se účet abnormálního zabezpečení.
AIShield
Podporováno:AIShield
Konektor AIShield umožňuje uživatelům připojit se k protokolům vlastního mechanismu ochrany AIShield s Microsoft Sentinel, což umožňuje vytváření dynamických řídicích panelů, sešitů, poznámkových bloků a přizpůsobených upozornění, aby se zlepšilo vyšetřování a zmařit útoky na systémy AI. Poskytuje uživatelům lepší přehled o zabezpečení prostředků AI jejich organizace a zlepšuje možnosti operací zabezpečení systémů AI. AIShield.GuArdIan analyzuje vygenerovaný obsah LLM, aby identifikovala a zmírňovala škodlivý obsah a chránila před porušeními právních předpisů, zásad, rolí a na základě použití.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AIShield_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Poznámka: Uživatelé by měli využít nabídku AIShield SaaS k provádění analýzy ohrožení zabezpečení a nasadit vlastní mechanismy obrany vygenerované společně se svým assetem AI.
Kliknutím sem se dozvíte více nebo se s námi spojíte.
Alibaba Cloud ActionTrail (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Alibaba Cloud ActionTrail poskytuje možnost načítat události actiontrail uložené ve službě Alibaba Cloud Simple Log Service a ukládat je do Microsoft Sentinel prostřednictvím rozhraní REST API služby SLS. Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AliCloudActionTrailLogs_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přihlašovací údaje a oprávnění rozhraní REST API SLS: K volání rozhraní API se vyžadují AliCloudAccessKeyId a AliCloudAccessKeySecret . K udělení oprávnění k volání této operace je potřeba prohlášení o zásadách paměti RAM s akcí alespoň
log:GetLogStoreLogsnad prostředkemacs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName}.
Alibaba Cloud Networking Data Connector Connector (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Alibaba Cloud Networking poskytuje možnost ingestovat data cloudových sítí Alibaba do Microsoft Sentinel prostřednictvím rozhraní REST API služby SLS (Simple Log Service). Další informace najdete v dokumentaci k rozhraní API . Konektor poskytuje možnost získat protokoly toku VPC, protokoly WAF a protokoly brány rozhraní API z cloudu Alibaba.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AlibabaCloudVPCFlowLogs |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Přístup ke cloudovému rozhraní API SLS Alibaba: Pro rozhraní API SLS se vyžaduje přístup ke cloudové službě Simple Log Service Alibaba .
AliCloud (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Datový konektor AliCloud umožňuje načítat protokoly z cloudových aplikací pomocí rozhraní CLOUD API a ukládat události do Microsoft Sentinel prostřednictvím rozhraní REST API. Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AliCloud_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: K volání rozhraní API se vyžadují AliCloudAccessKeyId a AliCloudAccessKey .
Amazon Web Services
Podporováno:Microsoft Corporation
Pokyny pro připojení k AWS a streamování protokolů CloudTrail do Microsoft Sentinel se zobrazí během procesu instalace. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AWSCloudTrail |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Amazon Web Services CloudFront (prostřednictvím architektury konektoru bez kódu) (Preview)
Podporováno:Microsoft Corporation
Tento datový konektor umožňuje integraci protokolů AWS CloudFront s Microsoft Sentinel pro podporu pokročilé detekce hrozeb, vyšetřování a monitorování zabezpečení. Konektor využívá Amazon S3 pro ukládání protokolů a Amazon SQS pro řazení zpráv do fronty, a tím spolehlivě ingestuje přístup ke službě CloudFront protokoly do Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AWSCloudFront_AccessLog_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Elastické vyrovnávání zatížení Amazon Web Services (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Konektor AWS Elastic Load Balancing (ELB) pro Microsoft Sentinel umožňuje ingestovat protokoly přístupu a toků z nástrojů pro vyrovnávání zatížení aplikací AWS (ALB), nástrojů pro vyrovnávání zatížení sítě (NLB) a nástrojů pro vyrovnávání zatížení brány (GLB) do Microsoft Sentinel. Tyto protokoly poskytují podrobné informace o požadavcích zpracovaných nástroji pro vyrovnávání zatížení a toky provozu VPC a umožňují monitorování zabezpečení, detekci hrozeb a analýzu provozu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AWSALBAccessLogsData |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
ARN role IAM a fronta SQS: Vyžaduje se ARN role IAM AWS s přístupem mezi účty a adresa URL fronty SQS nakonfigurovaná pro oznámení událostí S3. Pokyny k nastavení najdete v dokumentaci ke konektoru AWS ELB .
Amazon Web Services NetworkFirewall (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Tento datový konektor umožňuje ingestovat protokoly brány firewall sítě AWS do Microsoft Sentinel pro pokročilou detekci hrozeb a monitorování zabezpečení. Díky využití Amazon S3 a Amazon SQS konektor předává protokoly síťového provozu, výstrahy detekce neoprávněných vniknutí a události brány firewall, aby Microsoft Sentinel, což umožňuje analýzu a korelaci s dalšími daty zabezpečení v reálném čase.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AWSNetworkFirewallFlow |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Amazon Web Services S3
Podporováno:Microsoft Corporation
Tento konektor umožňuje ingestovat protokoly služby AWS shromážděné v kontejnerech AWS S3 pro Microsoft Sentinel. Aktuálně podporované datové typy jsou:
- AWS CloudTrail
- Protokoly toku VPC
- AWS GuardDuty
- AWSCloudWatch
Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AWSGuardDuty |
Ano | Ano |
AWSVPCFlow |
Ano | Ano |
AWSCloudTrail |
Ano | Ano |
AWSCloudWatch |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Prostředí: Musíte mít definované a nakonfigurované následující prostředky AWS: S3, Simple Queue Service (SQS), role a zásady oprávnění IAM a služby AWS, jejichž protokoly chcete shromažďovat.
Amazon Web Services S3 DNS Route53 (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Tento konektor umožňuje příjem protokolů DNS AWS Route 53 do Microsoft Sentinel pro lepší viditelnost a detekci hrozeb. Podporuje protokoly dotazů překladače DNS ingestované přímo z kontejnerů AWS S3, zatímco protokoly veřejných dotazů DNS a protokoly auditu route 53 je možné ingestovat pomocí konektorů AWS CloudWatch a CloudTrail Microsoft Sentinel. K dispozici jsou komplexní pokyny, které vás provedou nastavením jednotlivých typů protokolů. Tento konektor využijte k monitorování aktivit DNS, detekci potenciálních hrozeb a zlepšení stavu zabezpečení v cloudových prostředích.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AWSRoute53Resolver |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Amazon Web Services S3 WAF
Podporováno:Microsoft Corporation
Tento konektor umožňuje ingestovat protokoly AWS WAF shromážděné v kontejnerech AWS S3 pro Microsoft Sentinel. Protokoly AWS WAF jsou podrobné záznamy o provozu, které analyzují seznamy řízení přístupu k webu (ACL), které jsou nezbytné pro zajištění zabezpečení a výkonu webových aplikací. Tyto protokoly obsahují informace, jako je čas, kdy služba AWS WAF přijala požadavek, specifika požadavku a akce, kterou pravidlo provedlo, že požadavek odpovídal.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AWSWAF |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Anvilogic
Podporováno:Anvilogic
Datový konektor Anvilogic umožňuje načíst události zájmu vygenerované v clusteru Anvilogic ADX do vašeho Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Anvilogic_Alerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Anvilogic Application Registration ID klienta a tajný klíč klienta: Pro přístup k Anvilogic ADX vyžadujeme ID klienta a tajný klíč klienta z registrace aplikace Anvilogic.
ARGOS Cloud Security
Podporováno:ARGOS Cloud Security
Integrace ARGOS Cloud Security pro Microsoft Sentinel umožňuje mít všechny důležité události zabezpečení cloudu na jednom místě. Díky tomu můžete snadno vytvářet řídicí panely, výstrahy a korelovat události napříč několika systémy. Celkově se tím zlepší stav zabezpečení vaší organizace a reakce na bezpečnostní incidenty.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ARGOS_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Aktivity upozornění Armis (pomocí Azure Functions)
Podporováno:Armis Corporation
Konektor Aktivit upozornění Armis umožňuje ingestovat upozornění a aktivity Armis do Microsoft Sentinel prostřednictvím rozhraní Armis REST API. Další informace najdete v dokumentaci https://<YourArmisInstance>.armis.com/api/v1/docs k rozhraní API. Konektor poskytuje možnost získat informace o upozorněních a aktivitách z platformy Armis a identifikovat hrozby ve vašem prostředí a určit jejich prioritu. Armis používá vaši stávající infrastrukturu ke zjišťování a identifikaci zařízení bez nutnosti nasazovat agenty.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Armis_Alerts_CL |
Ne | Ne |
Armis_Activities_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Vyžaduje se tajný klíč Armis . Další informace o rozhraní API najdete v dokumentaci na webu
https://<YourArmisInstance>.armis.com/api/v1/doc
Zařízení Armis (pomocí Azure Functions)
Podporováno:Armis Corporation
Konektor Armis Device umožňuje ingestovat zařízení Armis do Microsoft Sentinel prostřednictvím rozhraní Armis REST API. Další informace najdete v dokumentaci https://<YourArmisInstance>.armis.com/api/v1/docs k rozhraní API. Konektor umožňuje získat informace o zařízení z platformy Armis. Armis používá vaši stávající infrastrukturu ke zjišťování a identifikaci zařízení bez nutnosti nasazovat agenty. Armis se také může integrovat s vašimi stávajícími nástroji pro správu zabezpečení IT & a identifikovat a klasifikovat každé zařízení, spravované nebo nespravované ve vašem prostředí.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Armis_Devices_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Vyžaduje se tajný klíč Armis . Další informace o rozhraní API najdete v dokumentaci na webu
https://<YourArmisInstance>.armis.com/api/v1/doc
Výstrahy Atlassian Beacon
Podporováno:DEFEND Ltd.
Atlassian Beacon je cloudový produkt vytvořený pro inteligentní detekci hrozeb na platformách Atlassian (Jira, Confluence a Atlassian Správa). To může uživatelům pomoct zjistit a prošetřit rizikové aktivity uživatelů u sady produktů Atlassian a reagovat na ně. Řešením je vlastní datový konektor od společnosti DEFEND Ltd., který slouží k vizualizaci výstrah přijatých ze systému Atlassian Beacon do Microsoft Sentinel prostřednictvím aplikace logiky.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
atlassian_beacon_alerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Atlassian Confluence Audit (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Atlassian Confluence Audit poskytuje možnost ingestovat události záznamů auditu Confluence do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API . Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ConfluenceAuditLogs_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přístup rozhraní Atlassian Confluence API: K získání přístupu k rozhraní API protokolů auditu Confluence se vyžaduje oprávnění správce Confluence . Další informace o rozhraní API pro audit najdete v dokumentaci k rozhraní Confluence API .
Atlassian Jira Audit (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Datový konektor Atlassian Jira Audit poskytuje možnost ingestovat události záznamů auditu Jira do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API . Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Jira_Audit_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Pro rozhraní REST API se vyžaduje JiraAccessToken, JiraUsername . Další informace najdete v tématu rozhraní API. Zkontrolujte všechny požadavky a postupujte podle pokynů k získání přihlašovacích údajů.
Atlassian Jira Audit (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Atlassian Jira Audit poskytuje možnost ingestovat události záznamů auditu Jira do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API . Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Jira_Audit_v2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přístup k rozhraní API Atlassian Jira: K získání přístupu k rozhraní API protokolů auditování Jira se vyžaduje oprávnění správce Jira . Další informace o rozhraní API pro audit najdete v dokumentaci k rozhraní Jira API .
Auth0 Access Management (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Datový konektor Auth0 Access Management poskytuje možnost ingestovat události protokolu Auth0 do Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Auth0AM_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Vyžaduje se token rozhraní API . Další informace najdete v tématu Token rozhraní API.
Protokoly ověřování 0 (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Auth0 umožňuje ingestovat protokoly z rozhraní API Auth0 do Microsoft Sentinel. Datový konektor je založený na Microsoft Sentinel rozhraní konektorů bez kódu. K načtení protokolů používá rozhraní API Auth0 a podporuje transformace doby příjmu dat založené na DCR, které parsují přijatá data zabezpečení do vlastní tabulky, aby je dotazy nemusely znovu parsovat, což vede k lepšímu výkonu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Auth0Logs_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
WebCTRL automatizované logiky
Podporováno:Microsoft Corporation
Protokoly auditu můžete streamovat ze serveru SQL WebCTRL hostovaného na počítačích s Windows připojených k Microsoft Sentinel. Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní upozornění a zlepšovat šetření. Získáte tak přehled o průmyslových řídicích systémech, které jsou monitorovány nebo řízeny aplikací WebCTRL BAS.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Event |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Datový konektor AWS EKS (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor AWS EKS poskytuje možnost ingestovat protokoly auditu ze služby Amazon Elastic Kubernetes Service do Microsoft Sentinel. Tento konektor se zaměřuje na protokoly auditu EKS (formát JSON), které obsahují podrobné informace o požadavcích serveru API, rozhodnutích o ověřování a aktivitách clusteru. Konektor používá AWS SQS k přijímání oznámení při exportu nových souborů protokolu auditu do S3, což zajišťuje monitorování zabezpečení a sledování dodržování předpisů v reálném čase pro clustery Kubernetes.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AWSEKSLogs_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Protokoly přístupu k serveru AWS S3 (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Tento konektor umožňuje ingestovat protokoly přístupu k serveru AWS S3 do Microsoft Sentinel. Tyto protokoly obsahují podrobné záznamy o požadavcích posílaných do kontejnerů S3, včetně typu požadavku, přístupu k prostředku, informací o žadateli a podrobností o odpovědi. Tyto protokoly jsou užitečné pro analýzu vzorů přístupu, ladění problémů a zajištění dodržování předpisů zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AWSS3ServerAccess |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Prostředí: Musíte mít definované a nakonfigurované následující prostředky AWS: S3 Bucket, Simple Queue Service (SQS), role IAM a zásady oprávnění.
Zjištění centra zabezpečení AWS (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Tento konektor umožňuje příjem výsledků AWS Security Hubu, které se shromažďují v kontejnerech AWS S3, do Microsoft Sentinel. Pomáhá zjednodušit proces monitorování a správy výstrah zabezpečení díky integraci zjištění AWS Security Hubu s pokročilými funkcemi detekce hrozeb a reakce Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AWSSecurityHubFindings |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Prostředí: Musíte mít definované a nakonfigurované následující prostředky AWS: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), role a zásady oprávnění IAM.
aktivita Azure
Podporováno:Microsoft Corporation
protokol aktivit Azure je protokol předplatného, který poskytuje přehled o událostech na úrovni předplatného, ke kterým dochází v Azure, včetně událostí z Azure Resource Manager provozních dat, událostí služby Service Health, operací zápisu provedených u prostředků ve vašem předplatném a stavu aktivit prováděných v Azure. Další informace najdete v dokumentaci k Microsoft Sentinel .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureActivity |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Azure Batch účet
Podporováno:Microsoft Corporation
Azure Batch Account je jedinečně identifikovaná entita v rámci služby Batch. Většina řešení Batch používá Azure Storage k ukládání souborů prostředků a výstupních souborů, takže každý účet Batch je obvykle přidružený k odpovídajícímu účtu úložiště. Tento konektor umožňuje streamovat protokoly diagnostiky účtu Azure Batch do Microsoft Sentinel, což vám umožní nepřetržitě monitorovat aktivitu. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Zásada: Role vlastníka přiřazená pro každý obor přiřazení zásad
Azure CloudNGFW by Palo Alto Networks
Podporováno:Palo Alto Networks
Brána firewall nové generace cloudu od Palo Alto Networks – Azure nativní služba ISV – je brána firewall nové generace Palo Alto Networks (NGFW) poskytovaná jako služba nativní pro cloud na Azure. Cloud NGFW můžete zjistit na Azure Marketplace a využívat ho ve virtuální síti Azure. Cloud NGFW vám umožňuje získat přístup k základním funkcím NGFW, jako jsou app-ID a technologie založené na filtrování adres URL. Poskytuje prevenci a detekci hrozeb prostřednictvím cloudových služeb zabezpečení a podpisů pro prevenci hrozeb. Konektor umožňuje snadno propojit protokoly NGFW cloudu s Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní upozornění a zlepšovat šetření. Získáte tak lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení. Další informace najdete v dokumentaci ke službě Cloud NGFW pro Azure.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
fluentbit_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Azure Cognitive Search
Podporováno:Microsoft Corporation
Azure Cognitive Search je cloudová vyhledávací služba, která vývojářům poskytuje infrastrukturu, rozhraní API a nástroje pro vytváření bohatého vyhledávacího prostředí přes privátní heterogenní obsah ve webových, mobilních a podnikových aplikacích. Tento konektor umožňuje streamovat protokoly diagnostiky Azure Cognitive Search do Microsoft Sentinel a nepřetržitě monitorovat aktivitu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Zásada: Role vlastníka přiřazená pro každý obor přiřazení zásad
Azure ochrana před útoky DDoS
Podporováno:Microsoft Corporation
Připojte se k protokolům Azure DDoS Protection Standard prostřednictvím diagnostických protokolů veřejných IP adres. Kromě základní ochrany před útoky DDoS na platformě poskytuje Azure DDoS Protection Standard pokročilé možnosti zmírnění rizik útoků DDoS proti síťovým útokům. Automaticky se vyladí tak, aby chránila vaše konkrétní Azure prostředky. Při vytváření nových virtuálních sítí je ochrana jednoduchá. Dá se to udělat i po vytvoření a nevyžaduje žádné změny aplikace ani prostředků. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Azure protokoly auditu DevOps (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor protokolů auditu Azure DevOps umožňuje ingestovat události auditu z Azure DevOps do Microsoft Sentinel. Tento datový konektor je sestavený pomocí rozhraní konektoru Microsoft Sentinel Codeless Connector Framework a zajišťuje bezproblémovou integraci. Využívá rozhraní API Azure DevOps Audit Logs k načtení podrobných událostí auditu a podporuje transformace doby příjmu dat na základě DCR. Tyto transformace umožňují parsovat přijatá data auditu do vlastní tabulky během příjmu dat, což zlepšuje výkon dotazů tím, že eliminuje potřebu další analýzy. Pomocí tohoto konektoru můžete získat lepší přehled o prostředí Azure DevOps a zjednodušit operace zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ADOAuditLogs_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Azure Předpoklad DevOps: Ujistěte se, že:
1. Zaregistrujte aplikaci Entra v Microsoft Entra Správa Center v části Registrace aplikací.
2. V části Oprávnění rozhraní API přidejte oprávnění k Azure DevOps – vso.auditlog.
3. V části Certifikáty & tajné kódy vygenerujte tajný klíč klienta.
4. Do pole Ověřování přidejte identifikátor URI přesměrování, který najdete níže v příslušném poli.
5. V nastavení Azure DevOps povolte protokol auditu a nastavte Zobrazit protokol auditu pro uživatele. Azure auditování DevOps.
6. Ujistěte se, že uživatel přiřazený k připojení datového konektoru má oprávnění Zobrazovat protokoly auditu explicitně nastavené na povolit za všech okolností. Toto oprávnění je nezbytné pro úspěšný příjem protokolů. Pokud se oprávnění odvolá nebo neudělí, příjem dat se nezdaří nebo se přeruší.
Azure centrum událostí
Podporováno:Microsoft Corporation
Azure Event Hubs je platforma pro streamování velkých objemů dat a služba pro příjem událostí. Může přijímat a zpracovávat miliony událostí za sekundu. Tento konektor umožňuje streamovat diagnostické protokoly centra událostí Azure do Microsoft Sentinel a umožňuje nepřetržitě monitorovat aktivitu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Zásada: Role vlastníka přiřazená pro každý obor přiřazení zásad
Azure Firewall
Podporováno:Microsoft Corporation
Připojte se k Azure Firewall. Azure Firewall je spravovaná cloudová služba zabezpečení sítě, která chrání vaše Azure Virtual Network prostředky. Jedná se o plně stavovou bránu firewall jako službu s integrovanou vysokou dostupností a neomezenou cloudovou škálovatelností. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
AZFWApplicationRule |
Ano | Ano |
AZFWFlowTrace |
Ano | Ano |
AZFWFatFlow |
Ano | Ano |
AZFWNatRule |
Ano | Ano |
AZFWDnsQuery |
Ano | Ano |
AZFWIdpsSignature |
Ano | Ano |
AZFWInternalFqdnResolutionFailure |
Ano | Ano |
AZFWNetworkRule |
Ano | Ano |
AZFWThreatIntel |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Azure Key Vault
Podporováno:Microsoft Corporation
Azure Key Vault je cloudová služba pro bezpečné ukládání tajných kódů a přístup k nim. Tajný kód je cokoli, ke kterému chcete přísně řídit přístup, například klíče rozhraní API, hesla, certifikáty nebo kryptografické klíče. Tento konektor umožňuje streamovat protokoly diagnostiky Azure Key Vault do Microsoft Sentinel a nepřetržitě monitorovat aktivitu ve všech vašich instancích. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Azure Kubernetes Service (AKS)
Podporováno:Microsoft Corporation
Azure Kubernetes Service (AKS) je opensourcová plně spravovaná služba orchestrace kontejnerů, která umožňuje nasazovat, škálovat a spravovat kontejnery Dockeru a aplikace založené na kontejnerech v prostředí clusteru. Tento konektor umožňuje streamovat protokoly diagnostiky Azure Kubernetes Service (AKS) do Microsoft Sentinel a nepřetržitě monitorovat aktivitu ve všech vašich instancích. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Azure Logic Apps
Podporováno:Microsoft Corporation
Azure Logic Apps je cloudová platforma pro vytváření a spouštění automatizovaných pracovních postupů, které integrují vaše aplikace, data, služby a systémy. Tento konektor umožňuje streamovat protokoly diagnostiky Azure Logic Apps do Microsoft Sentinel a nepřetržitě monitorovat aktivitu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Zásada: Role vlastníka přiřazená pro každý obor přiřazení zásad
Azure Resource Graph
Podporováno:Microsoft Corporation
konektor Azure Resource Graph poskytuje podrobnější přehled o Azure událostech tím, že doplňuje podrobnosti o Azure předplatných a Azure prostředcích.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Zásada: Oprávnění role vlastníka u předplatných Azure
Azure Service Bus
Podporováno:Microsoft Corporation
Azure Service Bus je plně spravovaný podnikový zprostředkovatel zpráv s frontami zpráv a tématy publikování a odběru (v oboru názvů). Tento konektor umožňuje streamovat protokoly diagnostiky Azure Service Bus do Microsoft Sentinel a nepřetržitě monitorovat aktivitu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Zásada: Role vlastníka přiřazená pro každý obor přiřazení zásad
databáze Azure SQL
Podporováno:Microsoft Corporation
Azure SQL je plně spravovaný databázový stroj PaaS (Platforma jako služba), který zpracovává většinu funkcí správy databází, jako je upgrade, opravy, zálohování a monitorování, bez nutnosti zásahu uživatele. Tento konektor umožňuje streamovat protokoly auditu a diagnostiky Azure SQL databází do Microsoft Sentinel a nepřetržitě monitorovat aktivitu ve všech vašich instancích.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Azure účet úložiště
Podporováno:Microsoft Corporation
účet Azure Storage je cloudové řešení pro moderní scénáře ukládání dat. Obsahuje všechny datové objekty: objekty blob, soubory, fronty, tabulky a disky. Tento konektor umožňuje streamovat diagnostické protokoly účtů Azure Storage do pracovního prostoru Microsoft Sentinel a umožňuje nepřetržitě monitorovat aktivitu ve všech instancích a zjišťovat škodlivé aktivity ve vaší organizaci. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureMetrics |
Ne | Ne |
StorageBlobLogs |
Ano | Ano |
StorageQueueLogs |
Ano | Ano |
StorageTableLogs |
Ano | Ano |
StorageFileLogs |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Zásada: Role vlastníka přiřazená pro každý obor přiřazení zásad
Azure Stream Analytics
Podporováno:Microsoft Corporation
Azure Stream Analytics je analytický modul a komplexní modul pro zpracování událostí v reálném čase, který je navržený tak, aby současně analyzoval a zpracovával velké objemy dat rychlého streamování z více zdrojů. Tento konektor umožňuje streamovat diagnostické protokoly centra Azure Stream Analytics do Microsoft Sentinel a nepřetržitě monitorovat aktivitu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Zásada: Role vlastníka přiřazená pro každý obor přiřazení zásad
Azure Web Application Firewall (WAF)
Podporováno:Microsoft Corporation
Připojte se k Azure Web Application Firewall (WAF) pro Application Gateway, Front Door nebo CDN. Tento WAF chrání vaše aplikace před běžnými webovými ohroženími zabezpečení, jako je injektáž SQL a skriptování mezi weby, a umožňuje přizpůsobit pravidla tak, aby se snížil počet falešně pozitivních výsledků. Během procesu instalace se zobrazí pokyny ke streamování protokolů brány firewall webových aplikací Microsoftu do Microsoft Sentinel. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
BETTER Mobile Threat Defense (MTD)
Podporováno:Better Mobile Security Inc.
Konektor BETTER MTD umožňuje podnikům propojit své instance Better MTD s Microsoft Sentinel, zobrazit jejich data na řídicích panelech, vytvářet vlastní upozornění, používat je k aktivaci playbooků a rozšířit možnosti proaktivního vyhledávání hrozeb. Uživatelé tak můžou získat lepší přehled o mobilních zařízeních organizace a rychle analyzovat aktuální stav zabezpečení mobilních zařízení, což zlepšuje jejich celkové možnosti SecOps.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
BetterMTDIncidentLog_CL |
Ne | Ne |
BetterMTDDeviceLog_CL |
Ne | Ne |
BetterMTDNetflowLog_CL |
Ne | Ne |
BetterMTDAppLog_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
BeyondTrust PM Cloud
Podporováno:BeyondTrust
Datový konektor BeyondTrust Privilege Management Cloud umožňuje ingestovat protokoly auditu aktivit a protokoly událostí klienta z cloudu BeyondTrust PM do Microsoft Sentinel.
Tento konektor používá Azure Functions k načtení dat z cloudového rozhraní API BeyondTrust PM a jejich ingestování do vlastních tabulek Log Analytics.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
BeyondTrustPM_ActivityAudits_CL |
Ano | Ano |
BeyondTrustPM_ClientEvents_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje rozhraní BeyondTrust PM Cloud API: Vyžaduje se ID klienta OAuth a tajný klíč klienta BeyondTrust PM Cloud. Účet rozhraní API vyžaduje následující oprávnění: Audit – jen pro čtení a Vytváření sestav – Jen pro čtení
Konektor BigID DSPM
Podporováno:BigID
Datový konektor BigID DSPM poskytuje možnost ingestovat bigID DSPM případy s ovlivněnými objekty a informacemi o zdroji dat do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
BigIDDSPMCatalog_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přístup k rozhraní API bigID DSPM: Vyžaduje se přístup k rozhraní API bigID DSPM prostřednictvím tokenu BigID.
Bitglass (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Datový konektor Bitglass poskytuje možnost načítat protokoly událostí zabezpečení služeb Bitglass a další události do Microsoft Sentinel prostřednictvím rozhraní REST API. Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
BitglassLogs_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Pro volání rozhraní API se vyžadují BitglassToken a BitglassServiceURL .
Protokoly událostí Bitwarden
Podporováno:Bitwarden Inc
Tento konektor poskytuje přehled o aktivitách vaší organizace Bitwarden, jako je aktivita uživatele (přihlášení, změna hesla, 2fa atd.), aktivita šifrování (vytvoření, aktualizace, odstranění, sdílení atd.), aktivita shromažďování, aktivita organizace a další.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
BitwardenEventLogs |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Bitwarden ID klienta a tajný klíč klienta: Klíč rozhraní API najdete v konzole pro správu organizace Bitwarden. Další informace najdete v dokumentaci ke službě Bitwarden .
Box (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Datový konektor Boxu umožňuje ingestovat události Boxu enterprise do Microsoft Sentinel pomocí rozhraní REST API boxu. Další informace najdete v dokumentaci k Boxu .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
BoxEvents_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje rozhraní Box API: Konfigurační soubor JSON boxu se vyžaduje pro ověřování Box REST API JWT. Další informace najdete v tématu Ověřování JWT.
Box Events (CCF)
Podporováno:Microsoft Corporation
Datový konektor Boxu umožňuje ingestovat události Boxu enterprise do Microsoft Sentinel pomocí rozhraní REST API boxu. Další informace najdete v dokumentaci k Boxu .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
BoxEventsV2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Přihlašovací údaje rozhraní Box API: Rozhraní BOX API vyžaduje k ověření ID klienta a tajný klíč klienta. Další informace najdete v tématu Udělení přihlašovacích údajů klienta.
-
Box Enterprise ID: K vytvoření připojení se vyžaduje Box Enterprise ID. Projděte si dokumentaci k vyhledání ENTERPRISE ID.
konektor CHECK POINT CloudGuard CNAPP pro Microsoft Sentinel
Podporuje:Check Point
Datový konektor CloudGuard umožňuje příjem událostí zabezpečení z rozhraní API CloudGuard do Microsoft Sentinel ™ pomocí rozhraní Codeless Connector Framework Microsoft Sentinel. Konektor podporuje transformace doby příjmu dat na základě DCR, které parsují příchozí data událostí zabezpečení do vlastních sloupců. Tento proces předběžné analýzy eliminuje potřebu analýzy v době dotazu, což vede ke zlepšení výkonu dotazů na data.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CloudGuard_SecurityEvents_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Klíč rozhraní API CloudGuard: Pokud chcete vygenerovat klíč rozhraní API, postupujte podle pokynů uvedených tady .
konektor Check Point Cyberint Alerts (prostřednictvím architektury konektorů bez kódu)
Podporováno:Cyberint
Cyberint, Check Point společnost, poskytuje integraci Microsoft Sentinel, která zjednodušuje kritická upozornění a přináší rozšířené informace o hrozbách z řešení Infinity External Risk Management do Microsoft Sentinel. To zjednodušuje proces sledování stavu lístků s automatickými aktualizacemi synchronizace napříč systémy. Díky této nové integraci pro Microsoft Sentinel můžou stávající zákazníci cyberintu a Microsoft Sentinel snadno načíst protokoly založené na zjištěních cyberintu do platformy Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
argsentdc_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Check Point Cyberint API Key, Argos URL a Název zákazníka: Vyžaduje se klíč rozhraní API konektoru, adresa URL Argos a název zákazníka.
konektor Check Point Cyberint IOC
Podporováno:Cyberint
Toto je datový konektor pro Check Point Cyberint IOC.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
iocsent_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Check Point Cyberint API Key a Adresa URL Argos: Vyžaduje se klíč rozhraní API konektoru a adresa URL Argos.
Cisco ASA/FTD přes AMA
Podporováno:Microsoft Corporation
Konektor brány firewall Cisco ASA umožňuje snadno propojit protokoly Cisco ASA s Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní upozornění a zlepšovat šetření. Získáte tak lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Aby bylo možné shromažďovat data z Azure virtuálních počítačů, musí mít nainstalované a povolené Azure Arc.
Další informace
Cisco Cloud Security (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Řešení Cisco Cloud Security pro Microsoft Sentinel umožňuje ingestovat protokolyCisco Secure Access a Cisco Umbrella uložené ve službě Amazon S3 do Microsoft Sentinel pomocí rozhraní Amazon S3 REST API. Další informace najdete v dokumentaci ke správě protokolů Cisco Cloud Security .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Cisco_Umbrella_dns_CL |
Ano | Ano |
Cisco_Umbrella_proxy_CL |
Ano | Ano |
Cisco_Umbrella_ip_CL |
Ano | Ano |
Cisco_Umbrella_cloudfirewall_CL |
Ano | Ano |
Cisco_Umbrella_firewall_CL |
Ano | Ano |
Cisco_Umbrella_dlp_CL |
Ne | Ne |
Cisco_Umbrella_ravpnlogs_CL |
Ne | Ne |
Cisco_Umbrella_audit_CL |
Ne | Ne |
Cisco_Umbrella_ztna_CL |
Ne | Ne |
Cisco_Umbrella_intrusion_CL |
Ne | Ne |
Cisco_Umbrella_ztaflow_CL |
Ne | Ne |
Cisco_Umbrella_fileevent_CL |
Ne | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní Amazon S3 REST API: Pro rozhraní Amazon S3 REST API se vyžaduje ID přístupového klíče AWS, tajný přístupový klíč AWSa název kbelíku AWS S3 .
Cisco Cloud Security (s využitím plánu Elastic Premium) (s využitím Azure Functions)
Podporováno:Microsoft Corporation
Datový konektor Cisco Umbrella umožňuje ingestovat události Cisco Umbrella uložené ve službě Amazon S3 do Microsoft Sentinel pomocí rozhraní AMAZON S3 REST API. Další informace najdete v dokumentaci ke správě protokolů Cisco Umbrella .
POZNÁMKA: Tento datový konektor používá plán Azure Functions Premium k povolení možností zabezpečeného příjmu dat a bude vyžadovat další náklady. Další podrobnosti o cenách najdete tady.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Cisco_Umbrella_dns_CL |
Ano | Ano |
Cisco_Umbrella_proxy_CL |
Ano | Ano |
Cisco_Umbrella_ip_CL |
Ano | Ano |
Cisco_Umbrella_cloudfirewall_CL |
Ano | Ano |
Cisco_Umbrella_firewall_CL |
Ano | Ano |
Cisco_Umbrella_dlp_CL |
Ne | Ne |
Cisco_Umbrella_ravpnlogs_CL |
Ne | Ne |
Cisco_Umbrella_audit_CL |
Ne | Ne |
Cisco_Umbrella_ztna_CL |
Ne | Ne |
Cisco_Umbrella_intrusion_CL |
Ne | Ne |
Cisco_Umbrella_ztaflow_CL |
Ne | Ne |
Cisco_Umbrella_fileevent_CL |
Ne | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- Přihlašovací údaje a oprávnění rozhraní Amazon S3 REST API: Pro rozhraní Amazon S3 REST API se vyžaduje ID přístupového klíče AWS, tajný přístupový klíč AWSa název kbelíku AWS S3 .
-
Virtual Network oprávnění (pro privátní přístup): Pro přístup k účtu privátního úložiště se u Virtual Network a podsítě vyžadují oprávnění Přispěvatel sítě. Podsíť musí být delegovaná na Microsoft.Web/serverFarms , aby bylo možné integrovat virtuální síť aplikace funkcí.
Cisco Duo Security (pomocí Azure Functions)
Podporováno:Cisco Systems
Datový konektor Cisco Duo Security umožňuje ingestovat protokoly ověřování, protokoly správce, protokoly telefonie, protokoly offline registrace a události monitorování důvěryhodnosti do Microsoft Sentinel pomocí rozhraní Cisco Duo Správa API. Další informace najdete v dokumentaci k rozhraní API .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CiscoDuo_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje rozhraní Cisco Duo API: Přihlašovací údaje rozhraní Cisco Duo API s oprávněním Pro rozhraní Cisco Duo API je vyžadován protokol pro čtení. Další informace o vytváření přihlašovacích údajů rozhraní CISCO Duo API najdete v dokumentaci .
Cisco ETD (pomocí Azure Functions)
Podporováno:N/A
Konektor načítá data z rozhraní ETD API pro analýzu hrozeb.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CiscoETD_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Email rozhraní API pro ochranu před hrozbami, klíč rozhraní API, ID klienta a tajný klíč: Ujistěte se, že máte klíč rozhraní API, ID klienta a tajný klíč.
Cisco Meraki (s využitím rozhraní REST API)
Podporováno:Microsoft Corporation
Konektor Cisco Meraki umožňuje snadno připojit události organizace Cisco Meraki (události zabezpečení, změny konfigurace a požadavky rozhraní API) k Microsoft Sentinel. Datový konektor používá rozhraní Cisco Meraki REST API k načtení protokolů a podporuje transformace času příjmu dat na základě DCR, které parsují přijatá data a ingestují do ASIM a vlastních tabulek ve vašem pracovním prostoru služby Log Analytics. Tento datový konektor těží z možností, jako je filtrování času příjmu dat na základě DCR nebo normalizace dat.
Podporované schéma ASIM:
- Síťová relace
- Webová relace
- Událost auditu
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ASimNetworkSessionLogs |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Cisco Meraki REST API Key: Povolte přístup k rozhraní API v Cisco Meraki a vygenerujte klíč rozhraní API. Další informace najdete v oficiální dokumentaci společnosti Cisco Meraki.
-
Cisco Meraki Organization ID: Získejte ID organizace Cisco Meraki pro načtení událostí zabezpečení. Postupujte podle kroků v dokumentaci a získejte ID organizace pomocí klíče rozhraní API Meraki získaného v předchozím kroku.
Zabezpečený koncový bod Cisco (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Cisco Secure Endpoint (dříve AMP for Endpoints) poskytuje možnost ingestovat protokoly auditu a události cisco secure endpoint do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CiscoSecureEndpointAuditLogsV2_CL |
Ano | Ano |
CiscoSecureEndpointEventsV2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přihlašovací údaje nebo oblasti rozhraní API zabezpečeného koncového bodu Cisco: Pokud chcete vytvořit přihlašovací údaje rozhraní API a porozumět oblastem, použijte odkaz na dokument uvedený tady.
Klikněte sem.
Softwarově definovaná síť WAN Cisco
Podporováno:Cisco Systems
Datový konektor Cisco Softwarově definované sítě WAN (SD-WAN) umožňuje ingestovat data syslogu Cisco SD-WAN a Netflow do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Syslog |
Ano | Ano |
CiscoSDWANNetflow_CL |
Ne | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Claroty xDome
Podpora:xDome – zákaznická podpora
Claroty xDome poskytuje komplexní možnosti správy zabezpečení a výstrah pro zdravotnická a průmyslová síťová prostředí. Je navržený tak, aby mapuje více zdrojových typů, identifikuje shromážděná data a integruje je do Microsoft Sentinel datových modelů. Výsledkem je možnost monitorovat všechny potenciální hrozby ve vašem zdravotnickém a průmyslovém prostředí na jednom místě, což vede k efektivnějšímu monitorování zabezpečení a silnějšímu stavu zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Cloudflare (Preview) (s využitím Azure Functions)
Podporováno:Cloudflare
Datový konektor Cloudflare umožňuje ingestovat protokoly Cloudflare do Microsoft Sentinel pomocí cloudflare Logpush a Azure Blob Storage. Další informace najdete v dokumentaci ke službě Cloudflare .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Cloudflare_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Azure Blob Storage připojovací řetězec a název kontejneru: Azure Blob Storage připojovací řetězec a název kontejneru, kam cloudflare Logpush odešle protokoly. Další informace najdete v tématu Vytvoření kontejneru Azure Blob Storage.
Cloudflare (pomocí kontejneru objektů blob) (prostřednictvím architektury konektoru bez kódu)
Podporováno:Cloudflare
Datový konektor Cloudflare umožňuje ingestovat protokoly Cloudflare do Microsoft Sentinel pomocí cloudflare Logpush a Azure Blob Storage. Další informace najdete v dokumentaci ke službě Cloudflare.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CloudflareV2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Vytvoření účtu úložiště a kontejneru: Před nastavením logpush v Cloudflare nejprve vytvořte účet úložiště a kontejner v Microsoft Azure. V tomto průvodci se dozvíte více o kontejnerech a objektech blob. Podle pokynů v dokumentaci vytvořte účet Azure Storage.
- Vygenerování adresy URL SAS objektu blob: Vyžadují se oprávnění k vytvoření a zápisu. Další informace o tokenu SAS objektu blob a adrese URL najdete v dokumentaci .
-
Shromažďování protokolů z Cloudflare do kontejneru objektů blob: Postupujte podle pokynů v dokumentaci ke shromažďování protokolů z Cloudflare do kontejneru objektů blob.
Cognni
Podporováno:Cognni
Konektor Cognni nabízí rychlou a jednoduchou integraci s Microsoft Sentinel. Cognni můžete použít k autonomnímu mapování dříve neklasifikovaných důležitých informací a detekci souvisejících incidentů. To vám umožní rozpoznat rizika spojená s důležitými informacemi, porozumět závažnosti incidentů a prozkoumat podrobnosti, které potřebujete napravit, a to dostatečně rychle, aby to bylo důležité.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CognniIncidents_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Cohesity (pomocí Azure Functions)
Podporováno:Cohesity
Aplikace funkcí Cohesity umožňují ingestovat výstrahy ransomwaru Cohesity Datahawk do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Cohesity_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Azure Blob Storage připojovací řetězec a název kontejneru: Azure Blob Storage připojovací řetězec a název kontejneru
CommvaultSecurityIQ
Podporuje:Commvault
Tato funkce Azure umožňuje uživatelům služby Commvault ingestovat výstrahy nebo události do jejich Microsoft Sentinel instance. Pomocí analytických pravidel může Microsoft Sentinel automaticky vytvářet incidenty Microsoft Sentinel z příchozích událostí a protokolů.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CommvaultAlerts_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- Adresa URL koncového bodu prostředí Commvault: Nezapomeňte postupovat podle dokumentace a nastavit hodnotu tajného kódu ve službě KeyVault.
-
Commvault QSDK Token: Nezapomeňte postupovat podle dokumentace a nastavit hodnotu tajného kódu ve službě KeyVault.
ContrastADR
Podporováno: Zabezpečeníkontrastu
Datový konektor ContrastADR umožňuje ingestovat události útoku Contrast ADR do Microsoft Sentinel pomocí webhooku ContrastADR. Datový konektor ContrastADR může obohatit příchozí data webhooku o volání rozšíření rozhraní ContrastADR API.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ContrastADR_CL |
Ne | Ne |
ContrastADRIncident_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
Konektor Corelight Exportér
Podporováno:Corelight
Datový konektor Corelight umožňuje uživatelům reagujících na incidenty a lovcům hrozeb, kteří používají Microsoft Sentinel, pracovat rychleji a efektivněji. Datový konektor umožňuje příjem událostí ze Zeeku a Suricaty přes Corelight Sensors do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Corelight |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Cortex XDR – Incidenty
Podporováno:DEFEND Ltd.
Vlastní datový konektor od společnosti DEFEND, který využívá rozhraní Cortex API k ingestování incidentů z platformy Cortex XDR do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CortexXDR_Incidents_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přihlašovací údaje rozhraní Cortex API: Pro rozhraní REST API se vyžaduje token rozhraní CORTEX API . Další informace najdete v tématu rozhraní API. Zkontrolujte všechny požadavky a postupujte podle pokynů k získání přihlašovacích údajů.
Dětská postýlka
Podporuje:Cribl
Konektor Cribl umožňuje snadno propojit vaše kulatiny Cribl (Cribl edice Enterprise - Standalone) s Microsoft Sentinel. Získáte tak lepší přehled o datových kanálech vaší organizace.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CriblInternal_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
CrowdStrike API Data Connector (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
CrowdStrike Data Connector umožňuje ingestovat protokoly z rozhraní CROWDStrike API do Microsoft Sentinel. Tento konektor poskytuje možnost ingestovat upozornění, detekce, hostitele, případy a ohrožení zabezpečení CrowdStrike do Microsoft Sentinel. Tento konektor je založený na architektuře konektoru bez kódu Microsoft Sentinel a k načtení protokolů používá rozhraní API CrowdStrike. Podporuje transformace času příjmu dat na základě DCR, aby dotazy mohly běžet efektivněji. Další informace najdete v dokumentaci k rozhraní CROWDStrike API .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CrowdStrikeAlerts |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Klient a obory rozhraní API Crowdstrike OAuth2: Výstrahy, integrace rozhraní API, protokoly aplikací, případy, pravidla korelace, detekce, hostitelé, prostředky, incidenty, Files v karanténě, ohrožení zabezpečení jsou vyžadována pro rozhraní REST API. Další informace najdete v tématu rozhraní API.
CrowdStrike Falcon Adversary Intelligence (pomocí Azure Functions)
Podporováno:Microsoft Corporation
CrowdStrike Falcon Indicators of Compromise connector načte indikátory ohrožení z rozhraní Falcon Intel API a nahraje je Microsoft Sentinel Threat Intel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ThreatIntelIndicators |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
CROWDStrike API ID klienta a tajný klíč klienta: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Přihlašovací údaje CrowdStrike musí mít rozsah čtení Indikátory (Falcon Intelligence).
CrowdStrike Falcon Data Replicator (AWS S3) (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Konektor Crowdstrike Falcon Data Replicator (S3) poskytuje možnost ingestovat data událostí FDR pro Microsoft Sentinel z kontejneru AWS S3, ve kterém se streamovaly protokoly FDR. Konektor poskytuje možnost získávat události z agentů Falconu, což pomáhá zkoumat potenciální bezpečnostní rizika, analyzovat využití spolupráce vašeho týmu, diagnostikovat problémy s konfigurací a další.
POZNÁMKA:
1. Licence CrowdStrike FDR musí být dostupná & povolena.
2. Konektor vyžaduje, aby byla v AWS nakonfigurovaná role IAM, aby umožňoval přístup k kontejneru AWS S3, a nemusí být vhodný pro prostředí, která využívají spravované kontejnery CrowdStrike.
3. Pro prostředí, která využívají kontejnery spravované CrowdStrike, nakonfigurujte konektor CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3).
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CrowdStrike_Additional_Events_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Tento konektor umožňuje příjem dat FDR do Microsoft Sentinel pomocí Azure Functions pro podporu posouzení potenciálních bezpečnostních rizik, analýzy aktivit spolupráce, identifikace problémů s konfigurací a dalších provozních přehledů.
POZNÁMKA:
1. Licence CrowdStrike FDR musí být dostupná & povolena.
2. Konektor používá ověřování založené na klíči & tajným kódem a je vhodný pro spravované kontejnery CrowdStrike.
3. Pro prostředí, která používají plně vlastněný kontejner AWS S3, Microsoft doporučuje používat konektor CrowdStrike Falcon Data Replicator (AWS S3).
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CrowdStrikeReplicatorV2 |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění účtu SQS a AWS S3: vyžaduje se AWS_SECRET, AWS_REGION_NAME, AWS_KEYQUEUE_URL. Další informace najdete v tématu Načítání dat. Začněte tím, že kontaktujete podporu CrowdStrike. Na vaši žádost vytvoří kontejner Amazon Web Services (AWS) spravovaný crowdStrike S3 pro účely krátkodobého úložiště a také účet SQS (jednoduchá frontová služba) pro monitorování změn kbelíku S3.
CTERA Syslog
Podporuje:CTERA
Datový konektor CTERA pro Microsoft Sentinel nabízí funkce monitorování a detekce hrozeb pro vaše řešení CTERA. Obsahuje sešit, který vizualizuje součet všech operací podle typu, odstranění a operací odepření přístupu. Poskytuje také analytická pravidla, která detekuje incidenty ransomwaru a upozorní vás, když je uživatel zablokován kvůli podezřelé aktivitě ransomware. Kromě toho vám pomůže identifikovat kritické vzory, jako jsou události hromadného odepření přístupu, hromadné odstraňování a hromadné změny oprávnění, což umožňuje proaktivní správu hrozeb a reakci na ně.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Syslog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
CTM360 CyberBlindspot (bez serveru)
Podporováno:Cyber Threat Management 360
Konektor CTM360 Cyber Blind Spot (CBS) poskytuje integraci s platformou CTM360 CBS a umožňuje ingestovat bezpečnostní data napříč 6 typy modulů: incidenty, protokoly malwaru, porušené přihlašovací údaje, ohrožené karty, porušení domén a porušení subdomény. Tento konektor používá architekturu CCF (Codeless Connector Framework) pro shromažďování dat bez serveru.
Datové typy:
- CBSLog_AzureV2_CL
- CBS_MalwareLogs_AzureV2_CL
- CBS_BreachedCredentials_AzureV2_CL
- CBS_CompromisedCards_AzureV2_CL
- CBS_DomainInfringement_AzureV2_CL
- CBS_SubdomainInfringement_AzureV2_CL
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CBSLog_AzureV2_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Klíč rozhraní API CTM360 CBS: Pro připojení ke koncovému bodu rozhraní API CBS se vyžaduje platný klíč rozhraní API CTM360 Cyber Blind Spot.
CTM360 HackerView (bezserverové)
Podporováno:Cyber Threat Management 360
Konektor CTM360 HackerView umožňuje ingestovat problémy se zabezpečením a ohrožení zabezpečení z platformy HackerView External Attack Surface Management do Microsoft Sentinel. Tento bezserverový konektor používá rozhraní REST API k automatickému načítání dat o problému pro účely analýzy a korelace s jinými událostmi zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
HackerViewLog_AzureV2_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
HackerView API Key: Vyžaduje se platný klíč rozhraní API HackerView s oprávněními pro přístup k datům problémů.
Vlastní protokoly prostřednictvím AMA
Podporováno:Microsoft Corporation
Mnoho aplikací protokoluje informace do textových souborů nebo souborů JSON místo standardních služeb protokolování, jako jsou protokoly událostí Systému Windows, Syslog nebo CEF. Datový konektor Custom Logs umožňuje shromažďovat události ze souborů na počítačích s Windows i Linux a streamovat je do vlastních tabulek protokolů, které jste vytvořili. Při streamování dat můžete analyzovat a transformovat obsah pomocí DCR. Po shromáždění dat můžete použít analytická pravidla, proaktivní vyhledávání, analýzu hrozeb, rozšiřování a další.
POZNÁMKA: Tento konektor použijte pro následující zařízení: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, Server Apache HTTP, Apache Tomcat, Jboss Enterprise Application Platform, Juniper IDP, MarkLogic Audit, Audit MongoDB, Server HTTP Nginx, Oracle Weblogic server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP a AI vectra stream.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
JBossEvent_CL |
Ne | Ne |
JuniperIDP_CL |
Ano | Ano |
ApacheHTTPServer_CL |
Ano | Ano |
Tomcat_CL |
Ano | Ano |
meraki_CL |
Ano | Ano |
VectraStream_CL |
Ne | Ne |
MarkLogicAudit_CL |
Ne | Ne |
MongoDBAudit_CL |
Ano | Ano |
NGINX_CL |
Ano | Ano |
OracleWebLogicServer_CL |
Ano | Ano |
PostgreSQL_CL |
Ano | Ano |
SquidProxy_CL |
Ano | Ano |
Ubiquiti_CL |
Ano | Ano |
vcenter_CL |
Ano | Ano |
ZPA_CL |
Ano | Ano |
SecurityBridgeLogs_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Oprávnění: Pokud chcete shromažďovat data z virtuálních počítačů, které nejsou Azure, musí mít nainstalované a povolené Azure Arc.
Další informace
CyberArk Audit
Podporováno:Podpora CyberArk
Datový konektor CyberArk Audit umožňuje Microsoft Sentinel ingestovat protokoly událostí zabezpečení a další události ze služby CyberArk Audit prostřednictvím rozhraní REST API. Tato integrace vám pomůže odhalit potenciální bezpečnostní rizika, monitorovat aktivitu uživatelů, analyzovat vzory spolupráce, řešit problémy s konfigurací a získat hlubší přehled o vašem prostředí.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CyberArk_AuditEvents_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
CyberArk Audit Service Platform: Přístup k provádění požadovaných konfigurací na platformě CyberArk Audit
CyberArkAudit (pomocí Azure Functions)
Podporováno:Podpora CyberArk
Datový konektor CyberArk Audit poskytuje možnost načítat protokoly událostí zabezpečení služby CyberArk Audit a další události do Microsoft Sentinel prostřednictvím rozhraní REST API. Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CyberArk_AuditEvents_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Audit podrobností o připojeních rozhraní REST API a přihlašovacích údajů: K volání rozhraní API se vyžadují OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint a AuditApiBaseUrl .
Cybersixgill Actionable Alerts (pomocí Azure Functions)
Podporováno:Cybersixgill
Výstrahy s akcemi poskytují přizpůsobená upozornění na základě nakonfigurovaných prostředků.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CyberSixgill_Alerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: K volání rozhraní API se vyžadují Client_ID a Client_Secret .
Upozornění Cyble Vision
Podporováno:Podpora Cyble
Datový konektor CCF Cyble Vision Alerts umožňuje příjem upozornění na hrozby z Cyble Vision do Microsoft Sentinel pomocí konektoru codeless Connector Framework. Shromažďuje data upozornění prostřednictvím rozhraní API, normalizuje je a ukládá je do vlastní tabulky pro pokročilé zjišťování, korelaci a odpovědi.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CybleVisionAlerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Token rozhraní API Cyble Vision: Vyžaduje se token rozhraní API z platformy Cyble Vision.
Cyborg Security HUNTER Hunt Balíčky
Podporováno:Cyborg Security
Cyborg Security je předním poskytovatelem pokročilých řešení proaktivního vyhledávání hrozeb, jejímž cílem je poskytnout organizacím špičkové technologie a nástroje pro spolupráci, aby bylo proaktivně odhalovat kybernetické hrozby a reagovat na ně. Vlajková loď Cyborg Security, platforma HUNTER, kombinuje výkonné analýzy, kurátorovaný obsah proaktivního vyhledávání hrozeb a komplexní možnosti správy lovů a vytváří dynamický ekosystém pro efektivní operace proaktivního vyhledávání hrozeb.
Postupujte podle pokynů k získání přístupu ke komunitě Cyborg Security a nastavte funkce Open in Tool na platformě HUNTER.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityEvent |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Cyera DSPM Microsoft Sentinel Data Connector
Podporováno společností:Cyera Inc
Datový konektor Cyera DSPM umožňuje připojit se k DSPM tenantovi Cyery a ingestovat klasifikace, prostředky, problémy a prostředky a definice identit do Microsoft Sentinel. Datový konektor je založený na architektuře konektoru bez kódu Microsoft Sentinel a používá rozhraní API Cyery k načtení DSPM Telemetrie Cyery po přijetí se dá korelovat s událostmi zabezpečení, které vytvářejí vlastní sloupce, aby je dotazy nemusely znovu parsovat, což vede k lepšímu výkonu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CyeraClassifications_CL |
Ne | Ne |
CyeraAssets_CL |
Ne | Ne |
CyeraAssets_MS_CL |
Ne | Ne |
CyeraIssues_CL |
Ne | Ne |
CyeraIdentities_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Oblast útoku CYFIRMA
Podporováno:CYFIRMA
Není k dispozici.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CyfirmaASCertificatesAlerts_CL |
Ano | Ano |
CyfirmaASConfigurationAlerts_CL |
Ano | Ano |
CyfirmaASDomainIPReputationAlerts_CL |
Ano | Ano |
CyfirmaASOpenPortsAlerts_CL |
Ano | Ano |
CyfirmaASCloudWeaknessAlerts_CL |
Ano | Ano |
CyfirmaASDomainIPVulnerabilityAlerts_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
CYFIRMA Brand Intelligence
Podporováno:CYFIRMA
Není k dispozici.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CyfirmaBIDomainITAssetAlerts_CL |
Ano | Ano |
CyfirmaBIExecutivePeopleAlerts_CL |
Ano | Ano |
CyfirmaBIProductSolutionAlerts_CL |
Ano | Ano |
CyfirmaBISocialHandlersAlerts_CL |
Ano | Ano |
CyfirmaBIMaliciousMobileAppsAlerts_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Ohrožené účty CYFIRMA
Podporováno:CYFIRMA
Datový konektor CYFIRMA Ohrožené účty umožňuje bezproblémový příjem protokolů z rozhraní DECYFIR/DeTCT API do Microsoft Sentinel. Založený na rozhraní Microsoft Sentinel konektoru bez kódu využívá k načtení protokolů rozhraní API DeCYFIR/DeTCT. Kromě toho podporuje transformace doby příjmu dat založené na DCR, které během příjmu parsují data zabezpečení do vlastní tabulky. Tím se eliminuje potřeba parsování v době dotazu, což zvyšuje výkon a efektivitu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CyfirmaCompromisedAccounts_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
CYFIRMA Cyber Intelligence
Podporováno:CYFIRMA
Datový konektor CYFIRMA Cyber Intelligence umožňuje bezproblémový příjem protokolů z rozhraní API DeCYFIR do Microsoft Sentinel. Založený na rozhraní Microsoft Sentinel konektoru bez kódu využívá k načítání protokolů rozhraní API pro upozornění DeCYFIR. Kromě toho podporuje transformace doby příjmu dat založené na DCR, které během příjmu parsují data zabezpečení do vlastní tabulky. Tím se eliminuje potřeba parsování v době dotazu, což zvyšuje výkon a efektivitu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CyfirmaIndicators_CL |
Ano | Ano |
CyfirmaThreatActors_CL |
Ano | Ano |
CyfirmaCampaigns_CL |
Ano | Ano |
CyfirmaMalware_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Digitální riziko CYFIRMA
Podporováno:CYFIRMA
Datový konektor CYFIRMA Digital Risk Alerts umožňuje bezproblémový příjem protokolů z rozhraní API DeCYFIR/DeTCT do Microsoft Sentinel. Založený na rozhraní Microsoft Sentinel konektoru bez kódu využívá k načítání protokolů rozhraní API pro upozornění DeCYFIR. Kromě toho podporuje transformace doby příjmu dat založené na DCR, které během příjmu parsují data zabezpečení do vlastní tabulky. Tím se eliminuje potřeba parsování v době dotazu, což zvyšuje výkon a efektivitu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CyfirmaDBWMPhishingAlerts_CL |
Ano | Ano |
CyfirmaDBWMRansomwareAlerts_CL |
Ano | Ano |
CyfirmaDBWMDarkWebAlerts_CL |
Ano | Ano |
CyfirmaSPESourceCodeAlerts_CL |
Ano | Ano |
CyfirmaSPEConfidentialFilesAlerts_CL |
Ano | Ano |
CyfirmaSPEPIIAndCIIAlerts_CL |
Ano | Ano |
CyfirmaSPESocialThreatAlerts_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Informace o ohrožení zabezpečení CYFIRMA
Podporováno:CYFIRMA
Datový konektor CYFIRMA Vulnerabilities Intelligence umožňuje bezproblémový příjem protokolů z rozhraní API DeCYFIR do Microsoft Sentinel. Založený na architektuře konektoru Microsoft Sentinel bez kódu využívá k načítání protokolů rozhraní API CYFIRMA. Kromě toho podporuje transformace doby příjmu dat založené na DCR, které během příjmu parsují data zabezpečení do vlastní tabulky. Tím se eliminuje potřeba parsování v době dotazu, což zvyšuje výkon a efektivitu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CyfirmaVulnerabilities_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Události zabezpečení Cynerio
Podporováno:Cynerio
Konektor Cynerio umožňuje snadno propojit události zabezpečení Cynerio s Microsoft Sentinel a zobrazit události IDS. Získáte tak lepší přehled o stavu zabezpečení sítě vaší organizace a zlepšíte možnosti operací zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CynerioEvent_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Cyren Threat Intelligence
Podporuje:Data443 Risk Mitigation, Inc.
Ingestujte indikátory reputace IP adres a malwarových adres URL z Cyrenu pomocí rozhraní COMMON Connector Framework (CCF).
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Cyren_Indicators_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Tokeny Cyren JWT: Tokeny JWT uložené v Azure Key Vault nebo poskytnuté v době nasazení.
D3 Inteligentní incidenty SOAR
Podporováno:D3 Security
Datový konektor D3 Smart SOAR načítá incidenty z D3 Smart SOAR do Microsoft Sentinel pomocí koncového bodu příkazu rozhraní REST API bez kódu D3.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
D3SOARIncidents_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Konektor Darktrace pro rozhraní REST API Microsoft Sentinel
Podporováno:Darktrace
Konektor rozhraní Darktrace REST API odesílá události v reálném čase z Darktrace do Microsoft Sentinel a je navržený pro použití s řešením Darktrace pro Sentinel. Konektor zapisuje protokoly do vlastní tabulky protokolů s názvem "darktrace_model_alerts_CL"; Je možné ingestovat porušení modelů, incidenty analytiků umělé inteligence, systémová upozornění a výstrahy Email – další filtry je možné nastavit na stránce Konfigurace systému Darktrace. Data se nasdílí do Sentinel z předloh Darktrace.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
darktrace_model_alerts_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Předpoklady pro Darktrace: K použití tohoto datového konektoru se vyžaduje hlavní server Darktrace se systémem verze 5.2 nebo novější. Z hlavních serverů Darktrace se data odesílají do rozhraní API kolektoru dat HTTP pro Azure Monitor přes protokol HTTPs, proto se vyžaduje odchozí připojení z hlavního serveru Darktrace k Microsoft Sentinel rozhraní REST API.
- Filtrovat data darktrace: Během konfigurace je možné nastavit další filtrování na stránce Konfigurace systému Darktrace a omezit tak množství nebo typy odesílaných dat.
-
Vyzkoušejte řešení Darktrace Sentinel: Tento konektor můžete maximálně využívat instalací řešení Darktrace pro Microsoft Sentinel. Tím získáte sešity pro vizualizaci dat výstrah a analytických pravidel pro automatické vytváření výstrah a incidentů z porušení modelu Darktrace a incidentů analytiků AI.
DataBahn
Podporováno:Databahn
Konektor DataBahn poskytuje možnost odesílat telemetrická data platformy v reálném čase z prostředí DataBahn přímo do Microsoft Sentinel pomocí vzoru Push Codeless Connector Framework (CCF). Tento konektor ingestuje protokoly auditu, provozní upozornění a inventář zařízení do vlastních tabulek Log Analytics pro účely analýzy, upozorňování a vizualizace.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
databahn_audit_logs_CL |
Ne | Ne |
databahn_alerts_CL |
Ne | Ne |
databahn_device_inventory_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje Entra ID role Vývojář aplikace nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele monitorování metrik k pravidlu shromažďování dat (DCR). Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
Datalake2Sentinel
Podporováno:Orange Cyberdefense
Toto řešení nainstaluje konektor Datalake2Sentinel vytvořený pomocí architektury bez kódu konektoru a umožňuje automaticky ingestovat indikátory analýzy hrozeb z platformy CTI datalake Orange Cyberdefense do Microsoft Sentinel prostřednictvím rozhraní REST API pro nahrávání indikátorů. Po instalaci řešení nakonfigurujte a povolte tento datový konektor podle pokynů v zobrazení Správa řešení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Datový konektor upozornění pulse služby Dataminr (pomocí Azure Functions)
Podporováno:Podpora dataminr
Datový konektor Dataminr Pulse Alerts přináší naše inteligentní funkce založené na umělé inteligenci v reálném čase do Microsoft Sentinel pro rychlejší detekci hrozeb a reakci na ně.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
DataminrPulse_Alerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Azure Předplatné: Azure Předplatné s rolí vlastníka se vyžaduje k registraci aplikace v Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- Požadované přihlašovací údaje nebo oprávnění správce dat:
a. Aby mohli uživatelé používat tento datový konektor, musí mít platné ID klienta rozhraní Api Pulse Dataminr a tajný kód .
b. Na webu Dataminr Pulse musí být nakonfigurovaný jeden nebo více zhlédnutí dataminr Pulse.
Datawiza DAP
Podporováno:Datawiza Technology Inc.
Připojí protokoly DAP Datawiza ke Azure Log Analytics přes rozhraní REST API.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
datawizaserveraccess_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Derdack SIGNL4
Podporováno:Derdack
Když kritické systémy selžou nebo dojde k incidentům zabezpečení, SIGNL4 přemístit "poslední míli" k vašim zaměstnancům, inženýrům, správcům IT a pracovníkům v terénu. V reálném čase přidá mobilní výstrahy do vašich služeb, systémů a procesů v reálném čase. SIGNL4 upozorní prostřednictvím trvalých mobilních nabízených oznámení, sms a hlasových hovorů s potvrzením, sledováním a eskalací. Integrované plánování služeb a směn zajišťují, aby se ve správný čas zobrazila výstraha správným lidem.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityIncident |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Digital Shadows Searchlight (pomocí Azure Functions)
Podporováno:Digital Shadows
Datový konektor Digital Shadows zajišťuje příjem incidentů a výstrah ze služby Digital Shadows Searchlight do Microsoft Sentinel pomocí rozhraní REST API. Konektor bude poskytovat informace o incidentech a výstrahách tak, aby pomohl prozkoumat, diagnostikovat a analyzovat potenciální bezpečnostní rizika a hrozby.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
DigitalShadows_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Vyžaduje se ID účtu Služby Digital Shadows, tajný kód a klíč . Další informace o rozhraní API najdete v dokumentaci na webu
https://portal-digitalshadows.com/learn/searchlight-api/overview/description.
DNS
Podporováno:Microsoft Corporation
Konektor protokolu DNS umožňuje snadno propojit analytické protokoly a protokoly auditu DNS s Microsoft Sentinel a dalšími souvisejícími daty a zlepšit tak šetření.
Když povolíte shromažďování protokolů DNS, můžete:
- Identifikujte klienty, kteří se pokoušejí přeložit škodlivé názvy domén.
- Identifikujte zastaralé záznamy prostředků.
- Identifikujte často dotazované názvy domén a mluvené klienty DNS.
- Zobrazení zatížení požadavků na serverech DNS
- Zobrazení chyb dynamické registrace DNS
Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
DnsEvents |
Ano | Ano |
DnsInventory |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Datový konektor Doppel
Podporuje:Doppel
Datový konektor je založený na Microsoft Sentinel pro události a výstrahy doppelu a podporuje transformace doby příjmu dat na základě DCR, které analyzují přijatá data událostí zabezpečení do vlastních sloupců, aby je dotazy nemusely znovu parsovat, což vede k lepšímu výkonu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
DoppelTable_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft Entra ID tenanta, ID klienta a tajný klíč klienta: Microsoft Entra ID k ověření vaší aplikace vyžaduje ID klienta a tajný klíč klienta. Aby bylo možné aplikaci zaregistrované Entra přiřadit roli vydavatele metrik monitorování skupiny prostředků, je navíc potřeba přístup na úrovni globálního Správa/vlastníka.
-
Vyžaduje ID pracovního prostoru, DCE-URI, DCR-ID: Pro konfiguraci budete muset získat ID pracovního prostoru služby Log Analytics, identifikátor URI pro příjem protokolů DCE a neměnné ID DCR.
Oznámení dragos prostřednictvím cloudového úložiště webů
Podporováno:Dragos Inc
Platforma Dragos je přední platformou průmyslového kybernetického zabezpečení, která nabízí komplexní detekci kybernetických hrozeb založených na bezkonkurenčních odborných znalostech průmyslové kybernetické bezpečnosti. Toto řešení umožňuje zobrazit data oznámení platformy Dragos v Microsoft Sentinel, aby analytici zabezpečení mohli analyzovat potenciální události kybernetického zabezpečení, ke kterým dochází v jejich průmyslových prostředích.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
DragosAlerts_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přístup k rozhraní API úložiště webů dragos: Uživatelský účet úložiště webů, který má
notification:readoprávnění. Tento účet také musí mít klíč rozhraní API, který je možné poskytnout Sentinel.
Konektor Událostí Druva
Podporováno:Druva Inc
Poskytuje možnost ingestovat události Druva z rozhraní DRuva API.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
DruvaSecurityEvents_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přístup k rozhraní Druva API: Rozhraní API Druva vyžaduje k ověření ID klienta a tajný klíč klienta.
Dynamics 365 Finance a operace
Podporováno:Microsoft Corporation
Dynamics 365 for Finance and Operations je komplexní řešení ERP (Enterprise Resource Planning), které kombinuje finanční a provozní možnosti a pomáhá podnikům spravovat každodenní provoz. Nabízí celou řadu funkcí, které firmám umožňují zjednodušit pracovní postupy, automatizovat úlohy a získat přehled o provozním výkonu.
Datový konektor Dynamics 365 Finance a Operations Data Connector ingestuje aktivity a protokoly auditu Dynamics 365 Finance a správce operací a také aktivity obchodních procesů a aplikací uživatelů se přihlašují do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
FinanceOperationsActivity_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Microsoft Entra registrace aplikace: ID klienta aplikace a tajný kód používaný pro přístup k Dynamics 365 Finance a operacím.
Dynamics365
Podporováno:Microsoft Corporation
Konektor aktivit služby Dynamics 365 Common Data Service (CDS) poskytuje přehled o aktivitách správce, uživatelů a podpory a také o událostech protokolování Microsoft Social Engagementu. Po připojení Dynamics 365 přihlášení CRM k Microsoft Sentinel můžete tato data zobrazit v sešitech, použít je k vytváření vlastních upozornění a zlepšit proces šetření.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Dynamics365Activity |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Dynatrace Attacks
Podporováno:Dynatrace
Tento konektor používá rozhraní REST API dynatrace attacks k ingestování zjištěných útoků na Microsoft Sentinel Log Analytics.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
DynatraceAttacks_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Tenant Dynatrace (např. xyz.dynatrace.com): Potřebujete platného tenanta Dynatrace s povoleným zabezpečením aplikací . Přečtěte si další informace o platformě Dynatrace.
-
Přístupový token Dynatrace: Potřebujete přístupový token Dynatrace, token by měl mít obor Read attacks (attacks.read).
Protokoly auditu Dynatrace
Podporováno:Dynatrace
Tento konektor používá rozhraní REST API protokolů auditu Dynatrace k ingestování protokolů auditu tenanta do Microsoft Sentinel Log Analytics.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
DynatraceAuditLogs_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Tenant Dynatrace (např. xyz.dynatrace.com): Potřebujete platného tenanta Dynatrace, abyste se dozvěděli více o platformě Dynatrace – Začněte bezplatnou zkušební verzi.
-
Přístupový token Dynatrace: Potřebujete přístupový token Dynatrace, token by měl mít obor Čtení protokolů auditu (auditLogs.read).
Problémy s Dynatrace
Podporováno:Dynatrace
Tento konektor používá rozhraní DYNATRACE PROBLEM REST API k ingestování problémových událostí do Microsoft Sentinel Log Analytics.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
DynatraceProblems_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Tenant Dynatrace (např. xyz.dynatrace.com): Potřebujete platného tenanta Dynatrace, abyste se dozvěděli více o platformě Dynatrace – Začněte bezplatnou zkušební verzi.
-
Přístupový token Dynatrace: Potřebujete přístupový token Dynatrace, token by měl mít obor Problémy se čtením (problems.read).
Ohrožení zabezpečení modulu runtime Dynatrace
Podporováno:Dynatrace
Tento konektor používá rozhraní REST API pro problém se zabezpečením Dynatrace k ingestování zjištěných ohrožení zabezpečení modulu runtime do Microsoft Sentinel Log Analytics.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
DynatraceSecurityProblems_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Tenant Dynatrace (např. xyz.dynatrace.com): Potřebujete platného tenanta Dynatrace s povoleným zabezpečením aplikací . Přečtěte si další informace o platformě Dynatrace.
-
Přístupový token Dynatrace: Potřebujete přístupový token Dynatrace, token by měl mít obor Problémy se zabezpečením čtení (securityProblems.read).
Elastický agent (samostatný)
Podporováno:Microsoft Corporation
Datový konektor elastického agenta umožňuje ingestovat protokoly, metriky a data zabezpečení elastického agenta do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ElasticAgentEvent |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Pokud připojení vyžaduje, uveďte vlastní požadavky – v opačném případě odstraňte cla: Popis všech vlastních požadavků.
Události zabezpečení prohlížeče Ermes
Podporováno:Ermes Cyber Security S.p.A.
Události zabezpečení prohlížeče Ermes
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ErmesBrowserSecurityEvents_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
ID klienta Ermes a tajný klíč klienta: Povolte přístup k rozhraní API v Ermes. Další informace získáte od podpory Ermes Cyber Security .
ESET Protect Platform (pomocí Azure Functions)
Podporováno:ESET Enterprise Integrations
Datový konektor ESET Protect Platform umožňuje uživatelům vkládat data detekce z ESET Protect Platform pomocí dodaného rozhraní REST API pro integraci. Rozhraní REST API pro integraci běží podle plánu Azure aplikace funkcí.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
IntegrationTable_CL |
Ano | Ano |
IntegrationTableIncidents_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- Oprávnění k registraci aplikace v Microsoft Entra ID: Potřebujete dostatečná oprávnění k registraci aplikace v tenantovi Microsoft Entra.
-
Oprávnění k přiřazení role registrované aplikaci: Vyžaduje se oprávnění k přiřazení role vydavatele metrik monitorování registrované aplikaci v Microsoft Entra ID.
Místní kolektor Exchange Security Insights
Podporováno:Komunita
Konektor používaný k nabízení konfigurace místního zabezpečení Exchange pro Microsoft Sentinel Analysis
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ESIExchangeConfig_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Účet služby s rolí Správa organizace: Účet služby, který spouští skript jako naplánovanou úlohu, musí být správa organizace, aby bylo možné načíst všechny potřebné informace o zabezpečení.
-
Podrobná dokumentace: POZNÁMKA: Podrobnou dokumentaci k postupu instalace a použití najdete tady. >
Exchange Security Insights Online Collector (pomocí Azure Functions)
Podporováno:Komunita
Konektor používaný k nabízení konfigurace zabezpečení Exchange Online pro analýzu Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ESIExchangeOnlineConfig_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- oprávnění microsoft.automation/automationaccounts: K vytvoření Azure Automation s runbookem se vyžadují oprávnění ke čtení a zápisu. Další informace najdete v tématu Účet Automation.
- Oprávnění Microsoft.Graphu: K načtení informací o uživatelích nebo skupinách propojených s přiřazeními Exchange Online se vyžadují oprávnění Groups.Read, Users.Read a Auditing.Read. Další informace najdete v dokumentaci.
- Exchange Online oprávnění: K načtení konfigurace zabezpečení Exchange Online je potřeba oprávnění Exchange.ManageAsApp a role globálního čtenáře nebo čtenáře zabezpečení.Další informace najdete v dokumentaci.
-
(Volitelné) Oprávnění úložiště protokolů: Přispěvatel dat v objektech blob služby Storage k účtu úložiště propojenému s identitou spravovanou účtem Automation nebo ID aplikace je povinné k ukládání protokolů. Další informace najdete v dokumentaci.
Datový konektor ExtraHop Detections (pomocí Azure Functions)
Podporováno:Podpora ExtraHop
Datový konektor ExtraHop Detections Umožňuje importovat data detekce z ExtraHop RevealX do Microsoft Sentinel prostřednictvím datových částí webhooku.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ExtraHop_Detections_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Azure Předplatné: Azure Předplatné s rolí vlastníka se vyžaduje k registraci aplikace v Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Oprávnění ExtraHop RevealX: Ve vašem systému ExtraHop RevealX je vyžadováno toto: 1.Ve vašem systému RevealX musí běžet firmware verze 9.9.2 nebo novější.
2. Systém RevealX musí být připojený k extrahop Cloud Services.
3. Váš uživatelský účet musí mít oprávnění Správce systému pro RevealX 360 nebo Úplná oprávnění k zápisu na RevealX Enterprise.
F5 BIG-IP
Podporováno:F5 Networks
Konektor brány firewall F5 umožňuje snadno propojit protokoly F5 s Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní upozornění a zlepšovat šetření. Získáte tak lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
F5Telemetry_LTM_CL |
Ne | Ne |
F5Telemetry_system_CL |
Ano | Ano |
F5Telemetry_ASM_CL |
Ne | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Feedly IoC
Podporováno:Feedly Inc
Datový konektor IoC Feedly umožňuje ingestovat indikátory ohrožení (IoC) z rozhraní Api Feedly do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
feedly_indicators_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Přístup k rozhraní API Feedly: Vyžaduje se přístup k rozhraní API Feedly. Potřebujete token rozhraní API Feedly s přístupem k datovým proudům IoC, které chcete ingestovat. Vygenerování tokenu rozhraní API na adrese https://feedly.com/i/team/api
Flare Push Connector
Podporováno:Flare
Konektor Flare poskytuje možnost ingestovat analýzu hrozeb a data o expozici z flare do Microsoft Sentinel. Flare identifikuje digitální prostředky vaší společnosti, které jsou veřejně dostupné v důsledku lidské chyby nebo škodlivých útoků, včetně uniklých přihlašovacích údajů, odhalených cloudových kontejnerů, zmínek na darkwebu a dalších.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
FireworkV2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID.
- Microsoft Azure: Oprávnění k přiřazení role vydavatele monitorování metrik k pravidlu shromažďování dat (DCR).
-
Flare: Oprávnění ke konfiguraci integrace Microsoft Sentinel ve Flare.
Vynucení ochrany před únikem informací
Podporováno:Komunita
Konektor Forcepoint DLP (Data Loss Prevention) umožňuje automaticky exportovat data incidentů ochrany před únikem informací z Forcepoint DLP do Microsoft Sentinel v reálném čase. To rozšiřuje přehled o aktivitách uživatelů a incidentech ztráty dat, umožňuje další korelaci s daty z Azure úloh a dalších informačních kanálů a zlepšuje možnosti monitorování pomocí funkce Workbooks uvnitř Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ForcepointDLPEvents_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Forescout
Podporováno:Microsoft Corporation
Datový konektor Forescout umožňuje ingestovat události Forescout do Microsoft Sentinel. Další informace najdete v dokumentaci k aplikaci Forescout .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ForescoutEvent |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Monitorování vlastností hostitele forescout
Podporováno:Microsoft Corporation
Konektor Monitorování vlastností hostitele Forescout umožňuje propojit vlastnosti hostitele z platformy Forescout s Microsoft Sentinel, zobrazit, vytvořit vlastní incidenty a zlepšit šetření. Získáte tak lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ForescoutHostProperties_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Požadavek na modul plug-in Forescout: Ujistěte se, že na platformě Forescout běží modul plug-in Forescout Microsoft Sentinel.
Fortinet FortiNDR Cloud
Podporováno:Fortinet
Datový konektor Fortinet FortiNDR Cloud poskytuje možnost ingestovat cloudová data Fortinet FortiNDR do Microsoft Sentinel pomocí rozhraní FortiNDR Cloud API
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
FncEventsSuricata_CL |
Ne | Ne |
FncEventsObservation_CL |
Ne | Ne |
FncEventsDetections_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- Přihlašovací údaje metastreamu: K načtení dat událostí se vyžaduje ID přístupového klíče AWS, tajný přístupový klíč AWS a kód cloudového účtu FortiNDR .
-
Přihlašovací údaje rozhraní API: K načtení dat detekce se vyžaduje token rozhraní FortiNDR Cloud APIa UUID cloudového účtu FortiNDR .
Vzdálené protokoly Garrison ULTRA (pomocí Azure Functions)
Podporováno:Garrison
Konektor Garrison ULTRA Remote Logs umožňuje ingestovat vzdálené protokoly Garrison ULTRA do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Garrison_ULTRARemoteLogs_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Garrison ULTRA: Pokud chcete tento datový konektor používat, musíte mít aktivní licenci Garrison ULTRA .
Spuštění GCP v cloudu (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Datový konektor GCP Cloud Run poskytuje možnost ingestovat protokoly požadavků cloudového spuštění do Microsoft Sentinel pomocí pub/sub. Další podrobnosti najdete v přehledu cloudového spuštění .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GCPCloudRun |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
GCP Cloud SQL (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor GCP Cloud SQL umožňuje ingestovat protokoly auditu do Microsoft Sentinel pomocí rozhraní SQL API cloudu GCP. Další informace najdete v dokumentaci k protokolům auditu SQL v cloudu GCP .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GCPCloudSQL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Protokoly auditu Pub/Sub GCP
Podporováno:Microsoft Corporation
Protokoly auditu google Cloud Platform (GCP) ingestované z konektoru Microsoft Sentinel umožňují zachytit tři typy protokolů auditu: protokoly aktivit správce, protokoly přístupu k datům a protokoly transparentnosti přístupu. Protokoly cloudového auditu Google zaznamenávají záznam, který můžou odborníci použít k monitorování přístupu a detekci potenciálních hrozeb v prostředcích GCP (Google Cloud Platform).
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GCPAuditLogs |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Protokoly Load Balancer Load Balancer GCP (prostřednictvím architektury konektoru bez kódu).
Podporováno:Microsoft Corporation
Protokoly Load Balancer google Cloud Platform (GCP) poskytují podrobné přehledy o síťovém provozu a zachycují příchozí i odchozí aktivity. Tyto protokoly slouží k monitorování vzorů přístupu a identifikaci potenciálních bezpečnostních hrozeb napříč prostředky GCP. Kromě toho tyto protokoly zahrnují také protokoly WAF (GCP Web Application Firewall), které zlepšují schopnost efektivně zjišťovat a zmírnit rizika.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GCPLoadBalancerLogs_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Protokoly toku GCP Pub/Sub VPC (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Protokoly toků VPC google Cloud Platform (GCP) umožňují zaznamenávat aktivitu síťového provozu na úrovni VPC, což umožňuje monitorovat vzory přístupu, analyzovat výkon sítě a zjišťovat potenciální hrozby napříč prostředky GCP.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GCPVPCFlow |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Konektor Gigamon AMX
Podporováno:Gigamon
Konektor Gigamon umožňuje číst nezpracovaná data událostí z Gigamonu v Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GigamonV2_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje Entra ID role Vývojář aplikace nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele monitorování metrik k pravidlu shromažďování dat (DCR). Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
GitHub (pomocí webhooků)
Podporováno:Microsoft Corporation
Datový konektor webhooku GitHubu poskytuje možnost ingestovat události odebírané GitHubem do Microsoft Sentinel pomocí událostí webhooku GitHubu. Konektor poskytuje možnost zařazovat události do Microsoft Sentinel což pomáhá zkoumat potenciální bezpečnostní rizika, analyzovat využití spolupráce vašeho týmu, diagnostikovat problémy s konfigurací a další.
Poznámka: Pokud chcete ingestovat protokoly auditu GitHubu, projděte si prosím gitHub Enterprise Audit Log Connector z galerie Datové konektory.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
githubscanaudit_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
Protokol auditu GitHub Enterprise (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Konektor protokolu auditování GitHubu umožňuje ingestovat protokoly GitHubu do Microsoft Sentinel. Když připojíte protokoly auditu GitHubu k Microsoft Sentinel, můžete tato data zobrazit v sešitech, použít je k vytváření vlastních upozornění a vylepšit proces šetření.
Poznámka: Pokud jste chtěli do Microsoft Sentinel ingestovat události odebírané GitHubem, projděte si prosím konektor GitHubu (pomocí webhooků) z galerie Datové konektory.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GitHubAuditLogsV2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Token osobního přístupu rozhraní API GitHubu: Pokud chcete povolit dotazování na podnikový protokol auditu, ujistěte se, že ověřený uživatel je podnikový správce a má token osobního přístupu GitHubu (classic) s oborem
read:audit_log. -
Typ GitHub Enterprise: Tento konektor bude fungovat pouze s GitHub Enterprise Cloudem; nebude podporovat GitHub Enterprise Server.
Google ApigeeX (prostřednictvím rozhraní konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Google ApigeeX poskytuje možnost ingestovat protokoly auditu do Microsoft Sentinel pomocí rozhraní API Google Apigee. Další informace najdete v dokumentaci k rozhraní API služby Google Apigee .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GCPApigee |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Google Cloud Platform CDN (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor CDN pro Google Cloud Platform umožňuje ingestovat protokoly auditu CDN v cloudu a protokoly provozu CDN v cloudu do Microsoft Sentinel pomocí rozhraní API pro výpočetní modul. Další podrobnosti najdete v dokumentu Přehled produktů .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GCPCDN |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Cloudová IDS služby Google Cloud Platform (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor IDS služby Google Cloud Platform umožňuje ingestovat protokoly provozu IDS v cloudu, protokoly hrozeb a protokoly auditu do Microsoft Sentinel pomocí rozhraní API IDS služby Google Cloud. Další informace najdete v dokumentaci k rozhraní CLOUD IDS API .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GCPIDS |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Google Cloud Platform Cloud Monitoring (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Google Cloud Platform Cloud Monitoring ingestuje protokoly monitorování z Google Cloudu do Microsoft Sentinel pomocí rozhraní GOOGLE Cloud Monitoring API. Další podrobnosti najdete v dokumentaci k rozhraní API pro monitorování cloudu .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GCPMonitoring |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Výpočetní modul Google Cloud Platform (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor výpočetního modulu Google Cloud Platform poskytuje možnost ingestovat protokoly auditu výpočetního modulu do Microsoft Sentinel pomocí rozhraní API google Cloud Compute Engine. Další informace najdete v dokumentaci k rozhraní API pro cloudový výpočetní modul .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GCPComputeEngine |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Dns platformy Google Cloud Platform (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor DNS služby Google Cloud Platform umožňuje ingestovat protokoly dotazů DNS v cloudu a protokoly auditu DNS cloudu do Microsoft Sentinel pomocí rozhraní API DNS služby Google Cloud. Další informace najdete v dokumentaci k rozhraní CLOUD DNS API .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GCPDNS |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Google Cloud Platform IAM (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor IAM pro Google Cloud Platform poskytuje možnost ingestovat protokoly auditu související s aktivitami správy identit a přístupu (IAM) v google cloudu do Microsoft Sentinel pomocí rozhraní Google IAM API. Další informace najdete v dokumentaci k rozhraní GCP IAM API .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GCPIAM |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Překlad adres (NAT) pro Google Cloud Platform (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor NAT služby Google Cloud Platform umožňuje ingestovat protokoly auditu překladu adres (NAT) v cloudu a protokoly provozu překladu adres (NAT) v cloudu do Microsoft Sentinel pomocí rozhraní API pro výpočetní modul. Další podrobnosti najdete v dokumentu Přehled produktů .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GCPNATAudit |
Ano | Ano |
GCPNAT |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Google Cloud Platform Resource Manager (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Google Cloud Platform Resource Manager poskytuje možnost ingestovat Resource Manager protokoly Správa aktivit a auditování přístupu k datům do Microsoft Sentinel pomocí rozhraní Cloud Resource Manager API. Další podrobnosti najdete v dokumentu Přehled produktů .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GCPResourceManager |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Google Kubernetes Engine (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Protokoly Google Kubernetes Engine (GKE) umožňují zaznamenávat aktivity clusteru, chování úloh a události zabezpečení, což umožňuje monitorovat úlohy Kubernetes, analyzovat výkon a detekovat potenciální hrozby napříč clustery GKE.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GKEAudit |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Google Security Command Center
Podporováno:Microsoft Corporation
Google Cloud Platform (GCP) Security Command Center je komplexní platforma pro správu zabezpečení a rizik pro Google Cloud ingestovaná z konektoru Sentinel. Nabízí funkce, jako je inventář a zjišťování prostředků, detekce ohrožení zabezpečení a hrozeb a zmírnění rizik a náprava, které vám pomůžou získat přehled o prostoru pro útoky na zabezpečení a data ve vaší organizaci. Tato integrace umožňuje efektivněji provádět úlohy související se zjištěními a prostředky.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GoogleCloudSCC |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Aktivity Google Workspace (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Aktivity Google Workspace poskytuje možnost ingestovat události aktivit z rozhraní API služby Google Workspace do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GoogleWorkspaceReports |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přístup k rozhraní API Google Workspace: Vyžaduje se přístup k rozhraní API aktivit Google Workspace prostřednictvím Oauth.
Analýza hrozeb GreyNoise
Podporováno:GreyNoise
Tento datový konektor nainstaluje aplikaci funkcí Azure ke stažení indikátorů GreyNoise jednou denně a vloží je do tabulky ThreatIntelligenceIndicator v Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Klíč rozhraní API GreyNoise: Tady načtěte klíč rozhraní API GreyNoise.
Halcyon Connector
Podporuje:Halcyon
Konektor Halcyon umožňuje odesílat data z Halcyonu do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
HalcyonAuthenticationEvents_CL |
Ano | Ano |
HalcyonDnsActivity_CL |
Ano | Ano |
HalcyonFileActivity_CL |
Ano | Ano |
HalcyonNetworkSession_CL |
Ano | Ano |
HalcyonProcessEvent_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Microsoft Entra Vytvořit oprávnění: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje Entra ID role Vývojář aplikace nebo vyšší.
-
Oprávnění k přiřazení role: Oprávnění k zápisu potřebná k přiřazení role vydavatele metrik monitorování k pravidlu shromažďování dat (DCR). Obvykle vyžaduje roli Vlastník nebo Správce uživatelských přístupů na úrovni skupiny prostředků.
Holm Security Asset Data (pomocí Azure Functions)
Podporováno:Holm Security
Konektor poskytuje možnost dotazování dat ze služby Holm Security Center do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
net_assets_CL |
Ne | Ne |
web_assets_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Holm Rozhraní API pro zabezpečení Token: Holm Rozhraní API pro zabezpečení Token je povinný.
Token Rozhraní API pro zabezpečení Holm
Protokoly služby IIS serverů Microsoft Exchange
Podporováno:Komunita
[Možnost 5] – Použití agenta Azure Monitor – Pomocí agenta pro Windows můžete streamovat všechny protokoly služby IIS z počítačů s Windows připojených k pracovnímu prostoru Microsoft Sentinel. Toto připojení umožňuje vytvářet vlastní výstrahy a zlepšovat šetření.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
W3CIISLog |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure bude služba Log Analytics zastaralá, doporučujeme shromažďovat data z Azure virtuálních počítačů Azure Arc. Další informace
-
Podrobná dokumentace: POZNÁMKA: Podrobnou dokumentaci k postupu instalace a použití najdete tady. >
Illumio Insights
Podporováno:Illumio
Datový konektor Illumio Insights umožňuje ingestovat protokoly z rozhraní API Illumio do Microsoft Sentinel. Datový konektor je založený na Microsoft Sentinel rozhraní konektorů bez kódu. Používá rozhraní Illumio API k načtení protokolů a podporuje transformace doby příjmu dat založené na DCR, které parsují přijatá data zabezpečení do vlastní tabulky, aby je dotazy nemusely znovu parsovat, což vede k lepšímu výkonu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
IlumioInsights |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Souhrn přehledů illumio
Podporováno:Illumio
Datový konektor Illumio Insights Summary poskytuje možnost ingestovat přehledy zabezpečení a sestavy analýzy hrozeb illumio do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API illumio . Konektor umožňuje získat denní a týdenní souhrnné sestavy z Illumia a vizualizovat je v Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
IllumioInsightsSummary_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Přístup k rozhraní API Illumio: Pro souhrnné rozhraní API Illumio Insights se vyžaduje přístup k rozhraní API Illumio.
Illumio SaaS (pomocí Azure Functions)
Podporováno:Illumio
Konektor Illumio poskytuje možnost ingestovat události do Microsoft Sentinel. Konektor umožňuje ingestovat auditovatelné události a události toku z kbelíku AWS S3.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Illumio_Auditable_Events_CL |
Ano | Ano |
Illumio_Flow_Events_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- Přihlašovací údaje a oprávnění účtu SQS a AWS S3: vyžaduje se AWS_SECRET, AWS_REGION_NAME, AWS_KEYQUEUE_URL. Pokud používáte kbelík s3 poskytovaný společností Illumio, kontaktujte podporu společnosti Illumio. Na vaši žádost vám poskytne název kbelíku AWS S3, adresu URL AWS SQS a přihlašovací údaje AWS pro přístup k nim.
-
Klíč a tajný kód rozhraní API Illumio: ILLUMIO_API_KEY, ILLUMIO_API_SECRET vyžaduje sešit připojení k SaaS PCE a načtení odpovědí rozhraní API.
Imperva Cloud WAF (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Datový konektor Imperva Cloud WAF poskytuje možnost integrace a ingestování událostí Web Application Firewall do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k integraci protokolů. Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ImpervaWAFCloud_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Pro rozhraní API se vyžadují ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI . Další informace najdete v tématu Proces integrace protokolu instalace. Zkontrolujte všechny požadavky a postupujte podle pokynů k získání přihlašovacích údajů. Upozorňujeme, že tento konektor používá formát událostí protokolu CEF.
Další informace o formátu protokolu
Imperva Cloud WAF (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Imperva WAF Cloud poskytuje možnost ingestovat protokoly do Microsoft Sentinel pomocí integrace protokolů Imperva přes AWS S3 s oznámeními SQS. Konektor analyzuje události WAF ve formátu CEF, včetně přístupových protokolů a výstrah zabezpečení pro účely detekce a vyšetřování hrozeb. Další informace najdete v tématu Integrace cloudového protokolu Imperva WAF .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ImpervaWAFCloud |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Infoblox Cloud Data Connector přes AMA
Podporováno:Infoblox
Infoblox Cloud Data Connector umožňuje snadno připojit data Infoblox s Microsoft Sentinel. Propojením protokolů s Microsoft Sentinel můžete využít výhod hledání & korelace, upozorňování a rozšiřování analýzy hrozeb pro každý protokol.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Infoblox Data Connector přes rozhraní REST API
Podporováno:Infoblox
Infoblox Data Connector umožňuje snadno propojit data Infoblox TIDE a dokumentace s Microsoft Sentinel. Propojením dat s Microsoft Sentinel můžete využít výhod vyhledávání & korelace, upozorňování a rozšiřování analýzy hrozeb pro každý protokol.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Failed_Range_To_Ingest_CL |
Ne | Ne |
Infoblox_Failed_Indicators_CL |
Ne | Ne |
dossier_whois_CL |
Ne | Ne |
dossier_whitelist_CL |
Ne | Ne |
dossier_tld_risk_CL |
Ne | Ne |
dossier_threat_actor_CL |
Ne | Ne |
dossier_rpz_feeds_records_CL |
Ne | Ne |
dossier_rpz_feeds_CL |
Ne | Ne |
dossier_nameserver_matches_CL |
Ne | Ne |
dossier_nameserver_CL |
Ne | Ne |
dossier_malware_analysis_v3_CL |
Ne | Ne |
dossier_inforank_CL |
Ne | Ne |
dossier_infoblox_web_cat_CL |
Ne | Ne |
dossier_geo_CL |
Ne | Ne |
dossier_dns_CL |
Ne | Ne |
dossier_atp_threat_CL |
Ne | Ne |
dossier_atp_CL |
Ne | Ne |
dossier_ptr_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Azure Předplatné: Azure Předplatné s rolí vlastníka se vyžaduje k registraci aplikace v Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Vyžaduje se klíč rozhraní API Infoblox . Další informace o rozhraní API najdete v dokumentaci k rozhraní REST API.
Infoblox SOC Insight Data Connector přes AMA
Podporováno:Infoblox
Infoblox SOC Insight Data Connector umožňuje snadno připojit data Infoblox BloxOne SOC Insight s Microsoft Sentinel. Propojením protokolů s Microsoft Sentinel můžete využít výhod hledání & korelace, upozorňování a rozšiřování analýzy hrozeb pro každý protokol.
Tento datový konektor ingestuje informace Infoblox SOC Insight CDC k vašemu pracovnímu prostoru služby Log Analytics pomocí nového agenta Azure Monitor. Další informace o ingestování pomocí nového agenta Azure Monitor najdete tady. Microsoft doporučuje používat tento datový konektor.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Aby bylo možné shromažďovat data z Azure virtuálních počítačů, musí mít nainstalované a povolené Azure Arc. Další informace
- Musí být nainstalovaný common Event Format (CEF) přes AMA a Syslog prostřednictvím datových konektorů AMA.
Další informace
Infoblox SOC Insight Data Connector přes rozhraní REST API
Podporováno:Infoblox
Infoblox SOC Insight Data Connector umožňuje snadno připojit data Infoblox BloxOne SOC Insight s Microsoft Sentinel. Propojením protokolů s Microsoft Sentinel můžete využít výhod hledání & korelace, upozorňování a rozšiřování analýzy hrozeb pro každý protokol.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
InfobloxInsight_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
InfoSecGlobal Data Connector
Podporováno:InfoSecGlobal
Tento datový konektor slouží k integraci s kryptografickými službami InfoSec a získání dat odesílaných přímo do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
InfoSecAnalytics_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Protokoly zabezpečení IONIX (prostřednictvím architektury konektoru bez kódu)
Podporováno:IONIX
Konektor IONIX umožňuje ingestovat položky akcí z platformy IONIX Attack Surface Management do Microsoft Sentinel pomocí rozhraní CCF (Codeless Connector Framework). Položky akcí představují zjištění zabezpečení a ohrožení zabezpečení, která vyžadují nápravu.
Tento konektor se automaticky dotazuje rozhraní API IONIX a zapisuje data do tabulky CyberpionActionItems_CL.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CyberpionActionItems_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Token rozhraní API IONIX: Vyžaduje se token rozhraní API z portálu IONIX. Vytvořte ho v rozhraní API nastavení > na portálu IONIX.
IPinfo Abuse Data Connector
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady standard_abuse a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_Abuse_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor ASN pro IPinfo
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady standard_ASN a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_ASN_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor operátoru IPinfo
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady standard_carrier a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_Carrier_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
IPinfo Company Data Connector
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady standard_company a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_Company_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
IPinfo Core Data Connector
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady Core a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_CORE_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor ASN země IPinfo
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady country_asn a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_Country_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
IPinfo Domain Data Connector
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady standard_domain a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_Domain_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor iplocation IPinfo
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady standard_location a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_Location_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Rozšířený datový konektor IPinfo Iplocation
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady standard_location_extended a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_Location_extended_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo Plus
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady Plus a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_PLUS_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
IPinfo Privacy Data Connector
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady standard_privacy a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_Privacy_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Rozšířený datový konektor ochrany osobních údajů IPinfo
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady standard_privacy a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_Privacy_extended_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor ResProxy pro IPinfo
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady ResProxy a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_RESIDENTIAL_PROXY_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor RIRWHOIS pro IPinfo
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady RIRWHOIS a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_RIRWHOIS_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo RWHOIS
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady RWHOIS a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_RWHOIS_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo WHOIS ASN
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady WHOIS_ASN a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_WHOIS_ASN_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo WHOIS MNT
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady WHOIS_MNT a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_WHOIS_MNT_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo WHOIS NET
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady WHOIS_NET a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_WHOIS_NET_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo WHOIS ORG
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady WHOIS_ORG a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_WHOIS_ORG_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Datový konektor IPinfo WHOIS POC
Podporováno:IPinfo
Tento datový konektor IPinfo nainstaluje aplikaci funkcí Azure, která stáhne datové sady WHOIS_POC a vloží ji do vlastní tabulky protokolů v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ipinfo_WHOIS_POC_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API IPinfo: Tady načtěte token rozhraní API IPinfo.
Island Enterprise Browser Správa Audit (Polling CCF)
Podporováno by:Island
Konektor Island Správa umožňuje ingestovat protokoly Island Správa Audit do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Island_Admin_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Island API Key: Vyžaduje se klíč rozhraní API Island.
Aktivita uživatele prohlížeče Island Enterprise (dotazování CCF)
Podporováno by:Island
Konektor Island poskytuje možnost ingestovat protokoly aktivity uživatele islandu do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Island_User_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Island API Key: Vyžaduje se klíč rozhraní API Island.
Jamf Protect Push Connector
Podporováno:Jamf Software, LLC
Konektor Jamf Protect umožňuje číst nezpracovaná data událostí z Jamf Protect v Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
jamfprotecttelemetryv2_CL |
Ano | Ano |
jamfprotectunifiedlogs_CL |
Ano | Ano |
jamfprotectalerts_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje Entra ID role Vývojář aplikace nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele monitorování metrik k pravidlu shromažďování dat (DCR). Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
JoeSandboxThreatIntelligence (pomocí Azure Functions)
Podporováno:Stefan Bühlmann
Konektor JoeSandboxThreatIntelligence automaticky generuje a odesílá informace o hrozbách pro všechna odeslání do služby JoeSandbox, čímž zlepšuje detekci hrozeb a reakci na incidenty v Sentinel. Tato bezproblémová integrace umožňuje týmům aktivně řešit vznikající hrozby.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure Předplatné: Azure Předplatné s rolí vlastníka se vyžaduje k registraci aplikace v Azure Active Directory() a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Vyžaduje se klíč rozhraní API JoeSandbox .
Keeper Security Push Connector
Podporováno:Zabezpečení Keeperu
Konektor zabezpečení Keeper poskytuje možnost číst nezpracovaná data událostí ze zabezpečení Keeper v Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
KeeperSecurityEventNewLogs_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje Entra ID role Vývojář aplikace nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele monitorování metrik k pravidlu shromažďování dat (DCR). Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
LastPass Enterprise – generování sestav (dotazování CCF)
Podporováno:Kolektivní poradenství
Konektor LastPass Enterprise poskytuje možnost vytváření sestav (auditování) protokolů LastPass do Microsoft Sentinel. Konektor poskytuje přehled o přihlášeních a aktivitách v rámci LastPassu (například čtení a odebírání hesel).
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
LastPassNativePoller_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Klíč rozhraní API LastPass a CID: Vyžaduje se klíč rozhraní API LastPass a CID. Další informace najdete v tématu Rozhraní API LastPass.
Konektor Lookout Mobile Threat Detection (prostřednictvím architektury konektoru bez kódu) (Preview)
Podporuje:Lookout
Datový konektor Lookout Mobile Threat Detection umožňuje ingestovat události související s riziky mobilního zabezpečení do Microsoft Sentinel prostřednictvím rozhraní API pro mobilní rizika. Další informace najdete v dokumentaci k rozhraní API . Tento konektor vám pomůže prozkoumat potenciální bezpečnostní rizika zjištěná v mobilních zařízeních.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
LookoutMtdV2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Luminární vstupně-výstupní operace a uniklé přihlašovací údaje (pomocí Azure Functions)
Podporováno:Cognyte Luminar
Konektor Luminar IOC a Leaked Credentials umožňuje integraci dat IOC založených na inteligenci a uniklých záznamů souvisejících se zákazníky identifikovaných společností Luminar.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure Předplatné: Azure Předplatné s rolí vlastníka se vyžaduje k registraci aplikace v Azure Active Directory() a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Vyžaduje se ID klienta Luminar, tajný klíč klienta Luminar a ID účtu Luminar .
MailGuard 365
Podporováno:MailGuard 365
MailGuard 365 Enhanced Email Security for Microsoft 365. MailGuard 365 je integrovaný s zabezpečením Microsoftu 365 (včetně Defenderu), který poskytuje rozšířenou ochranu před pokročilými e-mailovými hrozbami, jako jsou phishing, ransomware a sofistikované útoky BEC.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
MailGuard365_Threats_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
MailRisk by Secure Practice (pomocí Azure Functions)
Podporováno:Secure Practice
Datový konektor pro odesílání e-mailů z MailRisk do Microsoft Sentinel Log Analytics.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
MailRiskEmails_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje rozhraní API: Potřebujete také pár klíčů rozhraní API pro zabezpečenou praxi, který se vytvoří v nastavení na portálu pro správu. Pokud jste ztratili tajný klíč rozhraní API, můžete vygenerovat nový pár klíčů (UPOZORNĚNÍ: Všechny ostatní integrace používající starý pár klíčů přestanou fungovat).
Microsoft 365 (dříve Office 365)
Podporováno:Microsoft Corporation
Konektor protokolu aktivit Microsoft 365 (dříve Office 365) poskytuje přehled o probíhajících aktivitách uživatelů. Získáte podrobnosti o operacích, jako jsou stahování souborů, odeslané žádosti o přístup, změny událostí skupiny, nastavení poštovní schránky a podrobnosti o uživateli, který tyto akce provedl. Když připojíte protokoly Microsoft 365 k Microsoft Sentinel můžete tato data použít k zobrazení řídicích panelů, vytváření vlastních upozornění a vylepšení procesu vyšetřování. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
OfficeActivity |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Microsoft 365 Insider Risk Management
Podporováno:Microsoft Corporation
Microsoft 365 Insider Risk Management je řešení dodržování předpisů v Microsoftu 365, které pomáhá minimalizovat interní rizika tím, že umožňuje detekovat, prošetřovat a reagovat na škodlivé a neúmyslné aktivity ve vaší organizaci. Analytici rizik ve vaší organizaci můžou rychle přijmout vhodná opatření, která zajistí, aby uživatelé dodržovali standardy dodržování předpisů vaší organizace.
Zásady insiderských rizik umožňují:
- definovat typy rizik, které chcete identifikovat a detekovat ve vaší organizaci.
- rozhodnutí o tom, jaké akce se mají provést v reakci, včetně eskalace případů do Microsoftu Advanced eDiscovery v případě potřeby.
Toto řešení vytváří upozornění, která můžou zákazníci Office vidět v řešení Pro správu insiderských rizik v Centru dodržování předpisů Microsoftu 365. Přečtěte si další informace o správě insiderských rizik.
Tyto výstrahy je možné importovat do Microsoft Sentinel pomocí tohoto konektoru, což vám umožní zobrazit je, prozkoumat je a reagovat na ně v širším kontextu hrozeb organizace. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Protokoly událostí zabezpečení řadičů domény Microsoft Active-Directory
Podporováno:Komunita
[Možnost 3 & 4] – Použití agenta Azure Monitor – Z počítačů s Windows připojených k pracovnímu prostoru Microsoft Sentinel pomocí agenta pro Windows můžete streamovat protokoly událostí částečně nebo všech řadičů zabezpečení řadičů domény. Toto připojení umožňuje vytvářet vlastní výstrahy a zlepšovat šetření.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityEvent |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure bude služba Log Analytics zastaralá, doporučujeme shromažďovat data z Azure virtuálních počítačů Azure Arc. Další informace
-
Podrobná dokumentace: POZNÁMKA: Podrobnou dokumentaci k postupu instalace a použití najdete tady. >
Microsoft Copilot
Podporováno:Microsoft
Konektor Microsoft Copilot protokoly v Microsoft Sentinel umožňuje bezproblémový příjem protokolů aktivit vygenerovaných přes Copilot z M365 Copilot a Security Copilot do Microsoft Sentinel pro pokročilou detekci hrozeb, šetření a reakci na ně. Shromažďuje telemetrii z Microsoft Copilot služeb, jako jsou data o využití, systémové odpovědi a ingestuje do Microsoft Sentinel, což umožňuje bezpečnostním týmům monitorovat zneužití, zjišťovat anomálie a udržovat dodržování zásad organizace.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CopilotActivity |
Ne | Ano |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Oprávnění tenanta: Správce zabezpečení nebo Globální správce v tenantovi pracovního prostoru.
Microsoft Dataverse
Podporováno:Microsoft Corporation
Microsoft Dataverse je škálovatelná a zabezpečená datová platforma, která organizacím umožňuje ukládat a spravovat data používaná obchodními aplikacemi. Datový konektor Microsoft Dataverse umožňuje ingestovat dataverse a Dynamics 365 protokoly aktivit CRM z Microsoft Purview Audit přihlášení k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
DataverseActivity |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění tenanta: Správce zabezpečení nebo Globální správce v tenantovi pracovního prostoru.
- Micorosft Purview Audit: Microsoft Purview Audit (Standard nebo Premium) musí být aktivované.
- Produkční dataverse: Protokolování aktivit je dostupné jenom pro produkční prostředí. Jiné typy, jako je sandbox, protokolování aktivit nepodporují.
-
Nastavení auditu Dataverse: Nastavení auditu musí být nakonfigurované globálně i na úrovni entity nebo tabulky. Další informace najdete v tématu Nastavení auditu Dataverse.
Microsoft Defender for Cloud Apps
Podporováno:Microsoft Corporation
Když se připojíte k Microsoft Defender for Cloud Apps získáte přehled o svých cloudových aplikacích, získáte sofistikované analýzy pro identifikaci a boj proti kybernetickým hrozbám a budete mít kontrolu nad tím, jak se vaše data cestují.
- Identifikujte stínové cloudové aplikace IT ve vaší síti.
- Řízení a omezení přístupu na základě podmínek a kontextu relace
- Používejte integrované nebo vlastní zásady pro sdílení dat a ochranu před únikem informací.
- Identifikujte vysoce rizikové používání a získejte upozornění na neobvyklé aktivity uživatelů pomocí analýzy chování a detekce anomálií od Microsoftu, včetně aktivity ransomwaru, nemožné cesty, pravidel pro podezřelé přeposílání e-mailů a hromadného stahování souborů.
- Hromadné stahování souborů
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityAlert |
Ne | Ne |
McasShadowItReporting |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Microsoft Defender for Endpoint
Podporováno:Microsoft Corporation
Microsoft Defender for Endpoint je platforma zabezpečení navržená k prevenci, detekci, vyšetřování a reakci na pokročilé hrozby. Platforma vytváří výstrahy, když se v organizaci zobrazí podezřelé události zabezpečení. Načíst výstrahy vygenerované v Microsoft Defender for Endpoint k Microsoft Sentinel, abyste mohli efektivně analyzovat události zabezpečení. Můžete vytvářet pravidla, vytvářet řídicí panely a vytvářet playbooky pro okamžitou reakci. Další informace najdete v dokumentaci >k Microsoft Sentinel .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Microsoft Defender for Identity
Podporováno:Microsoft Corporation
Připojte Microsoft Defender for Identity, abyste získali přehled o událostech a analýze uživatelů. Microsoft Defender for Identity identifikuje, detekuje a pomáhá prošetřit pokročilé hrozby, ohrožené identity a škodlivé akce insider zaměřené na vaši organizaci. Microsoft Defender for Identity umožňuje analytikům a odborníkům na zabezpečení secOp, kteří mají potíže s detekcí pokročilých útoků v hybridních prostředích za účelem:
- Monitorování uživatelů, chování entit a aktivit pomocí analýz založených na učení
- Ochrana identit uživatelů a přihlašovacích údajů uložených ve službě Active Directory
- Identifikace a prošetřování podezřelých uživatelských aktivit a pokročilých útoků v rámci celého řetězce ukončení
- Poskytnutí jasných informací o incidentech na jednoduché časové ose pro rychlé třídění
Další informace najdete v dokumentaci >k Microsoft Sentinel .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Microsoft Defender pro IoT
Podporováno:Microsoft Corporation
Získejte přehled o zabezpečení IoT připojením Microsoft Defender pro výstrahy IoT k Microsoft Sentinel. Můžete získat metriky a data o upozorněních, včetně trendů výstrah, hlavních výstrah a rozpisu výstrah podle závažnosti. Můžete také získat informace o doporučeních poskytovaných pro vaše centra IoT, včetně hlavních doporučení a doporučení podle závažnosti. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Microsoft Defender pro Office 365 (Preview)
Podporováno:Microsoft Corporation
Microsoft Defender pro Office 365 chrání vaši organizaci před škodlivými hrozbami, které představují e-mailové zprávy, odkazy (adresy URL) a nástroje pro spolupráci. Ingestováním Microsoft Defender pro výstrahy Office 365 do Microsoft Sentinel můžete začlenit informace o e-mailových hrozbách a hrozbách založených na adresách URL do širší analýzy rizik a odpovídajícím způsobem sestavit scénáře reakce.
Importují se následující typy upozornění:
- Bylo zjištěno kliknutí na potenciálně škodlivou adresu URL.
- Email zprávy obsahující malware odebrané po doručení
- Email zpráv obsahujících adresy URL phish odebrané po doručení
- Email nahlášené uživatelem jako malware nebo phish
- Zjištění podezřelých vzorců odesílání e-mailů
- Uživatel s omezeným odesíláním e-mailů
Zákazníci Office si tyto výstrahy můžou zobrazit v ** Centru zabezpečení a dodržování předpisů Office**.
Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Analýza hrozeb v programu Microsoft Defender
Podporováno:Microsoft Corporation
Microsoft Sentinel vám poskytuje možnost importovat analýzu hrozeb vygenerovanou Microsoftem, která umožňuje monitorování, upozorňování a proaktivní vyhledávání. Tento datový konektor slouží k importu indikátorů ohrožení (IOC) z Analýza hrozeb v programu Microsoft Defender (MDTI) do Microsoft Sentinel. Indikátory hrozeb můžou zahrnovat IP adresy, domény, adresy URL a hodnoty hash souborů atd.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Microsoft Defender XDR
Podporováno:Microsoft Corporation
Microsoft Defender XDR je sjednocená, nativně integrovaná sada ochrany před porušením zabezpečení a po porušení zabezpečení, která chrání koncové body, identitu, e-mail a aplikace a pomáhá zjišťovat sofistikované hrozby, předcházet jim, prošetřovat je a automaticky na ně reagovat.
Microsoft Defender XDR suite zahrnuje:
- Microsoft Defender for Endpoint
- Microsoft Defender for Identity
- Microsoft Defender pro Office 365
- Threat & Vulnerability Management
- Microsoft Defender for Cloud Apps
Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityIncident |
Ano | Ano |
SecurityAlert |
Ano | Ano |
DeviceEvents |
Ano | Ano |
EmailEvents |
Ano | Ano |
IdentityLogonEvents |
Ano | Ano |
CloudAppEvents |
Ano | Ano |
AlertEvidence |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Microsoft Entra ID
Podporováno:Microsoft Corporation
Získejte přehled o Microsoft Entra ID propojením protokolů auditu a přihlašování s Microsoft Sentinel, abyste získali přehledy o Microsoft Entra ID scénářích. Informace o využití aplikací, zásadách podmíněného přístupu a starších verzích ověřování najdete v našich protokolech přihlášení. Informace o použití samoobslužného resetování hesla (SSPR), Microsoft Entra ID aktivitách správy, jako je správa uživatelů, skupin, rolí nebo aplikací, můžete získat pomocí naší tabulky Protokoly auditu. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SigninLogs |
Ano | Ano |
AuditLogs |
Ano | Ano |
AADNonInteractiveUserSignInLogs |
Ano | Ano |
AADServicePrincipalSignInLogs |
Ano | Ano |
AADManagedIdentitySignInLogs |
Ano | Ano |
AADProvisioningLogs |
Ano | Ano |
ADFSSignInLogs |
Ano | Ano |
AADUserRiskEvents |
Ano | Ano |
AADRiskyUsers |
Ano | Ano |
NetworkAccessTraffic |
Ano | Ano |
AADRiskyServicePrincipals |
Ano | Ano |
AADServicePrincipalRiskEvents |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Microsoft Entra ID prostředky
Podporováno:Microsoft Corporation
Datový konektor Entra ID assets poskytuje podrobnější přehled o datech aktivit tím, že doplňuje podrobnosti o informacích o prostředcích. Data z tohoto konektoru se používají k vytváření grafů rizik dat v Purview. Pokud jste tyto grafy povolili, deaktivace tohoto konektoru zabrání jejich sestavení. Seznamte se s grafem rizik dat.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Microsoft Entra ID Protection
Podporováno:Microsoft Corporation
Microsoft Entra ID Protection poskytuje konsolidované zobrazení rizikových uživatelů, rizikových událostí a ohrožení zabezpečení s možností okamžité nápravy rizik a nastavení zásad pro automatickou nápravu budoucích událostí. Služba je postavená na zkušenostech Microsoftu s ochranou identit uživatelů a získává obrovskou přesnost díky signálu z více než 13 miliard přihlášení denně. Integrujte výstrahy služby Microsoft Microsoft Entra ID Protection s Microsoft Sentinel, abyste mohli zobrazit řídicí panely, vytvářet vlastní výstrahy a zlepšovat šetření. Další informace najdete v dokumentaci k Microsoft Sentinel .
Získání Microsoft Entra ID Premium P1/P2
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Microsoft Exchange Správa protokoly auditu podle protokolů událostí
Podporováno:Komunita
[Možnost 1] – Použití agenta Azure Monitor – Všechny události auditu Exchange můžete streamovat z počítačů s Windows připojených k pracovnímu prostoru Microsoft Sentinel pomocí agenta Windows. Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní upozornění a zlepšovat šetření. Sešity zabezpečení Microsoft Exchange ho používají k poskytování přehledů o zabezpečení vašeho místního prostředí Exchange.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Event |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure bude služba Log Analytics zastaralá, doporučujeme shromažďovat data z Azure virtuálních počítačů Azure Arc. Další informace
-
Podrobná dokumentace: POZNÁMKA: Podrobnou dokumentaci k postupu instalace a použití najdete tady. >
Protokoly proxy serveru HTTP serveru Microsoft Exchange
Podporováno:Komunita
[Možnost 7] – Použití agenta Azure Monitor – Protokoly proxy serveru HTTP a protokoly událostí zabezpečení můžete streamovat z počítačů s Windows připojených k pracovnímu prostoru Microsoft Sentinel pomocí agenta Windows. Toto připojení umožňuje vytvářet vlastní výstrahy a zlepšovat šetření. Další informace
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ExchangeHttpProxy_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure bude služba Log Analytics zastaralá: Azure Log Analytics bude zastaralá, aby bylo možné shromažďovat data z Azure virtuálních počítačů, Azure se doporučuje Arc. Další informace
-
Podrobná dokumentace: POZNÁMKA: Podrobnou dokumentaci k postupu instalace a použití najdete tady. >
Protokoly a události serveru Microsoft Exchange
Podporováno:Komunita
[Možnost 2] – Použití agenta Azure Monitor – Všechny protokoly událostí zabezpečení exchange & aplikace můžete streamovat z počítačů s Windows připojených k pracovnímu prostoru Microsoft Sentinel pomocí agenta Windows. Toto připojení umožňuje vytvářet vlastní výstrahy a zlepšovat šetření.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Event |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure bude služba Log Analytics zastaralá: Azure Log Analytics bude zastaralá, aby bylo možné shromažďovat data z Azure virtuálních počítačů, Azure se doporučuje Arc. Další informace
-
Podrobná dokumentace: POZNÁMKA: Podrobnou dokumentaci k postupu instalace a použití najdete tady. >
Protokoly sledování zpráv serveru Microsoft Exchange
Podporováno:Komunita
[Možnost 6] – Použití agenta Azure Monitor – Veškeré sledování zpráv Exchange můžete streamovat z počítačů s Windows připojených k pracovnímu prostoru Microsoft Sentinel pomocí agenta Windows. Tyto protokoly se dají použít ke sledování toku zpráv ve vašem prostředí Exchange. Tento datový konektor je založený na možnosti 6 wikiwebu Microsoft Exchange Security.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
MessageTrackingLog_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure bude služba Log Analytics zastaralá: Azure Log Analytics bude zastaralá, aby bylo možné shromažďovat data z Azure virtuálních počítačů, Azure se doporučuje Arc. Další informace
-
Podrobná dokumentace: POZNÁMKA: Podrobnou dokumentaci k postupu instalace a použití najdete tady. >
Microsoft Power Automate
Podporováno:Microsoft Corporation
Power Automate je služba Microsoftu, která pomáhá uživatelům vytvářet automatizované pracovní postupy mezi aplikacemi a službami pro synchronizaci souborů, získávání oznámení, shromažďování dat a další. Zjednodušuje automatizaci úloh, zvyšuje efektivitu tím, že snižuje ruční, opakující se úkoly a zvyšuje produktivitu. Datový konektor Power Automate umožňuje ingestovat protokoly aktivit Power Automate z Microsoft Purview Audit přihlášení k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
PowerAutomateActivity |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění tenanta: Správce zabezpečení nebo Globální správce v tenantovi pracovního prostoru.
-
Micorosft Purview Audit: Microsoft Purview Audit (Standard nebo Premium) musí být aktivované.
Aktivita Správa Microsoft Power Platform
Podporováno:Microsoft Corporation
Microsoft Power Platform je sada s minimem kódu a bez kódu, která umožňuje vývojářům z občanů i vývojářům pro profesionály zjednodušit obchodní procesy tím, že umožňuje vytváření vlastních aplikací, automatizaci pracovních postupů a analýzu dat s minimálním kódováním. Datový konektor power platform Správa poskytuje možnost ingestovat protokoly aktivit správce Power Platform z Microsoft Purview Audit přihlášení k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
PowerPlatformAdminActivity |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění tenanta: Správce zabezpečení nebo Globální správce v tenantovi pracovního prostoru.
-
Micorosft Purview Audit: Microsoft Purview Audit (Standard nebo Premium) musí být aktivované.
Microsoft PowerBI
Podporováno:Microsoft Corporation
Microsoft PowerBI je kolekce softwarových služeb, aplikací a konektorů, které společně přeměňují nesouvisející zdroje dat na ucelené, vizuálně imerzivní a interaktivní přehledy. Vaše data můžou být excelová tabulka, kolekce cloudových a místních hybridních datových skladů nebo úložiště dat jiného typu. Tento konektor umožňuje streamovat protokoly auditu PowerBI do Microsoft Sentinel a umožňuje sledovat aktivity uživatelů v prostředí PowerBI. Data auditu můžete filtrovat podle rozsahu dat, uživatele, řídicího panelu, sestavy, datové sady a typu aktivity.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
PowerBIActivity |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Microsoft Project
Podporováno:Microsoft
Microsoft Project (MSP) je softwarové řešení pro řízení projektů. V závislosti na vašem plánu vám Microsoft Project umožňuje plánovat projekty, přiřazovat úkoly, spravovat zdroje, vytvářet sestavy a provádět další akce. Tento konektor umožňuje streamovat protokoly auditu Azure Projectu do Microsoft Sentinel, aby bylo možné sledovat aktivity projektu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ProjectActivity |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Microsoft Purview
Podporováno:Microsoft Corporation
Připojte se k Microsoft Purview a povolte rozšíření citlivosti dat Microsoft Sentinel. Protokoly klasifikace dat a popisků citlivosti z kontrol Microsoft Purview je možné ingestovat a vizualizovat prostřednictvím sešitů, analytických pravidel a dalších. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
PurviewDataSensitivityLogs |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Microsoft Purview Information Protection
Podporováno:Microsoft Corporation
Microsoft Purview Information Protection pomáhá zjišťovat, klasifikovat, chránit a řídit citlivé informace bez ohledu na to, kde žijí nebo cestují. Díky těmto možnostem můžete znát svá data, identifikovat citlivé položky a získat přehled o tom, jak se používají k lepší ochraně vašich dat. Popisky citlivosti jsou základní funkce, které poskytují akce ochrany, použití šifrování, omezení přístupu a vizuální označení. Integrujte Microsoft Purview Information Protection protokoly s Microsoft Sentinel, abyste mohli zobrazit řídicí panely, vytvářet vlastní upozornění a zlepšovat šetření. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
MicrosoftPurviewInformationProtection |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Audit mimecastu
Podporováno:Mimecast
Datový konektor pro audit mimecastu poskytuje zákazníkům přehled o událostech zabezpečení souvisejících s událostmi auditu a ověřování v rámci Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které analytikům umožňují zobrazit přehled o aktivitách uživatelů, pomoc při korelaci incidentů a zkrátit dobu odezvy šetření spolu s vlastními funkcemi upozornění.
Produkty Mimecast, které jsou součástí konektoru, jsou: Audit
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Audit_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure Předplatné: Azure Předplatné s rolí vlastníka se vyžaduje k registraci aplikace v Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Další informace o rozhraní API najdete v dokumentaci k rozhraní REST API.
Ověřování auditování & mimecast (pomocí Azure Functions)
Podporováno:Mimecast
Datový konektor pro ověřování Audit & Mimecast poskytuje zákazníkům přehled o událostech zabezpečení souvisejících s událostmi auditu a ověřování v rámci Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které analytikům umožňují zobrazit přehled o aktivitách uživatelů, pomoc při korelaci incidentů a zkrátit dobu odezvy šetření spolu s vlastními funkcemi upozornění.
Produkty Mimecast, které jsou součástí konektoru, jsou: Audit & Authentication
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
MimecastAudit_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- Přihlašovací údaje rozhraní MIMECAST API: Ke konfiguraci integrace potřebujete následující informace:
- mimecastEmail: Email adresa vyhrazeného uživatele správce Mimecastu
- mimecastPassword: Heslo pro vyhrazeného uživatele správce Mimecast
- mimecastAppId: ID aplikace rozhraní API Microsoft Sentinel aplikace Mimecast zaregistrované pomocí Mimecastu
- mimecastAppKey: Klíč aplikace rozhraní API Microsoft Sentinel aplikace Mimecast zaregistrované v Mimecastu
- mimecastAccessKey: Přístupový klíč pro vyhrazeného uživatele správce Mimecast
- mimecastSecretKey: Tajný klíč pro vyhrazeného uživatele správce Mimecast
- mimecastBaseURL: Mimecast Regional API Base URL
ID aplikace Mimecast, klíč aplikace spolu s přístupovým klíčem a tajnými klíči pro vyhrazeného uživatele správce Mimecastu lze získat prostřednictvím konzoly pro správu Mimecastu: Správa | Služby | Integrace rozhraní API a platformy.
Základní adresa URL rozhraní API Mimecast pro každou oblast je popsána tady: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Skupina prostředků: Musíte mít vytvořenou skupinu prostředků s předplatným, které budete používat.
- Aplikace Functions: Abyste mohli tento konektor používat, musíte mít zaregistrovaný Aplikace Azure.
- ID aplikace
- ID tenanta
- ID klienta
- Tajný klíč klienta
Školení pro zvyšování povědomí o mimecastu
Podporováno:Mimecast
Datový konektor pro školení Mimecast Awareness Training poskytuje zákazníkům přehled o událostech zabezpečení souvisejících s kontrolními technologiemi cílené ochrany před internetovými útoky v rámci Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které umožňují analytikům zobrazit přehled o e-mailových hrozbách, pomáhají při korelaci incidentů a zkracují dobu odezvy šetření spolu s vlastními funkcemi upozornění.
Produkty Mimecast, které jsou součástí konektoru, jsou:
- Podrobnosti o výkonu
- Podrobnosti o skóre zabezpečení
- Uživatelská data
- Podrobnosti o seznamu ke zhlédnutí
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Awareness_Performance_Details_CL |
Ano | Ano |
Awareness_SafeScore_Details_CL |
Ano | Ano |
Awareness_User_Data_CL |
Ano | Ano |
Awareness_Watchlist_Details_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure Předplatné: Azure Předplatné s rolí vlastníka se vyžaduje k registraci aplikace v Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Další informace o rozhraní API najdete v dokumentaci k rozhraní REST API.
Mimecast Cloud Integrated
Podporováno:Mimecast
Datový konektor pro cloudovou integraci Mimecast poskytuje zákazníkům přehled o událostech zabezpečení souvisejících s technologiemi kontroly integrované do cloudu v rámci Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které umožňují analytikům zobrazit přehled o e-mailových hrozbách, pomáhají při korelaci incidentů a zkracují dobu odezvy šetření spolu s vlastními funkcemi upozornění.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Cloud_Integrated_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure Předplatné: Azure Předplatné s rolí vlastníka se vyžaduje k registraci aplikace v Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Další informace o rozhraní API najdete v dokumentaci k rozhraní REST API.
Inteligentní funkce mimecastu pro Microsoft – Microsoft Sentinel (pomocí Azure Functions)
Podporováno:Mimecast
Datový konektor pro analýzu mimecastu pro Microsoft poskytuje regionální analýzu hrozeb kurátorované z technologií kontroly e-mailu mimecast s předem vytvořenými řídicími panely, které umožňují analytikům zobrazit přehled o e-mailových hrozbách, pomoci při korelaci incidentů a zkrátit dobu odezvy.
Požadované produkty a funkce Mimecast:
- Zabezpečená brána Email Mimecast
- Analýza hrozeb mimecastu
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- Přihlašovací údaje rozhraní MIMECAST API: Ke konfiguraci integrace potřebujete následující informace:
- mimecastEmail: Email adresa vyhrazeného uživatele správce Mimecastu
- mimecastPassword: Heslo pro vyhrazeného uživatele správce Mimecast
- mimecastAppId: ID aplikace rozhraní API Microsoft Sentinel aplikace Mimecast zaregistrované pomocí Mimecastu
- mimecastAppKey: Klíč aplikace rozhraní API Microsoft Sentinel aplikace Mimecast zaregistrované v Mimecastu
- mimecastAccessKey: Přístupový klíč pro vyhrazeného uživatele správce Mimecast
- mimecastSecretKey: Tajný klíč pro vyhrazeného uživatele správce Mimecast
- mimecastBaseURL: Mimecast Regional API Base URL
ID aplikace Mimecast, klíč aplikace spolu s přístupovým klíčem a tajnými klíči pro vyhrazeného uživatele správce Mimecastu lze získat prostřednictvím konzoly pro správu Mimecastu: Správa | Služby | Integrace rozhraní API a platformy.
Základní adresa URL rozhraní API Mimecast pro každou oblast je popsána tady: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Skupina prostředků: Musíte mít vytvořenou skupinu prostředků s předplatným, které budete používat.
- Aplikace Functions: Abyste mohli tento konektor používat, musíte mít zaregistrovaný Aplikace Azure.
- ID aplikace
- ID tenanta
- ID klienta
- Tajný klíč klienta
Zabezpečená brána Email Mimecast
Podporováno:Mimecast
Datový konektor pro Mimecast Secure Email Gateway umožňuje snadné shromažďování protokolů ze služby Secure Email Gateway pro zobrazení přehledu e-mailu a aktivity uživatelů v rámci Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které umožňují analytikům zobrazit přehled o e-mailových hrozbách, pomáhají při korelaci incidentů a zkracují dobu odezvy šetření spolu s vlastními funkcemi upozornění. Požadované produkty a funkce Mimecast:
- Mimecast Cloud Gateway
- Prevence nevrácení dat mimecastu
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Seg_Cg_CL |
Ano | Ano |
Seg_Dlp_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure Předplatné: Azure Předplatné s rolí vlastníka se vyžaduje k registraci aplikace v Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Další informace o rozhraní API najdete v dokumentaci k rozhraní REST API.
Mimecast Secure Email Gateway (pomocí Azure Functions)
Podporováno:Mimecast
Datový konektor pro Mimecast Secure Email Gateway umožňuje snadné shromažďování protokolů ze služby Secure Email Gateway pro zobrazení přehledu e-mailu a aktivity uživatelů v rámci Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které umožňují analytikům zobrazit přehled o e-mailových hrozbách, pomáhají při korelaci incidentů a zkracují dobu odezvy šetření spolu s vlastními funkcemi upozornění. Požadované produkty a funkce Mimecast:
- Zabezpečená brána Email Mimecast
- Prevence nevrácení dat mimecastu
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
MimecastSIEM_CL |
Ne | Ne |
MimecastDLP_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- Přihlašovací údaje rozhraní MIMECAST API: Ke konfiguraci integrace potřebujete následující informace:
- mimecastEmail: Email adresa vyhrazeného uživatele správce Mimecastu
- mimecastPassword: Heslo pro vyhrazeného uživatele správce Mimecast
- mimecastAppId: ID aplikace rozhraní API Microsoft Sentinel aplikace Mimecast zaregistrované pomocí Mimecastu
- mimecastAppKey: Klíč aplikace rozhraní API Microsoft Sentinel aplikace Mimecast zaregistrované v Mimecastu
- mimecastAccessKey: Přístupový klíč pro vyhrazeného uživatele správce Mimecast
- mimecastSecretKey: Tajný klíč pro vyhrazeného uživatele správce Mimecast
- mimecastBaseURL: Mimecast Regional API Base URL
ID aplikace Mimecast, klíč aplikace spolu s přístupovým klíčem a tajnými klíči pro vyhrazeného uživatele správce Mimecastu lze získat prostřednictvím konzoly pro správu Mimecastu: Správa | Služby | Integrace rozhraní API a platformy.
Základní adresa URL rozhraní API Mimecast pro každou oblast je popsána tady: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Skupina prostředků: Musíte mít vytvořenou skupinu prostředků s předplatným, které budete používat.
- Aplikace Functions: Abyste mohli tento konektor používat, musíte mít zaregistrovaný Aplikace Azure.
- ID aplikace
- ID tenanta
- ID klienta
- Tajný klíč klienta
Mimecast Targeted Threat Protection
Podporováno:Mimecast
Datový konektor pro službu Mimecast Targeted Threat Protection poskytuje zákazníkům přehled o událostech zabezpečení souvisejících s kontrolními technologiemi služby Targeted Threat Protection v rámci Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které umožňují analytikům zobrazit přehled o e-mailových hrozbách, pomáhají při korelaci incidentů a zkracují dobu odezvy šetření spolu s vlastními funkcemi upozornění.
Produkty Mimecast, které jsou součástí konektoru, jsou:
- Ochrana adresy URL
- Ochrana před zosobněním
- Zamknout přílohy
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Ttp_Url_CL |
Ano | Ano |
Ttp_Attachment_CL |
Ano | Ano |
Ttp_Impersonation_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure Předplatné: Azure Předplatné s rolí vlastníka se vyžaduje k registraci aplikace v Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Další informace o rozhraní API najdete v dokumentaci k rozhraní REST API.
Mimecast Targeted Threat Protection (pomocí Azure Functions)
Podporováno:Mimecast
Datový konektor pro službu Mimecast Targeted Threat Protection poskytuje zákazníkům přehled o událostech zabezpečení souvisejících s kontrolními technologiemi služby Targeted Threat Protection v rámci Microsoft Sentinel. Datový konektor poskytuje předem vytvořené řídicí panely, které umožňují analytikům zobrazit přehled o e-mailových hrozbách, pomáhají při korelaci incidentů a zkracují dobu odezvy šetření spolu s vlastními funkcemi upozornění.
Produkty Mimecast, které jsou součástí konektoru, jsou:
- Ochrana adresy URL
- Ochrana před zosobněním
- Zamknout přílohy
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
MimecastTTPUrl_CL |
Ne | Ne |
MimecastTTPAttachment_CL |
Ne | Ne |
MimecastTTPImpersonation_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- Přihlašovací údaje a oprávnění rozhraní REST API: Ke konfiguraci integrace potřebujete následující informace:
- mimecastEmail: Email adresa vyhrazeného uživatele správce Mimecastu
- mimecastPassword: Heslo pro vyhrazeného uživatele správce Mimecast
- mimecastAppId: ID aplikace rozhraní API Microsoft Sentinel aplikace Mimecast zaregistrované pomocí Mimecastu
- mimecastAppKey: Klíč aplikace rozhraní API Microsoft Sentinel aplikace Mimecast zaregistrované v Mimecastu
- mimecastAccessKey: Přístupový klíč pro vyhrazeného uživatele správce Mimecast
- mimecastSecretKey: Tajný klíč pro vyhrazeného uživatele správce Mimecast
- mimecastBaseURL: Mimecast Regional API Base URL
ID aplikace Mimecast, klíč aplikace spolu s přístupovým klíčem a tajnými klíči pro vyhrazeného uživatele správce Mimecastu lze získat prostřednictvím konzoly pro správu Mimecastu: Správa | Služby | Integrace rozhraní API a platformy.
Základní adresa URL rozhraní API Mimecast pro každou oblast je popsána tady: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
MISP2Sentinel
Podporováno:Komunita
Toto řešení nainstaluje konektor MISP2Sentinel, který umožňuje automaticky odesílat indikátory hrozeb z MISP do Microsoft Sentinel prostřednictvím rozhraní REST API pro nahrávání indikátorů. Po instalaci řešení nakonfigurujte a povolte tento datový konektor podle pokynů v zobrazení Správa řešení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Protokoly Atlasu MongoDB
Podporováno:MongoDB
Konektor Protokolů MongoDBAtlas umožňuje nahrát protokoly databáze MongoDB Atlas do Microsoft Sentinel prostřednictvím rozhraní MongoDB Atlas Administration API. Další informace najdete v dokumentaci k rozhraní API . Konektor poskytuje možnost získat rozsah zpráv protokolu databáze pro zadané hostitele a zadaný projekt.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
MDBALogTable_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Vyžaduje se ID klienta účtu služby MongoDB Atlas a tajný klíč klienta . Další informace najdete v tématu Vytvoření účtu služby.
MuleSoft CloudHub (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Datový konektor MuleSoft Cloudhub poskytuje možnost načítat protokoly z aplikací CloudHub pomocí rozhraní API CloudHubu a dalších událostí do Microsoft Sentinel prostřednictvím rozhraní REST API. Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
MuleSoft_Cloudhub_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Pro volání rozhraní API se vyžadují přihlašovací údaje a oprávnění rozhraní REST API: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername a MuleSoftPassword.
Ochrana NC
Podporováno:archTIS
Konektor NC Protect Data Connector (archtis.com) umožňuje ingestovat protokoly aktivit uživatelů a události do Microsoft Sentinel. Konektor poskytuje přehled o protokolech aktivit a událostech služby NC Protect uživatelů v Microsoft Sentinel, aby se zlepšily možnosti monitorování a vyšetřování.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
NCProtectUAL_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
NC Protect: Musíte mít spuštěnou instanci NC Protect pro O365.
Kontaktujte nás prosím.
Výstrahy a události Netskope
Podporováno:Netskope
Události a výstrahy zabezpečení Netskope
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
NetskopeAlerts_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Adresa URL organizace Netskope: Datový konektor Netskope vyžaduje, abyste zadali adresu URL vaší organizace. Adresu URL vaší organizace najdete po přihlášení k portálu Netskope.
-
Klíč rozhraní API Netskope: Datový konektor Netskope vyžaduje, abyste zadali platný klíč rozhraní API. Můžete si ho vytvořit podle dokumentace k Netskope.
Datový konektor Netskope
Podporováno:Netskope
Datový konektor Netskope poskytuje následující funkce:
- NetskopeToAzureStorage :
- Získejte data výstrah a událostí Netskope z Netskope a ingestujte je do úložiště Azure. 2. StorageToSentinel :
- Získejte data výstrah a událostí Netskope z úložiště Azure a ingestujte do vlastní tabulky protokolů v pracovním prostoru služby Log Analytics. 3. WebTxMetrics :
- Získejte data WebTxMetrics z Netskope a ingestujte do vlastní tabulky protokolů v pracovním prostoru služby Log Analytics.
Další podrobnosti o rozhraníCH REST API najdete v následující dokumentaci:
- Dokumentace k rozhraní Netskope API:
https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure dokumentaci k úložišti: /azure/storage/common/storage-introduction 3. Dokumentace k analýze protokolů Microsoftu: /azure/azure-monitor/logs/log-analytics-overview
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
alertscompromisedcredentialdata_CL |
Ne | Ne |
alertsctepdata_CL |
Ne | Ne |
alertsdlpdata_CL |
Ne | Ne |
alertsmalsitedata_CL |
Ne | Ne |
alertsmalwaredata_CL |
Ne | Ne |
alertspolicydata_CL |
Ne | Ne |
alertsquarantinedata_CL |
Ne | Ne |
alertsremediationdata_CL |
Ne | Ne |
alertssecurityassessmentdata_CL |
Ne | Ne |
alertsubadata_CL |
Ne | Ne |
eventsapplicationdata_CL |
Ne | Ne |
eventsauditdata_CL |
Ne | Ne |
eventsconnectiondata_CL |
Ne | Ne |
eventsincidentdata_CL |
Ne | Ne |
eventsnetworkdata_CL |
Ne | Ne |
eventspagedata_CL |
Ne | Ne |
Netskope_WebTx_metrics_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Azure Předplatné: Azure Předplatné s rolí vlastníka se vyžaduje k registraci aplikace v Azure Active Directory() a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Vyžaduje se tenant Netskope a token rozhraní Netskope API . Další informace o rozhraní API najdete v dokumentaci k rozhraní REST API.
Netskope Web Transaction Connector (přes Blob Storage)
Podporováno:Netskope
Konektor Netskope Web Transaction ingestuje protokoly webových transakcí ze streamování protokolu Netskope do Microsoft Sentinel prostřednictvím Azure Blob Storage pomocí rozhraní CCF (Codeless Connector Framework).
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
NetskopeWebTransactions_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění k předplatnému: K vytvoření prostředků toku dat potřebujete oprávnění:
- fronty úložiště (fronta oznámení a fronta nedoručených zpráv)
- téma a odběr event gridu (k odesílání oznámení o události vytvořené objektem blob do fronty oznámení)
- přiřazení rolí (pokud chcete udělit přístup Microsoft Sentinel aplikaci ke kontejneru objektů blob a frontám úložiště.
- Konfigurace sítě účtu úložiště: Omezení sítě (firewall nebo pravidla PROTOKOLU IP) na účtu Azure Blob Storage nejsou pro tento konektor podporovaná kvůli omezením a omezením brány firewall služby Azure Storage:
- Pravidla sítě PROTOKOLU IP nemajížádný vlivna požadavky pocházející ze stejné Azure oblasti jako účet úložiště.
- Pravidla sítě PROTOKOLU IPnemohou omezitpřístup ke službám Azure nasazených ve stejné oblasti, protože tyto služby ke komunikaci používají privátní Azure IP adresy.
- Pravidla koncového bodu služby pro virtuální síť se nevztahují na klienty ve spárované oblasti.
Ujistěte se, že je okno Sítě v účtu úložiště nastavené na Povoleno ze všech sítí.
- Přiřazení rolí účtu úložiště: K instančnímu objektu Microsoft Sentinel podnikové aplikace v účtu úložiště, který obsahuje váš kontejner objektů blob, je potřeba přiřadit následující Azure role RBAC:
- Přispěvatel dat v objektech blob služby Storage – vyžaduje se pro čtení dat objektů blob z kontejneru.
- Přispěvatel dat fronty úložiště – vyžaduje se pro správu oznámení a zpráv ve frontě nedoručených zpráv.
Přiřazení těchto rolí: Přejděte na → účtu úložiště Access Control (IAM) → Přidat přiřazení role, vyhledejte NÍŽE uvedené ID instančního objektu a přiřaďte obě role.
-
Shromažďování dat z Netskope do kontejneru objektů blob: Postupujte podle kroků v dokumentaci ke streamování protokolů Netskope a nakonfigurujte Netskope tak, aby streamovali protokoly webových transakcí do kontejneru Azure Blob Storage.
Netskope Web Transactions Data Connector
Podporováno:Netskope
Datový konektor Netskope Web Transactions poskytuje funkce image dockeru pro načtení dat Netskope Web Transactions z google pubsublite, zpracování dat a ingestování zpracovaných dat do Log Analytics. Jako součást tohoto datového konektoru se v Log Analytics vytvoří dvě tabulky, jedna pro data webových transakcí a druhá pro chyby, ke kterým dojde během provádění.
Další podrobnosti týkající se webových transakcí najdete v následující dokumentaci:
- Dokumentace k Netskope Web Transactions:
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
NetskopeWebtxData_CL |
Ne | Ne |
NetskopeWebtxErrors_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Azure Předplatné: Azure Předplatné s rolí vlastníka se vyžaduje k registraci aplikace v Microsoft Entra ID a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
- Oprávnění Microsoft.Compute: Pro Azure virtuální počítače se vyžadují oprávnění ke čtení a zápisu. Další informace najdete v tématu Azure virtuální počítače.
- TransactionEvents – Přihlašovací údaje a oprávnění: Vyžaduje se tenant Netskope a token rozhraní Netskope API . Další informace najdete v tématu Události transakcí.
-
Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
Skupiny zabezpečení sítě
Podporováno:Microsoft Corporation
Azure skupiny zabezpečení sítě (NSG) umožňují filtrovat síťový provoz do a z Azure prostředků v Azure virtuální síti. Skupina zabezpečení sítě zahrnuje pravidla, která povolují nebo zamítnou provoz do podsítě virtuální sítě, síťového rozhraní nebo obojího.
Když povolíte protokolování pro skupinu zabezpečení sítě, můžete shromáždit následující typy informací protokolu prostředků:
- Událost: Protokolují se položky, pro které se na virtuální počítače použijí pravidla NSG na základě adresy MAC.
- Čítač pravidel: Obsahuje záznamy, kolikrát se každé pravidlo NSG použije k odepření nebo povolení provozu. Stav těchto pravidel se shromažďuje každých 300 sekund.
Tento konektor umožňuje streamovat diagnostické protokoly NSG do Microsoft Sentinel a nepřetržitě monitorovat aktivitu ve všech vašich instancích. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
AzureDiagnostics |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
NordPass
Podporuje:NordPass
Integrace NordPassu s Microsoft Sentinel SIEM prostřednictvím rozhraní API vám umožní automaticky přenášet data protokolu aktivit z NordPassu do Microsoft Sentinel a získávat přehledy v reálném čase, jako je aktivita položek, všechny pokusy o přihlášení a oznámení zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
NordPassEventLogs_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Ujistěte se, že jsou skupina prostředků a pracovní prostor služby Log Analytics vytvořené a umístěné ve stejné oblasti, abyste mohli nasadit Azure Functions.
- Do vytvořeného pracovního prostoru služby Log Analytics přidejte Microsoft Sentinel.
- Na panelu Správa NordPass vygenerujte adresu URL a token rozhraní MICROSOFT SENTINEL API a dokončete integraci Azure Functions. Upozorňujeme, že k tomu budete potřebovat účet NordPass Enterprise.
-
Důležité: Tento konektor používá Azure Functions k načtení protokolů aktivit z NordPassu do Microsoft Sentinel. To může vést k dalším nákladům na příjem dat. Další informace najdete na stránce s cenami Azure Functions.
Obsidian Datasharing Connector
Podporováno:Obsidian Security
Konektor Obsidian Datasharing poskytuje možnost číst nezpracovaná data událostí ze sdílení dat obsidianu v Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ObsidianActivity_CL |
Ne | Ne |
ObsidianThreat_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje Entra ID role Vývojář aplikace nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele monitorování metrik k pravidlu shromažďování dat (DCR). Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
Jednotné přihlašování Okta
Podporováno:Microsoft Corporation
Datový konektor SSO (Single Sign-On) Okta umožňuje ingestovat protokoly auditu a událostí z rozhraní OKta Sysem Log API do Microsoft Sentinel. Datový konektor je založený na rozhraní Microsoft Sentinel codeless Connector Framework a k načtení událostí používá rozhraní OKta System Log API. Konektor podporuje transformace doby příjmu dat na základě DCR, které parsují přijatá data událostí zabezpečení do vlastních sloupců, aby je dotazy nemusely znovu parsovat, což vede k lepšímu výkonu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
OktaSSO |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Token rozhraní API Okta: Token rozhraní OKTA API. Pokud chcete vytvořit další informace o rozhraní OKta System Log API, postupujte podle následujících pokynů.
Jeden Sign-On Okta (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Konektor Okta Single Sign-On (SSO) umožňuje ingestovat protokoly auditu a událostí z rozhraní OKTA API do Microsoft Sentinel. Konektor poskytuje přehled o těchto typech protokolů v Microsoft Sentinel pro zobrazení řídicích panelů, vytváření vlastních upozornění a vylepšení možností monitorování a prověřování.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Okta_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Token rozhraní API Okta: Vyžaduje se token rozhraní API Okta. Další informace o rozhraní OKta System Log API najdete v dokumentaci.
Onapsis Defend: Integrace detekce chybějících hrozeb SAP & Intel s Microsoft Sentinel
Podporováno:Onapsis
Umožněte bezpečnostním týmům hluboký přehled o jedinečné aktivitě zneužití, nulového dne a aktéra hrozeb. podezřelé chování uživatelů nebo insiderů; stahování citlivých dat; porušení bezpečnostních kontrol; a další – vše obohacené odborníky na SAP ve společnosti Onapsis.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Onapsis_Defend_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje Entra ID role Vývojář aplikace nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele metrik monitorování v pravidlech shromažďování dat. Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
Platforma OneLogin IAM (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor OneLogin poskytuje možnost ingestovat běžné události platformy OneLogin IAM do Microsoft Sentinel prostřednictvím rozhraní REST API pomocí rozhraní API pro události OneLogin a rozhraní API pro uživatele OneLogin. Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
OneLoginEventsV2_CL |
Ano | Ano |
OneLoginUsersV2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přihlašovací údaje rozhraní IAM pro OneLogin: Pokud chcete vytvořit přihlašovací údaje rozhraní API, postupujte podle tohoto odkazu na dokument, klikněte sem.
Pokud chcete vytvořit přihlašovací údaje rozhraní API, ujistěte se, že máte typ účtu vlastníka účtu nebo správce.
Po vytvoření přihlašovacích údajů rozhraní API získáte ID klienta a tajný klíč klienta.
OneTrust
Podporováno:OneTrust, LLC
Konektor OneTrust pro Microsoft Sentinel poskytuje možnost získat téměř v reálném čase přehled o tom, kde byla umístěna nebo opravena citlivá data napříč Google Cloudem a dalšími podporovanými zdroji dat OneTrust.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
OneTrustMetadataV3_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje Entra ID role Vývojář aplikace nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele monitorování metrik k pravidlu shromažďování dat (DCR). Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
Open Systems Data Connector
Podporováno:Open Systems
Konektor Microsoft Sentinel api protokolů open systems poskytuje možnost ingestovat protokoly Open Systems do Microsoft Sentinel pomocí rozhraní API protokolů open systems.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
OpenSystemsZtnaLogs_CL |
Ano | Ano |
OpenSystemsFirewallLogs_CL |
Ne | Ne |
OpenSystemsAuthenticationLogs_CL |
Ne | Ne |
OpenSystemsProxyLogs_CL |
Ne | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure Container Apps, DCR a DCE: Vyžaduje se oprávnění k nasazení aplikací Azure kontejneru, spravovaných prostředí, pravidel shromažďování dat (DCR) a koncových bodů shromažďování dat (DCE). Obvykle se k tomu vztahuje role Přispěvatel v předplatném nebo skupině prostředků.
- Oprávnění k přiřazení rolí: Pro nasazujícího uživatele nebo instanční objekt se vyžadují oprávnění k vytváření přiřazení rolí (konkrétně vydavatele metrik monitorování u dcr).
- Požadované přihlašovací údaje pro šablonu ARM: Během nasazování budete muset zadat: Koncový bod rozhraní API open systems logs a připojovací řetězec a přihlašovací údaje instančního objektu (ID klienta, tajný klíč klienta, ID objektu/objektu zabezpečení).
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
V případě potřeby vlastní požadavky odstraňte tuto celní značku: Popis všech vlastních požadavků.
Cloudová infrastruktura Oracle (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor OCI (Oracle Cloud Infrastructure) umožňuje ingestovat protokoly OCI z OCI Stream do Microsoft Sentinel pomocí rozhraní REST API pro streamování OCI.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
OCI_LogsV2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přístup k rozhraní API pro streamování OCI: Vyžaduje se přístup k rozhraní API pro streamování OCI prostřednictvím podpisových klíčů rozhraní API.
Výstrahy zabezpečení Orca
Podporováno:Orca Security
Konektor Orca Security Alerts umožňuje snadno exportovat protokoly upozornění do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
OrcaAlerts_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Palo Alto Cortex XDR
Podporováno:Microsoft Corporation
Datový konektor Palo Alto Cortex XDR umožňuje ingestovat protokoly z rozhraní Palo Alto Cortex XDR API do Microsoft Sentinel. Datový konektor je založený na Microsoft Sentinel rozhraní konektorů bez kódu. Používá rozhraní Palo Alto Cortex XDR API k načtení protokolů a podporuje transformace doby příjmu dat založené na DCR, které parsují přijatá data zabezpečení do vlastní tabulky, aby je dotazy nemusely znovu parsovat, což vede k lepšímu výkonu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
PaloAltoCortexXDR_Incidents_CL |
Ano | Ano |
PaloAltoCortexXDR_Endpoints_CL |
Ano | Ano |
PaloAltoCortexXDR_Audit_Management_CL |
Ano | Ano |
PaloAltoCortexXDR_Audit_Agent_CL |
Ano | Ano |
PaloAltoCortexXDR_Alerts_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Palo Alto Cortex Xpanse (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Palo Alto Cortex Xpanse ingestuje upozornění dat do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CortexXpanseAlerts_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Palo Alto Prisma Cloud CSPM (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Palo Alto Prisma Cloud CSPM umožňuje připojit se k instanci CSPM v Palo Alto Prisma Cloud a ingestovat výstrahy (https://pan.dev/prisma-cloud/api/cspm/alerts/) & protokoly auditu(https://pan.dev/prisma-cloud/api/cspm/audit-logs/) do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
PaloAltoPrismaCloudAlertV2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Palo Alto Prisma Cloud CWPP (s využitím rozhraní REST API)
Podporováno:Microsoft Corporation
Datový konektor Palo Alto Prisma Cloud CWPP umožňuje připojit se k instanci Palo Alto Prisma Cloud CWPP a ingestovat upozornění do Microsoft Sentinel. Datový konektor je založený na architektuře konektoru bez kódu Microsoft Sentinel a používá rozhraní API cloudu Prisma k načtení událostí zabezpečení a podporuje transformace doby příjmu dat založené na DCR, které parsují přijatá data událostí zabezpečení do vlastních sloupců, aby je dotazy nemusely znovu parsovat, což vede k lepšímu výkonu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
PrismaCloudCompute_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Klíč rozhraní API PrismaCloudCompute: Uživatelské jméno a heslo rozhraní API monitoru Palo Alto Prisma Cloud CWPP je povinné. Další informace najdete v tématu PrismaCloudCompute SIEM API.
Pathlock Inc.: Detekce hrozeb a reakce na ně pro SAP
Podporováno společností:Pathlock Inc.
Integrace funkce Pathlock Threat Detection and Response (TD&R) s řešením Microsoft Sentinel pro SAP poskytuje jednotný přehled o událostech zabezpečení SAP v reálném čase a umožňuje organizacím detekovat hrozby a reagovat na ně ve všech oblastech SAP. Tato předefinovaná integrace umožňuje službě Security Operations Center (SOC) korelovat výstrahy specifické pro SAP s celopodnikovou telemetrií a vytvářet akční inteligentní funkce, které propojují zabezpečení IT s obchodními procesy.
Konektor Pathlock je určený pro SAP a ve výchozím nastavení předává pouze události související se zabezpečením. Minimalizuje objem dat a šum při zachování flexibility pro předávání všech zdrojů protokolů v případě potřeby. Každá událost je rozšířená o kontext obchodního procesu, což Microsoft Sentinel Řešení pro analýzu SAP umožňuje odlišit provozní vzory od skutečných hrozeb a určit prioritu toho, na čem skutečně záleží.
Tento přístup založený na přesnosti pomáhá týmům zabezpečení výrazně snížit počet falešně pozitivních výsledků, zaměřit se na šetření a zrychlit střední dobu detekce (MTTD) a střední dobu reakce (MTTR). Knihovna Pathlock se skládá z více než 1 500 detekčních podpisů specifických pro SAP napříč více než 70 zdroji protokolů. Řešení odkrývá komplexní chování útoku, slabá místa konfigurace a přístupové anomálie.
Díky kombinaci inteligentního obchodního kontextu s pokročilými analýzami umožňuje pathlock podnikům posílit přesnost detekce, zjednodušit reakce a udržovat nepřetržitou kontrolu napříč jejich prostředími SAP– bez nutnosti přidávat složitost nebo redundantní vrstvy monitorování.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ABAPAuditLog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje Entra ID role Vývojář aplikace nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele metrik monitorování v pravidlech shromažďování dat. Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
Protokoly aktivit perimetru 81
Podporováno:Perimeter 81
Konektor Protokoly aktivit Hraniční sítě 81 umožňuje snadno propojit protokoly aktivit Hraniční sítě 81 s Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní upozornění a zlepšovat šetření.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Perimeter81_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Fosforová zařízení
Podporováno: FosforInc.
Konektor zařízení fosforu poskytuje schopnost fosforu ingestovat datové protokoly zařízení do Microsoft Sentinel prostřednictvím rozhraní REST API pro fosfor. Konektor poskytuje přehled o zařízeních zaregistrovaných v fosforu. Tento datový konektor natahuje informace o zařízení společně s odpovídajícími výstrahami.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Phosphorus_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Přihlašovací údaje a oprávnění rozhraní REST API: Vyžaduje se klíč rozhraní API Fosfor . Ujistěte se, že klíč rozhraní API přidružený k uživateli má povolená oprávnění Spravovat nastavení.
Podle těchto pokynů povolte oprávnění Ke správě nastavení.
- Přihlaste se k aplikaci fosforu.
- Přejděte na Nastavení –> Skupiny.
- Vyberte skupinu, do které je uživatel s integrací součástí.
- Přejděte na Akce produktu –> přepněte oprávnění Spravovat nastavení.
Ping One (přes architekturu konektorů bez kódu)
Podporováno:Microsoft Corporation
Tento konektor ingestuje protokoly aktivit auditu z platformy Identita PingOne do Microsoft Sentinel pomocí architektury konektoru bez kódu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
PingOne_AuditActivitiesV2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Datový konektor Prancer
Podporuje:Prancer PenSuiteAI Integration
Datový konektor Prancer nabízí možnost ingestovat data Aplikace Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] a PAC ke zpracování prostřednictvím Microsoft Sentinel. Další informace najdete v dokumentaci ke službě Prancer .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
prancer_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Pokud připojení vyžaduje, uveďte vlastní požadavky – v opačném případě odstraňte cla: Popis všech vlastních požadavků.
Premium Analýza hrozeb v programu Microsoft Defender
Podporováno:Microsoft Corporation
Microsoft Sentinel vám poskytuje možnost importovat analýzu hrozeb vygenerovanou Microsoftem, která umožňuje monitorování, upozorňování a proaktivní vyhledávání. Pomocí tohoto datového konektoru můžete importovat indikátory ohrožení (IOC) z premium Analýza hrozeb v programu Microsoft Defender (MDTI) do Microsoft Sentinel. Indikátory hrozeb můžou zahrnovat IP adresy, domény, adresy URL a hodnoty hash souborů atd. Poznámka: Toto je placený konektor. Pokud chcete používat a ingestovat z něj data, kupte si v Partnerském centru skladovou položku MDTI API Access.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Proofpoint On Demand Email Security (prostřednictvím rozhraní konektorů bez kódu)
Podporováno společností:Proofpoint, Inc.
Datový konektor Proofpoint On Demand Email Security poskytuje možnost získat data proofpointu na vyžádání Email Protection, umožňuje uživatelům kontrolovat sledovatelnost zpráv, sledovat e-mailovou aktivitu, hrozby a exfiltraci dat útočníky a účastníky programu Insider. Konektor poskytuje možnost zrychlené kontroly událostí ve vaší organizaci a získání souborů protokolu událostí v hodinových přírůstcích pro nedávné aktivity.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ProofpointPODMailLog_CL |
Ano | Ano |
ProofpointPODMessage_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přihlašovací údaje a oprávnění rozhraní WEBSocket API: Vyžaduje se ProofpointClusterID a ProofpointToken . Další informace najdete v tématu rozhraní API.
Proofpoint On Demand Email Security (prostřednictvím rozhraní konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Proofpoint On Demand Email Security poskytuje možnost získat data proofpointu na vyžádání Email Protection, umožňuje uživatelům kontrolovat sledovatelnost zpráv, sledovat e-mailovou aktivitu, hrozby a exfiltraci dat útočníky a účastníky programu Insider. Konektor poskytuje možnost zrychlené kontroly událostí ve vaší organizaci a získání souborů protokolu událostí v hodinových přírůstcích pro nedávné aktivity.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ProofpointPODMailLog_CL |
Ano | Ano |
ProofpointPODMessage_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přihlašovací údaje a oprávnění rozhraní WEBSocket API: Vyžaduje se ProofpointClusterID a ProofpointToken . Další informace najdete v tématu rozhraní API.
Proofpoint TAP (prostřednictvím rozhraní konektorů bez kódu)
Podporováno společností:Proofpoint, Inc.
Konektor Proofpoint Targeted Attack Protection (TAP) umožňuje ingestovat protokoly a události TAP proofpointu do Microsoft Sentinel. Konektor poskytuje přehled o událostech zpráv a kliknutí v Microsoft Sentinel pro zobrazení řídicích panelů, vytváření vlastních upozornění a vylepšení možností monitorování a vyšetřování.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Ano | Ano |
ProofPointTAPMessagesBlockedV2_CL |
Ano | Ano |
ProofPointTAPClicksPermittedV2_CL |
Ano | Ano |
ProofPointTAPClicksBlockedV2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Klíč rozhraní API TAP proofpointu: Pro přístup k rozhraní SIEM API proofpointu se vyžaduje instanční objekt a tajný klíč rozhraní API Proofpoint TAP. Další informace najdete v tématu Proofpoint SIEM API.
Proofpoint TAP (prostřednictvím rozhraní konektorů bez kódu)
Podporováno:Microsoft Corporation
Konektor Proofpoint Targeted Attack Protection (TAP) umožňuje ingestovat protokoly a události TAP proofpointu do Microsoft Sentinel. Konektor poskytuje přehled o událostech zpráv a kliknutí v Microsoft Sentinel pro zobrazení řídicích panelů, vytváření vlastních upozornění a vylepšení možností monitorování a vyšetřování.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Ano | Ano |
ProofPointTAPMessagesBlockedV2_CL |
Ano | Ano |
ProofPointTAPClicksPermittedV2_CL |
Ano | Ano |
ProofPointTAPClicksBlockedV2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Klíč rozhraní API TAP proofpointu: Pro přístup k rozhraní SIEM API proofpointu se vyžaduje instanční objekt a tajný klíč rozhraní API Proofpoint TAP. Další informace najdete v tématu Proofpoint SIEM API.
QscoutAppEventsConnector (prostřednictvím architektury konektoru bez kódu)
Podporováno:Quokka
Ingestování událostí aplikace Qscout do Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
QscoutAppEvents_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- ID organizace Qscout: Rozhraní API vyžaduje ID vaší organizace v Qscoutu.
-
Klíč rozhraní API organizace Qscout: Rozhraní API vyžaduje klíč rozhraní API vaší organizace v Qscoutu.
Znalostní báze Qualys (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Ingestovat data ohrožení zabezpečení znalostní báze Qualys do Microsoft Sentinel pomocí rozhraní API Qualys verze 2.0.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
QualysKnowledgeBase |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přístup rozhraní Qualys API: Vyžaduje uživatelský účet Qualys s přístupem pro čtení ke koncovým bodům znalostní báze.
Qualys VM KnowledgeBase (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Konektor Znalostní báze Znalostní báze (KB) Qualys Vulnerability Management (VM) poskytuje možnost ingestovat nejnovější data ohrožení zabezpečení z znalostní báze Qualys KB do Microsoft Sentinel.
Tato data můžou sloužit ke korelaci a obohacení detekcí ohrožení zabezpečení nalezených datovým konektorem Qualys Vulnerability Management (VM).
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
QualysKB_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Qualys API Key: Vyžaduje se uživatelské jméno a heslo rozhraní API virtuálního počítače Qualys. Další informace najdete v tématu Rozhraní API virtuálních počítačů Qualys.
Qualys Vulnerability Management (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Qualys Vulnerability Management (VM) poskytuje možnost ingestovat data detekce ohrožení zabezpečení do Microsoft Sentinel prostřednictvím rozhraní Qualys API. Konektor poskytuje přehled o datech detekce hostitelů z kontrol snášenlivosti.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
QualysHostDetectionV3_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přístup k rozhraní API a role: Ujistěte se, že uživatel virtuálního počítače Qualys má roli Čtenář nebo vyšší. Pokud je role Čtenář, ujistěte se, že je pro účet povolený přístup k rozhraní API. Role auditora se pro přístup k rozhraní API nepodporuje. Další podrobnosti najdete v dokumentu Rozhraní API pro detekci hostitelů virtuálních počítačů Qualys a porovnání rolí uživatele .
Radiflow iSID přes AMA
Podporováno:Radiflow
iSID umožňuje nenarušující monitorování distribuovaných sítí ICS pro změny topologie a chování pomocí několika balíčků zabezpečení, z nichž každý nabízí jedinečnou schopnost týkající se konkrétního typu síťové aktivity.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
RadiflowEvent |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Rapid7 Insight Platform Vulnerability Management Reports (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Datový konektor Sestavy virtuálních počítačů Rapid7 Insight poskytuje možnost ingestovat sestavy kontroly a data o ohroženích zabezpečení do Microsoft Sentinel prostřednictvím rozhraní REST API z platformy Rapid7 Insight (spravované v cloudu). Další informace najdete v dokumentaci k rozhraní API . Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
NexposeInsightVMCloud_assets_CL |
Ne | Ne |
NexposeInsightVMCloud_vulnerabilities_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje rozhraní REST API: Pro rozhraní REST API se vyžaduje InsightVMAPIKey . Další informace najdete v tématu rozhraní API. Zkontrolujte všechny požadavky a postupujte podle pokynů k získání přihlašovacích údajů.
RSA ID Plus Správa Logs Connector
Podporováno:Tým podpory RSA
Konektor RSA ID Plus AdminLogs poskytuje možnost ingestovat události auditu konzoly Cloud Správa do Microsoft Sentinel pomocí rozhraní API cloudových Správa.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
RSAIDPlus_AdminLogs_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Ověřování rozhraní RSA ID Plus API: Pro přístup k rozhraním API Správa se vyžaduje platný token JWT s kódováním Base64URL podepsaný klíčem rozhraní API pro starší verzi klienta.
Datový konektor Rubrik Security Cloud (pomocí Azure Functions)
Podporováno:Rubrik
Datový konektor Rubrik Security Cloud umožňuje týmům operací zabezpečení integrovat přehledy ze služeb Rubrik Data Observability do Microsoft Sentinel. Tyto přehledy zahrnují identifikaci neobvyklého chování systému souborů spojeného s ransomwarem a hromadným odstraňováním, posouzení poloměru útoku ransomwaru a citlivé datové operátory, kteří upřednostňují a rychleji prošetřují potenciální incidenty.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Rubrik_Anomaly_Data_CL |
Ano | Ano |
Rubrik_Ransomware_Data_CL |
Ano | Ano |
Rubrik_ThreatHunt_Data_CL |
Ano | Ano |
Rubrik_Events_Data_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
Zabezpečení SaaS
Podporováno:Valence Security
Připojí platformu zabezpečení Valence SaaS Azure Log Analytics prostřednictvím rozhraní REST API.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ValenceAlert_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
SailPoint IdentityNow (pomocí Azure Functions)
Podporováno:SailPoint
Datový konektor SailPoint IdentityNow umožňuje ingestovat události hledání [SailPoint IdentityNow] do Microsoft Sentinel prostřednictvím rozhraní REST API. Konektor poskytuje zákazníkům možnost extrahovat informace o auditu z tenanta IdentityNow. Jejím cílem je ještě usnadnit přenesení událostí aktivit uživatelů a událostí zásad správného řízení IdentityNow do Microsoft Sentinel a zlepšit tak přehledy z vašeho řešení pro monitorování událostí a incidentů zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SailPointIDN_Events_CL |
Ano | Ano |
SailPointIDN_Triggers_CL |
Ne | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje k ověřování rozhraní API SailPoint IdentityNow: K ověřování se vyžadují TENANT_ID, CLIENT_ID a CLIENT_SECRET.
Salesforce Service Cloud (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Salesforce Service Cloud umožňuje ingestovat informace o provozních událostech Salesforce do Microsoft Sentinel prostřednictvím rozhraní REST API. Konektor poskytuje možnost zrychlené kontroly událostí ve vaší organizaci a získání souborů protokolu událostí v hodinových přírůstcích pro nedávné aktivity.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SalesforceServiceCloudV2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přístup ke cloudovému rozhraní API služby Salesforce: Vyžaduje se přístup ke cloudovému rozhraní API služby Salesforce prostřednictvím připojené aplikace.
Samsung Knox Asset Intelligence
Podporováno:Samsung Electronics Co., Ltd.
Datový konektor Samsung Knox Asset Intelligence umožňuje centralizovat události a protokoly mobilního zabezpečení, abyste mohli zobrazit přizpůsobené přehledy pomocí šablony Sešit a identifikovat incidenty na základě šablon analytických pravidel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Samsung_Knox_Audit_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Entra aplikace: Aplikace Entra musí být zaregistrovaná a zřízená s rolí Vydavatel metrik Microsoftu a musí být nakonfigurovaná s certifikátem nebo tajným kódem klienta jako přihlašovacími údaji pro zabezpečený přenos dat.
Další informace o vytváření, registraci a konfiguraci přihlašovacích údajů Entra aplikací najdete v kurzu k příjmu protokolů.
SAP BTP
Podporováno:Microsoft Corporation
SAP Business Technology Platform (SAP BTP) spojuje správu dat, analýzy, umělou inteligenci, vývoj aplikací, automatizaci a integraci v jednom sjednocené prostředí.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SAPBTPAuditLog_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
ID klienta a tajný klíč klienta pro rozhraní API pro načítání auditu: Povolte přístup k rozhraní API v BTP.
SAP Enterprise Threat Detection, cloudová edice
Podporuje:SAP
Datový konektor SAP Enterprise Threat Detection, cloud edition (ETD) umožňuje příjem výstrah zabezpečení z ETD do Microsoft Sentinel a podporuje křížovou korelaci, výstrahy a proaktivní vyhledávání hrozeb.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SAPETDAlerts_CL |
Ano | Ano |
SAPETDInvestigations_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
ID klienta a tajný klíč klienta pro rozhraní API pro načítání ETD: Povolte přístup rozhraní API v ETD.
SAP LogServ (RISE), privátní edice S/4HANA Cloud
Podporuje:SAP
SAP LogServ je služba SAP Enterprise Cloud Services (ECS) zaměřená na shromažďování, ukládání, předávání a přístup k protokolům. LogServ centralizuje protokoly ze všech systémů, aplikací a služeb ECS používaných registrovaným zákazníkem.
Mezi hlavní funkce patří:
Shromažďování protokolů téměř v reálném čase: Se schopností integrace do Microsoft Sentinel jako řešení SIEM.
LogServ doplňuje stávající monitorování a detekce hrozeb aplikační vrstvy SAP v Microsoft Sentinel o typy protokolů vlastněné SAP ECS jako poskytovatelem systému. To zahrnuje protokoly, jako jsou protokoly auditu zabezpečení SAP (AS ABAP), databáze HANA, AS JAVA, ICM, SAP Web Dispatcher, cloudový konektor SAP, operační systém, brána SAP, databáze třetí strany, síť, DNS, proxy server, brána firewall.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SAPLogServ_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje Entra ID role Vývojář aplikace nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele metrik monitorování v pravidlech shromažďování dat. Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
Veřejná edice SAP S/4HANA Cloud
Podporuje:SAP
Datový konektor SAP S/4HANA Cloud Public Edition (GROW with SAP) umožňuje příjem protokolů auditu zabezpečení SAP do řešení Microsoft Sentinel pro SAP a podporuje křížovou korelaci, upozorňování a proaktivní vyhledávání hrozeb. Hledáte alternativní mechanismy ověřování? Další informace najdete tady.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ABAPAuditLog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
ID klienta a tajný klíč klienta pro rozhraní API pro načítání auditu: Povolte přístup k rozhraní API v BTP.
Řešení SecurityBridge pro SAP
Podporováno:SecurityBridge
SecurityBridge vylepšuje zabezpečení SAP bezproblémovou integrací s Microsoft Sentinel, což umožňuje monitorování a detekci hrozeb v reálném čase napříč prostředími SAP. Tato integrace umožňuje centrům zabezpečení (SOC) konsolidovat události zabezpečení SAP s dalšími organizačními daty a poskytnout tak jednotný pohled na prostředí hrozeb. S využitím analýz založených na umělé inteligenci a Security Copilot Microsoftu identifikuje SecurityBridge sofistikované vzory útoků a ohrožení zabezpečení v aplikacích SAP, včetně kontroly kódu ABAP a posouzení konfigurace. Řešení podporuje škálovatelná nasazení napříč komplexními prostředími SAP, ať už místně, v cloudu nebo v hybridních prostředích. Díky přemostění mezer mezi týmy zabezpečení IT a SAP umožňuje SecurityBridge organizacím proaktivně zjišťovat hrozby, prošetřovat je a reagovat na ně, což zlepšuje celkový stav zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ABAPAuditLog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje Entra ID role Vývojář aplikace nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele metrik monitorování v pravidlech shromažďování dat. Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
Protokoly semperis Lightning
Podporuje:Semperis
Konektor Semperis Lightning používá Azure Functions k ingestování dat zabezpečení identity Semperis Lightning do Microsoft Sentinel. Konektor nasadí funkci Azure a shromažďuje data do vlastních tabulek Log Analytics pro účely vyšetřování a proaktivního vyhledávání hrozeb.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
LightningTier0Nodes_CL |
Ne | Ne |
LightningAttackPaths_CL |
Ne | Ne |
LightningIOEResults_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje k rozhraní Semperis Lightning API: Klíč rozhraní API Semperis Lightning a vybraná zóna (na nebo eu) se vyžadují k ověření konektoru pro Semperis Lightning.
SentinelOne
Podporováno:Microsoft Corporation
Datový konektor SentinelOne umožňuje ingestovat protokoly z rozhraní API SentinelOne do Microsoft Sentinel. Datový konektor je založený na Microsoft Sentinel rozhraní konektorů bez kódu. K načtení protokolů používá rozhraní API SentinelOne a podporuje transformace doby příjmu dat založené na DCR, které parsují přijatá data zabezpečení do vlastní tabulky, aby je dotazy nemusely znovu parsovat, což vede k lepšímu výkonu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SentinelOneActivities_CL |
Ano | Ano |
SentinelOneAgents_CL |
Ano | Ano |
SentinelOneGroups_CL |
Ano | Ano |
SentinelOneThreats_CL |
Ano | Ano |
SentinelOneAlerts_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
SentinelOne (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Datový konektor SentinelOne umožňuje ingestovat běžné objekty serveru SentinelOne, jako jsou hrozby, agenti, aplikace, aktivity, zásady, skupiny a další události, do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview k rozhraní API. Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SentinelOne_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Vyžaduje se SentinelOneAPIToken . Další informace o rozhraní API najdete v dokumentaci na webu
https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.
Seraphic Web Security
Podporováno:Seraphic Security
Datový konektor Seraphic Web Security umožňuje ingestovat události a výstrahy Seraphic Web Security do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SeraphicWebSecurity_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Klíč serafického rozhraní API: Klíč rozhraní API pro Microsoft Sentinel připojený k tenantovi Seraphic Web Security. Pokud chcete získat tento klíč rozhraní API pro svého tenanta, přečtěte si tuto dokumentaci.
Silverfort Správa Konzola
Podporováno:Silverfort
Řešení konektoru Správa Konzola Silverfort umožňuje příjem událostí Silverfort a přihlášení k Microsoft Sentinel. Silverfort poskytuje události založené na syslogu a protokolování pomocí formátu CEF (Common Event Format). Předáním dat CEF konzoly Silverfort ITDR Správa Console do Microsoft Sentinel můžete využít výhod hledání služby Sentinel & korelace, upozorňování a rozšiřování analýzy hrozeb u dat Silverfortu. Další informace získáte v dokumentaci k Silverfortu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
SlackAudit (prostřednictvím architektury konektoru bez kódu)
Podporováno:Microsoft Corporation
Datový konektor SlackAudit umožňuje ingestovat protokoly auditu Slacku do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SlackAuditV2_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
UserName, SlackAudit API Key & Typ akce: Pokud chcete vygenerovat přístupový token, vytvořte ve Slacku novou aplikaci, přidejte potřebné obory a nakonfigurujte adresu URL pro přesměrování. Podrobné pokyny ke generování přístupového tokenu, uživatelského jména a limitu názvu akce najdete na tomto odkazu.
Snowflake (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Snowflake umožňuje ingestovat protokoly historie přihlášení snowflake, protokoly historie dotazů, protokoly udělení oprávnění uživatele, protokoly udělení role, protokoly historie načítání, materializované protokoly historie aktualizací zobrazení, protokoly rolí, protokoly tabulek, protokoly metrik úložiště tabulek a přihlašování uživatelů do Microsoft Sentinel pomocí rozhraní SQL API Snowflake. Další informace najdete v dokumentaci k rozhraní SNOWflake SQL API .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SnowflakeLogin_CL |
Ano | Ano |
SnowflakeQuery_CL |
Ano | Ano |
SnowflakeUserGrant_CL |
Ano | Ano |
SnowflakeRoleGrant_CL |
Ano | Ano |
SnowflakeLoad_CL |
Ano | Ano |
SnowflakeMaterializedView_CL |
Ano | Ano |
SnowflakeRoles_CL |
Ano | Ano |
SnowflakeTables_CL |
Ano | Ano |
SnowflakeTableStorageMetrics_CL |
Ano | Ano |
SnowflakeUsers_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Datový konektor protokolů auditu hlavní platformy SOC
Podporováno:SOC Prime
Datový konektor protokolů auditu SOC Prime umožňuje ingestovat protokoly z rozhraní SOC Prime Platform API do Microsoft Sentinel. Datový konektor je založený na Microsoft Sentinel rozhraní konektorů bez kódu. Používá rozhraní SOC Prime Platform API k načtení protokolů auditu platformy SOC Prime a podporuje transformace doby příjmu dat založené na DCR, které parsují přijatá data zabezpečení do vlastní tabulky, což vede k lepšímu výkonu.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SOCPrimeAuditLogs_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Datový konektor Sonrai
Podporováno:N/A
Tento datový konektor použijte k integraci se službou Sonrai Security a získání lístků Sonrai posílaných přímo Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Sonrai_Tickets_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Sophos Endpoint Protection (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Datový konektor Sophos Endpoint Protection poskytuje možnost ingestovat události Sophos do Microsoft Sentinel. Další informace najdete v dokumentaci k Sophos Central Správa.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SophosEP_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Vyžaduje se token rozhraní API . Další informace najdete v tématu Token rozhraní API.
Sophos Endpoint Protection (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Sophos Endpoint Protection umožňuje ingestovat události Sophosu a výstrahy Sophosu do Microsoft Sentinel. Další informace najdete v dokumentaci k Sophos Central Správa.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SophosEPEvents_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přístup k rozhraní API služby Sophos Endpoint Protection: Vyžaduje se přístup k rozhraní API služby Sophos Endpoint Protection prostřednictvím instančního objektu.
Symantec Integrated Cyber Defense Exchange
Podporováno:Microsoft Corporation
Konektor Symantec ICDx umožňuje snadno propojit protokoly řešení zabezpečení Symantec s Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní výstrahy a zlepšovat šetření. Získáte tak lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SymantecICDx_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Synqly Integration Connector
Podporováno:Synqly
Konektor Synqly umožňuje odesílat události zabezpečení z integrací Synqly do Microsoft Sentinel pomocí rozhraní API pro příjem protokolů Azure. Události se automaticky normalizují do tabulek ASIM (Advanced Security Information Model) pro použití s analýzami Microsoft Sentinel, sešity a dotazy proaktivního vyhledávání.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft Entra ID: Role Vývojáře aplikací (nebo vyšší) pro vytváření registrací aplikací.
-
Microsoft Azure: Role vlastníka nebo správce uživatelských přístupů ve skupině prostředků pro nasazení DCR a přiřazení role vydavatele monitorování metrik.
Syslog přes AMA
Podporováno:Microsoft Corporation
Syslog je protokol protokolování událostí, který je společný pro Linux. Aplikace budou odesílat zprávy, které mohou být uloženy na místním počítači nebo doručeny do kolektoru Syslog. Když je agent pro Linux nainstalovaný, nakonfiguruje místní démon Syslog tak, aby předával zprávy agentovi. Agent pak odešle zprávu do pracovního prostoru.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Syslog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Ohrožené přihlašovací údaje TacitRed
Podporuje:Data443 Risk Mitigation, Inc.
Ingestování zjištění ohrožených přihlašovacích údajů z TacitRed pomocí common Connector Framework (CCF).
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
TacitRed_Findings_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Klíč rozhraní API TacitRed: Klíč rozhraní API uložený v Azure Key Vault nebo poskytnutý v době nasazení.
Talon Insights
Podporováno:Talon Security
Konektor Talon Security Logs umožňuje snadno propojit události Talon a protokoly auditu s Microsoft Sentinel, zobrazit řídicí panely, vytvářet vlastní upozornění a zlepšovat šetření.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Talon_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Team Cymru Scout Data Connector (pomocí Azure Functions)
Podporováno:Team Cymru
Datový konektor TeamCymruScout umožňuje uživatelům přenést ip adresu týmu Cymru Scout, data o využití domény a účtu do Microsoft Sentinel za účelem rozšíření.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Cymru_Scout_Domain_Data_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Foundation_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Details_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Communications_CL |
Ne | Ne |
Cymru_Scout_IP_Data_PDNS_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Fingerprints_CL |
Ne | Ne |
Cymru_Scout_IP_Data_OpenPorts_CL |
Ne | Ne |
Cymru_Scout_IP_Data_x509_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Summary_Details_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Summary_PDNS_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Summary_OpenPorts_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Summary_Certs_CL |
Ne | Ne |
Cymru_Scout_IP_Data_Summary_Fingerprints_CL |
Ne | Ne |
Cymru_Scout_Account_Usage_Data_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- Oprávnění k přiřazení role registrované aplikaci: Vyžaduje se oprávnění k přiřazení role registrované aplikaci v Microsoft Entra ID.
-
Team Cymru Scout Přihlašovací údaje/oprávnění: Přihlašovací údaje účtu Team Cymru Scout (uživatelské jméno, heslo) jsou povinné.
Vystavení identitě s možnou identitou
Podporováno:Tenable
Konektor Ohrožení s datovou identitou umožňuje ingestovat do Microsoft Sentinel protokoly Indikátory expozice, Indikátory útoku a protokoly trailflow. Různé pracovní knihy a analyzátory dat umožňují snadnější manipulaci s protokoly a monitorování prostředí služby Active Directory. Analytické šablony umožňují automatizovat odpovědi týkající se různých událostí, expozic a útoků.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Přístup ke konfiguraci TenableIE: Oprávnění ke konfiguraci modulu upozornění syslogu
Správa ohrožení zabezpečení (s využitím Azure Functions)
Podporováno:Tenable
Datový konektor TVM umožňuje ingestovat data prostředků, ohrožení zabezpečení, dodržování předpisů, prostředků WAS a was ohrožení zabezpečení do Microsoft Sentinel pomocí rozhraní REST API TVM. Další informace najdete v dokumentaci k rozhraní API . Konektor poskytuje možnost získat data, která pomáhají zkoumat potenciální bezpečnostní rizika, získat přehled o výpočetních prostředcích, diagnostikovat problémy s konfigurací atd.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Tenable_VM_Asset_CL |
Ano | Ano |
Tenable_VM_Vuln_CL |
Ano | Ano |
Tenable_VM_Compliance_CL |
Ano | Ano |
Tenable_WAS_Asset_CL |
Ano | Ano |
Tenable_WAS_Vuln_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Pro přístup k rozhraní REST API pro tenable je vyžadován klíč TenableAccessKey i TenableSecretKey . Další informace najdete v tématu rozhraní API. Zkontrolujte všechny požadavky a postupujte podle pokynů k získání přihlašovacích údajů.
Microsoft Defender pro cloud založený na tenantovi
Podporováno:Microsoft Corporation
Microsoft Defender for Cloud je nástroj pro správu zabezpečení, který umožňuje detekovat hrozby a rychle na ně reagovat napříč Azure, hybridními a multicloudovými úlohami. Tento konektor umožňuje streamovat výstrahy zabezpečení MDC z Microsoftu 365 Defenderu do Microsoft Sentinel, abyste mohli využívat výhody korelací XDR propojujících tečky mezi vašimi cloudovými prostředky, zařízeními a identitami a zobrazovat data v sešitech, dotazech a prošetřovat incidenty a reagovat na ně. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
TheHive (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor TheHive poskytuje možnost ingestovat data platformy reakce na incidenty zabezpečení TheHive do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API . Konektor umožňuje získávat případy, úkoly a výstrahy z TheHive a vizualizovat je v Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
TheHiveData |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Přístup k rozhraní API TheHive: Pro rozhraní API TheHive se vyžaduje přístup k rozhraní API TheHive verze 4 a vyšší .
Teom
Podporováno:Theom
Datový konektor Theom umožňuje organizacím připojit prostředí Theom k Microsoft Sentinel. Toto řešení umožňuje uživatelům přijímat výstrahy týkající se rizik zabezpečení dat, vytvářet a rozšiřovat incidenty, kontrolovat statistiky a aktivovat playbooky SOAR v Microsoft Sentinel
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
TheomAlerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Analýza hrozeb – TAXII
Podporováno:Microsoft Corporation
Microsoft Sentinel se integruje se zdroji dat TAXII 2.0 a 2.1 a umožňuje monitorování, upozorňování a proaktivní vyhledávání pomocí analýzy hrozeb. Tento konektor použijte k odeslání podporovaných typů objektů STIX ze serverů TAXII do Microsoft Sentinel. Indikátory hrozeb můžou zahrnovat IP adresy, domény, adresy URL a hodnoty hash souborů. Další informace najdete v dokumentaci >k Microsoft Sentinel .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Platformy analýzy hrozeb
Podporováno:Microsoft Corporation
Microsoft Sentinel se integruje se zdroji dat Microsoft Graph Rozhraní API pro zabezpečení a umožňuje monitorování, upozorňování a proaktivní vyhledávání pomocí analýzy hrozeb. Tento konektor slouží k odesílání indikátorů hrozeb do Microsoft Sentinel z vaší platformy pro analýzu hrozeb (TIP), jako jsou Threat Connect, Palo Alto Networks MindMeld, MISP nebo jiné integrované aplikace. Indikátory hrozeb můžou zahrnovat IP adresy, domény, adresy URL a hodnoty hash souborů. Další informace najdete v dokumentaci >k Microsoft Sentinel .
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Rozhraní API pro nahrávání analýzy hrozeb (Preview)
Podporováno:Microsoft Corporation
Microsoft Sentinel nabízí rozhraní API roviny dat, které umožňuje využít analýzu hrozeb z vaší platformy pro analýzu hrozeb (TIP), jako je Threat Connect, Palo Alto Networks MineMeld, MISP nebo jiné integrované aplikace. Indikátory hrozeb můžou zahrnovat IP adresy, domény, adresy URL, hodnoty hash souborů a e-mailové adresy. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Přenos konektoru zabezpečení (pomocí Azure Functions)
Podporováno:Přenos zabezpečení
Datový konektor [Zabezpečení přenosu] umožňuje ingestovat běžné události přenosu Rozhraní API pro zabezpečení do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API. Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
TransmitSecurityActivity_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
ID klienta rozhraní REST API: Vyžaduje se TransmitSecurityClientID . Další informace o rozhraní API najdete v dokumentaci na webu
https://developer.transmitsecurity.com/. -
Tajný klíč klienta rozhraní REST API: Vyžaduje se protokol TransmitSecurityClientSecret . Další informace o rozhraní API najdete v dokumentaci na webu
https://developer.transmitsecurity.com/.
Trellix Endpoint Security (prostřednictvím architektury konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Trellix Endpoint Security umožňuje ingestovat události zabezpečení z trellix ePO (ePolicy Orchestrator) do Microsoft Sentinel. Tento konektor používá ověřování přihlašovacích údajů klienta OAuth2 a automaticky zpracovává stránkování ke shromažďování komplexních dat zabezpečení koncových bodů, včetně detekcí hrozeb, informací o analyzátoru, podrobností o zdrojovém a cílovém systému a akcí reakce na hrozby.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
TrellixEvents |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Trend Vision One (pomocí Azure Functions)
Podporováno:Trend Micro
Konektor Trend Vision One umožňuje snadno propojit data výstrah aplikace Workbench s Microsoft Sentinel a zobrazit řídicí panely, vytvářet vlastní výstrahy a vylepšovat možnosti monitorování a vyšetřování. Získáte tak lepší přehled o sítích a systémech vaší organizace a zlepšíte možnosti operací zabezpečení.
Konektor Trend Vision One se podporuje v Microsoft Sentinel v následujících oblastech: Austrálie – východ, Austrálie – jihovýchod, Brazílie – jih, Kanada – střed, Kanada – východ, Indie – střed, USA – střed, Východní Asie, USA – východ, USA – východ 2, Francie – východ, Japonsko – východ, Korea – střed, USA – středosever, Severní Evropa, Norsko – východ, Jižní Afrika – sever, USA – středojiž, Jihovýchodní Asie, Švédsko – střed, Švýcarsko – sever, Spojené arabské emiráty – sever, Velká Británie – jih, Velká Británie – západ, Západní Evropa, USA – západ, USA – západ 2, USA – západ 3.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
TrendMicro_XDR_WORKBENCH_CL |
Ne | Ne |
TrendMicro_XDR_RCA_Task_CL |
Ne | Ne |
TrendMicro_XDR_RCA_Result_CL |
Ne | Ne |
TrendMicro_XDR_OAT_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
token rozhraní API Trend Vision One: Vyžaduje se token rozhraní API Trend Vision One. Další informace o rozhraní API Trend Vision One najdete v dokumentaci.
Zabezpečení Tropico – Výstrahy
Podporováno:ZABEZPEČENÍ TROPICO
Ingestování výstrah zabezpečení z platformy Tropico Security Platform ve formátu HLEDÁNÍ zabezpečení OCSF
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
{{graphQueriesTableName}} |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Zabezpečení Tropico - Události
Podporováno:ZABEZPEČENÍ TROPICO
Ingestování událostí zabezpečení z platformy Tropico Security Platform ve formátu OCSF Security Finding.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
{{graphQueriesTableName}} |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Zabezpečení Tropico – Incidenty
Podporováno:ZABEZPEČENÍ TROPICO
Ingestování incidentů relace útočníka z platformy Tropico Security Platform
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
{{graphQueriesTableName}} |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Varonis Purview Push Connector
Podporováno:Varonis
Konektor Varonis Purview poskytuje možnost synchronizace prostředků z Varonis do Microsoft Purview.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
VaronisResources_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje Entra ID role Vývojář aplikace nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele monitorování metrik k pravidlu shromažďování dat (DCR). Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
Varonis SaaS
Podporováno:Varonis
Varonis SaaS poskytuje možnost ingestovat výstrahy Varonis do Microsoft Sentinel.
Varonis upřednostňuje hloubkovou viditelnost dat, možnosti klasifikace a automatickou nápravu přístupu k datům. Varonis vytváří přehled o riziku vašich dat s jednou prioritou, takže můžete proaktivně a systematicky eliminovat rizika z vnitřních hrozeb a kybernetických útoků.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
VaronisAlerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
Vectra XDR (pomocí Azure Functions)
Podporováno:Podpora Vectra
Konektor Vectra XDR umožňuje ingestovat detekce, audity, vyhodnocování entit, uzamčení, stav a entity dat do Microsoft Sentinel prostřednictvím rozhraní VEctra REST API. Další informace najdete v dokumentaci https://support.vectra.ai/s/article/KB-VS-1666 k rozhraní API.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Detections_Data_CL |
Ano | Ano |
Audits_Data_CL |
Ano | Ano |
Entity_Scoring_Data_CL |
Ano | Ano |
Lockdown_Data_CL |
Ano | Ano |
Health_Data_CL |
Ano | Ano |
Entities_Data_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Pro shromažďování dat o stavu, vyhodnocování entit, entitách, detekcích, uzamčení a auditování se vyžaduje ID klienta a tajný klíč klientaVectra. Další informace o rozhraní API najdete v dokumentaci na webu
https://support.vectra.ai/s/article/KB-VS-1666.
Veeam Data Connector (pomocí Azure Functions)
Podporováno:Veeam Software
Veeam Data Connector umožňuje ingestovat telemetrická data Veeam z několika vlastních tabulek do Microsoft Sentinel.
Konektor podporuje integraci s platformami Veeam Backup & Replication, Veeam ONE a Coveware a poskytuje komplexní monitorování a analýzu zabezpečení. Data se shromažďují prostřednictvím Azure Functions a ukládají se do vlastních tabulek Log Analytics s vyhrazenými pravidly shromažďování dat (DCR) a koncovými body shromažďování dat (DCE).
Zahrnuté vlastní tabulky:
- VeeamMalwareEvents_CL: Události detekce malwaru z nástroje Veeam Backup & Replication
- VeeamSecurityComplianceAnalyzer_CL: Výsledky analyzátoru zabezpečení & dodržování předpisů shromážděné ze součástí infrastruktury zálohování Veeam
- VeeamAuthorizationEvents_CL: Události autorizace a ověřování
- VeeamOneTriggeredAlarms_CL: Aktivované poplachy ze serverů Veeam ONE
- VeeamCovewareFindings_CL: Zjištění zabezpečení z řešení Coveware
- VeeamSessions_CL: Relace společnosti Veeam
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
VeeamMalwareEvents_CL |
Ano | Ano |
VeeamSecurityComplianceAnalyzer_CL |
Ano | Ano |
VeeamOneTriggeredAlarms_CL |
Ano | Ano |
VeeamAuthorizationEvents_CL |
Ano | Ano |
VeeamCovewareFindings_CL |
Ano | Ano |
VeeamSessions_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přístup k infrastruktuře Veeam: Vyžaduje se přístup k rozhraní REST API služby Veeam Backup & Replication a monitorovací platformě Veeam ONE. To zahrnuje správné přihlašovací údaje pro ověřování a připojení k síti.
VersasecCms
Podporováno:Podpora Versasec
Datový konektor VersasecCms umožňuje ingestovat protokoly do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
VersasecCmsSysLogs_CL |
Ne | Ne |
VersasecCmsErrorLogs_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
VirtualMetric DataStream pro Microsoft Sentinel
Podporováno:VirtualMetric
Konektor VirtualMetric DataStream nasazuje pravidla shromažďování dat, která ingestují telemetrická data zabezpečení do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Registrace aplikace nebo spravovaná identita Azure: VirtualMetric DataStream vyžaduje identitu id Entra k ověření a odesílání protokolů do Microsoft Sentinel. Můžete si vybrat, jestli vytvoříte registraci aplikace pomocí ID klienta a tajného klíče klienta, nebo použijete spravovanou identitu Azure pro zajištění lepšího zabezpečení bez správy přihlašovacích údajů.
-
Přiřazení role skupiny prostředků: Vybraná identita (registrace aplikace nebo spravovaná identita) musí být přiřazená ke skupině prostředků obsahující koncový bod shromažďování dat s následujícími rolemi: Vydavatel metrik monitorování (pro příjem protokolů) a Čtenář monitorování (pro konfiguraci streamu čtení).
VirtualMetric DataStream pro Microsoft Sentinel Data Lake
Podporováno:VirtualMetric
Konektor VirtualMetric DataStream nasadí pravidla shromažďování dat, která ingestují telemetrická data zabezpečení do Microsoft Sentinel Data Lake.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Registrace aplikace nebo Azure spravovaná identita: VirtualMetric DataStream vyžaduje identitu id Entra k ověření a odesílání protokolů do Microsoft Sentinel Data Lake. Můžete si vybrat, jestli vytvoříte registraci aplikace pomocí ID klienta a tajného klíče klienta, nebo použijete spravovanou identitu Azure pro zajištění lepšího zabezpečení bez správy přihlašovacích údajů.
-
Přiřazení role skupiny prostředků: Vybraná identita (registrace aplikace nebo spravovaná identita) musí být přiřazená ke skupině prostředků obsahující koncový bod shromažďování dat s následujícími rolemi: Vydavatel metrik monitorování (pro příjem protokolů) a Čtenář monitorování (pro konfiguraci streamu čtení).
Proxy adresáře virtualmetric
Podporováno:VirtualMetric
Proxy server nástroje VirtualMetric Director nasadí aplikaci funkcí Azure, aby bezpečně přemísťuje VirtualMetric DataStream s Azure službami, včetně služeb Microsoft Sentinel, Azure Data Explorer a Azure Storage.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure aplikace funkcí: Aplikace funkcí Azure musí být nasazená k hostování proxy adresáře. K vytvoření a správě aplikace funkcí vyžaduje oprávnění ke čtení, zápisu a odstraňování u prostředků Microsoft.Web/sites ve vaší skupině prostředků.
- Konfigurace virtualmetrického datového streamu: Pro připojení k proxy adresáře potřebujete, aby služba VirtualMetric DataStream byla nakonfigurovaná s přihlašovacími údaji pro ověřování. Proxy aplikace Director funguje jako zabezpečený most mezi službou VirtualMetric DataStream a službami Azure.
-
Cílové služby Azure: Nakonfigurujte cílové Azure služby, jako jsou koncové body Microsoft Sentinel shromažďování dat, clustery Azure Data Explorer nebo účty Azure Storage, do kterých bude proxy adresářů předávat data.
VMRayThreatIntelligence (pomocí Azure Functions)
Podporováno:VMRay
Konektor VMRayThreatIntelligence automaticky generuje analýzu hrozeb pro všechna odeslání do VMRay a zlepšuje tak detekci hrozeb a reakci na incidenty v Sentinel. Tato bezproblémová integrace umožňuje týmům aktivně řešit vznikající hrozby.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ThreatIntelligenceIndicator |
Ano | Ne |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure Předplatné: Azure Předplatné s rolí vlastníka se vyžaduje k registraci aplikace v Azure Active Directory() a přiřazení role přispěvatele k aplikaci ve skupině prostředků.
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Vyžaduje se klíč rozhraní API VMRay .
VMware Carbon Black Cloud (pomocí Azure Functions)
Podporováno:Microsoft
Konektor VMware Carbon Black Cloud poskytuje možnost ingestovat data o uhlíkové saze do Microsoft Sentinel. Konektor poskytuje přehled o protokolech auditu, oznámení a událostí v Microsoft Sentinel, kde můžete zobrazit řídicí panely, vytvářet vlastní upozornění a vylepšovat možnosti monitorování a prověřování.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CarbonBlackEvents_CL |
Ne | Ne |
CarbonBlackNotifications_CL |
Ne | Ne |
CarbonBlackAuditLogs_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- Klíče rozhraní API VMware Carbon Black: Vyžaduje se rozhraní API carbon black a/nebo klíče rozhraní API úrovně SIEM. Další informace o rozhraní API carbon black najdete v dokumentaci.
- Pro protokoly auditu a událostí se vyžaduje ID a klíč rozhraní API na úrovni přístupu rozhraní API s uhlíkovou černošstvím.
- Pro upozornění oznámení se vyžaduje ID a klíč rozhraní API úrovně přístupu SIEM na úrovni uhlíkové černě.
-
Přihlašovací údaje a oprávnění rozhraní Amazon S3 REST API: Pro rozhraní AWS S3 REST API se vyžaduje ID přístupového klíče AWS, tajný přístupový klíč AWS, název kbelíku AWS S3 a název složky v kbelíku AWS S3 .
VMware Carbon Black Cloud přes AWS S3 (přes architekturu konektorů bez kódu)
Podporováno:Microsoft
VMware Carbon Black Cloud prostřednictvím datového konektoru AWS S3 poskytuje možnost ingestovat sledovací seznam, upozornění, ověřování a události koncových bodů prostřednictvím AWS S3 a streamovat je do normalizovaných tabulek ASIM. Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CarbonBlack_Alerts_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Prostředí: Musíte mít definované a nakonfigurované následující prostředky AWS: S3, SQS (Simple Queue Service), role AAM a zásady oprávnění
-
Prostředí: K vytvoření dat předávaných do kontejnerů AWS S3 musíte mít účet uhlíkové saze a požadovaná oprávnění.
Další informace najdete v dokumentaci k nástroji pro předávání dat s uhlíkovou s černými sytě.
Události Windows DNS prostřednictvím AMA
Podporováno:Microsoft Corporation
Konektor protokolu DNS systému Windows umožňuje snadno filtrovat a streamovat všechny analytické protokoly ze serverů DNS s Windows do pracovního prostoru Microsoft Sentinel pomocí agenta Azure Monitoring (AMA). Když máte tato data v Microsoft Sentinel, pomůže vám to identifikovat problémy a bezpečnostní hrozby, jako jsou:
- Snažím se přeložit škodlivé názvy domén.
- Zastaralé záznamy prostředků.
- Často dotazované názvy domén a mluvení klienti DNS
- Útoky prováděné na server DNS
Z Microsoft Sentinel můžete získat následující přehledy o serverech DNS s Windows:
- Všechny protokoly jsou centralizované na jednom místě.
- Požadavky na zatížení serverů DNS
- Selhání dynamické registrace DNS
Události Windows DNS jsou podporovány rozšířeným modelem SIEM Information Model (ASIM) a streamují data do tabulky ASimDnsActivityLogs. Další informace
Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ASimDnsActivityLogs |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Windows Firewall
Podporováno:Microsoft Corporation
Brána Windows Firewall je aplikace systému Microsoft Windows, která filtruje informace přicházející do vašeho systému z internetu a blokující potenciálně škodlivé programy. Software blokuje komunikaci většiny programů přes bránu firewall. Uživatelé jednoduše přidají program do seznamu povolených programů, aby mohl komunikovat přes bránu firewall. Při použití veřejné sítě může brána Windows Firewall také zabezpečit systém blokováním všech nevyžádaných pokusů o připojení k počítači. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Události brány Windows Firewall prostřednictvím AMA
Podporováno:Microsoft Corporation
Brána Windows Firewall je aplikace systému Microsoft Windows, která filtruje informace přicházející do vašeho systému z internetu a blokující potenciálně škodlivé programy. Software brány firewall blokuje komunikaci většiny programů přes bránu firewall. Pokud chcete streamovat protokoly aplikace brány Windows Firewall shromážděné z vašich počítačů, použijte agenta Azure Monitor (AMA) ke streamování těchto protokolů do pracovního prostoru Microsoft Sentinel.
Nakonfigurovaný koncový bod shromažďování dat (DCE) musí být propojený s pravidlem shromažďování dat (DCR) vytvořeným pro AMA ke shromažďování protokolů. Pro tento konektor se automaticky vytvoří DCE ve stejné oblasti jako pracovní prostor. Pokud už používáte DCE uložené ve stejné oblasti, je možné změnit výchozí vytvořený DCE a použít existující DCE prostřednictvím rozhraní API. Řadiče domény se můžou nacházet ve vašich prostředcích s předponou SentinelDCE v názvu prostředku.
Další informace najdete v následujících článcích:
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Windows Forwarded Events
Podporováno:Microsoft Corporation
Ze serverů Windows připojených k pracovnímu prostoru Microsoft Sentinel pomocí agenta Azure Monitor (AMA) můžete streamovat všechny protokoly předávání událostí windows (WEF). Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní upozornění a zlepšovat šetření. Získáte tak lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
WindowsEvent |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Zabezpečení Windows události přes AMA
Podporováno:Microsoft Corporation
Pomocí agenta pro Windows můžete streamovat všechny události zabezpečení z počítačů s Windows připojených k pracovnímu prostoru Microsoft Sentinel. Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní upozornění a zlepšovat šetření. Získáte tak lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityEvent |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
WithSecure Elements API (Azure Function)
Podporováno:WithSecure
WithSecure Elements je sjednocená cloudová platforma kybernetického zabezpečení navržená tak, aby snižovala rizika, složitost a neefektivnost.
Zvyšte úroveň zabezpečení od koncových bodů až po cloudové aplikace. Bojujte se proti všem typům kybernetických hrozeb, od cílených útoků až po ransomware nultého dne.
WithSecure Elements kombinuje výkonné funkce prediktivního, preventivního a responzivního zabezpečení – všechny spravované a monitorované prostřednictvím jednoho centra zabezpečení. Naše modulární struktura a flexibilní cenové modely vám dávají svobodu při vývoji. Díky našim odborným znalostem a přehledu budete mít vždy sílu – a nikdy nebudete sami.
Díky integraci Microsoft Sentinel můžete data událostí zabezpečení z řešení WithSecure Elements korelovat s daty z jiných zdrojů a získat tak bohatý přehled o celém prostředí a rychlejší reakci na hrozby.
S tímto řešením se funkce Azure nasadí do vašeho tenanta a pravidelně se dotazuje na události zabezpečení WithSecure Elements.
Další informace najdete na našich webových stránkách na adrese: https://www.withsecure.com.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
WsSecurityEvents_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
S přihlašovacími údaji klienta rozhraní API pro nezabezpečené elementy: Přihlašovací údaje klienta jsou povinné.
Další informace najdete v dokumentaci.
Wiz (pomocí Azure Functions)
Podporováno:Wiz
Konektor Wiz umožňuje snadno odesílat problémy s Wiz, zjištění ohrožení zabezpečení a protokoly auditu do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) |
Ne | Ne |
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) |
Ne | Ne |
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje účtu služby Wiz: Ujistěte se, že máte ID klienta a tajný klíč klienta účtu služby Wiz, adresu URL koncového bodu rozhraní API a adresu URL ověřování. Pokyny najdete v dokumentaci k Wiz.
Aktivita uživatele Workday
Podporováno:Microsoft Corporation
Datový konektor aktivity uživatelů Workday umožňuje ingestovat protokoly aktivit uživatelů z rozhraní Workday API do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ASimAuditEventLogs |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Přístup k rozhraní API aktivity uživatelů Workday: Vyžaduje se přístup k rozhraní WORKDAY API pro aktivity uživatelů prostřednictvím Oauth. Klient rozhraní API musí mít obor Systém a musí být autorizovaný účtem s oprávněními k auditování systému.
Pracoviště z Facebook (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Konektor Workplace Data Connector umožňuje ingestovat běžné události workplace do Microsoft Sentinel prostřednictvím webhooků. Webhooky umožňují aplikacím pro vlastní integraci přihlásit se k odběru událostí na pracovišti a přijímat aktualizace v reálném čase. Když na pracovišti dojde ke změně, odešle se požadavek HTTPS POST s informacemi o událostech na adresu URL datového konektoru zpětného volání. Další informace najdete v dokumentaci k webhookům . Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Workplace_Facebook_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění webhooků: WorkplaceAppSecret, WorkplaceVerifyToken a adresa URL zpětného volání jsou vyžadovány pro funkční webhooky. Další informace o konfiguraci webhooků a konfiguraci oprávnění najdete v dokumentaci.
XBOW Security Platform (prostřednictvím funkce Azure)
Podporováno:XBOW
Datový konektor XBOW ingestuje snímky prostředků, zjištění ohrožení zabezpečení a aktivity posouzení z platformy zabezpečení XBOW do Microsoft Sentinel. Funkce Azure dotazuje rozhraní XBOW API na časovač a pomocí rozhraní API pro příjem dat služby Azure Monitor (DCE/DCR) odešle snímky JSON prostředků do XbowAssets_CL, obohacená zjištění (s důkazy, recepty PoC, dopadem a zmírněním rizik) XbowFindings_CLdo a do událostí životního cyklu posouzení.XbowAssessments_CL
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
XbowAssets_CL |
Ne | Ne |
XbowFindings_CL |
Ne | Ne |
XbowAssessments_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Token rozhraní API XBOW: Vyžaduje se osobní přístupový token XBOW. Vygenerujte ho v konzole XBOW v části Nastavení > Osobní přístupové tokeny. Využte token na organizaci, kterou chcete monitorovat.
- ID organizace XBOW: ID organizace z vašeho účtu XBOW. Najdete ho v adrese URL konzoly XBOW nebo prostřednictvím rozhraní API.
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
- V případě potřeby vlastní požadavky odstraňte tuto celní značku: Popis všech vlastních požadavků.
-
Azure AD Registrace aplikace: Vyžaduje se registrace aplikace Azure AD (instanční objekt). Po nasazení musíte této registraci aplikace ručně přiřadit roli vydavatele metrik monitorování u pravidla shromažďování dat (DCR).
Segment nulových sítí (push)
Podporováno:Zero Networks
Konektor Zero Networks Segment push umožňuje nulovým sítím odesílat audity, síťové aktivity, aktivity identit a aktivity RPC přímo do Microsoft Sentinel v reálném čase. Nasaďte konektor, abyste vytvořili pravidlo shromažďování dat (DCR) a Microsoft Entra aplikaci. Pak nakonfigurujte aplikaci Zero Networks s podrobnostmi o připojení pro nabízené události.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ZNAudit_CL |
Ano | Ano |
ZNNetworkActivity_CL |
Ano | Ano |
ZNIdentityActivity_CL |
Ano | Ano |
ZNRPCActivity_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Microsoft Entra: Oprávnění k vytvoření registrace aplikace v Microsoft Entra ID. Obvykle vyžaduje Entra ID role Vývojář aplikace nebo vyšší.
-
Microsoft Azure: Oprávnění k přiřazení role vydavatele monitorování metrik k pravidlu shromažďování dat (DCR). Obvykle vyžaduje Azure roli vlastníka RBAC nebo správce uživatelských přístupů.
Audit segmentu nulových sítí
Podporováno:Zero Networks
Datový konektor Zero Networks Segment Audit poskytuje možnost ingestovat události auditu zero networks do Microsoft Sentinel prostřednictvím rozhraní REST API. Tento datový konektor používá Microsoft Sentinel nativní možnosti dotazování.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ZNSegmentAuditNativePoller_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
Token rozhraní API zero Networks: Pro rozhraní REST API se vyžaduje ZeroNetworksAPIToken . Projděte si průvodce rozhraním API a postupujte podle pokynů k získání přihlašovacích údajů.
ZeroFox CTI
Podporuje:ZeroFox
Datové konektory ZeroFox CTI poskytují možnost ingestovat různé výstrahy analýzy kybernetických hrozeb ZeroFox do Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ZeroFox_CTI_advanced_dark_web_CL |
Ne | Ne |
ZeroFox_CTI_botnet_CL |
Ne | Ne |
ZeroFox_CTI_breaches_CL |
Ne | Ne |
ZeroFox_CTI_C2_CL |
Ne | Ne |
ZeroFox_CTI_compromised_credentials_CL |
Ne | Ne |
ZeroFox_CTI_credit_cards_CL |
Ne | Ne |
ZeroFox_CTI_dark_web_CL |
Ne | Ne |
ZeroFox_CTI_discord_CL |
Ne | Ne |
ZeroFox_CTI_disruption_CL |
Ne | Ne |
ZeroFox_CTI_email_addresses_CL |
Ne | Ne |
ZeroFox_CTI_exploits_CL |
Ne | Ne |
ZeroFox_CTI_irc_CL |
Ne | Ne |
ZeroFox_CTI_malware_CL |
Ne | Ne |
ZeroFox_CTI_national_ids_CL |
Ne | Ne |
ZeroFox_CTI_phishing_CL |
Ne | Ne |
ZeroFox_CTI_phone_numbers_CL |
Ne | Ne |
ZeroFox_CTI_ransomware_CL |
Ne | Ne |
ZeroFox_CTI_telegram_CL |
Ne | Ne |
ZeroFox_CTI_threat_actors_CL |
Ne | Ne |
ZeroFox_CTI_vulnerabilities_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní ZeroFox API: Uživatelské jméno ZeroFox a token ZeroFox Personal Access Jsou vyžadovány pro rozhraní REST API ZeroFox CTI.
ZeroFox Enterprise – upozornění (CCF pro dotazování)
Podporuje:ZeroFox
Shromažďuje upozornění z rozhraní ZeroFox API.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ZeroFoxAlertPoller_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
-
ZeroFox Pat (Personal Access Token): Vyžaduje se ZeroFox PAT. Můžete ho získat v datových kanálech >rozhraní API pro datové konektory.
Zimperium Mobile Threat Defense
Podporováno:Zimperium
Konektor Zimperium Mobile Threat Defense umožňuje propojit protokol hrozeb zimperium s Microsoft Sentinel a zobrazit řídicí panely, vytvářet vlastní upozornění a zlepšovat šetření. Získáte tak lepší přehled o oblasti mobilních hrozeb ve vaší organizaci a zlepšíte možnosti operací zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ZimperiumThreatLog_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Sestavy lupy (pomocí Azure Functions)
Podporováno:Microsoft Corporation
Datový konektor Sestavy lupy umožňuje ingestovat události sestav lupy do Microsoft Sentinel prostřednictvím rozhraní REST API. Další informace najdete v dokumentaci k rozhraní API . Konektor umožňuje načítání událostí k posouzení potenciálních bezpečnostních rizik, monitorování spolupráce a diagnostice a řešení potíží s konfigurací.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Zoom_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní REST API: Id účtu, CLIENTID a ClientSecret se vyžadují pro rozhraní ZOOM API. Další informace najdete v tématu Rozhraní ZOOM API.
Postupujte podle pokynů ke konfiguraci rozhraní ZOOM API.
Konektor Zoom Reports (prostřednictvím rozhraní konektorů bez kódu)
Podporováno:Microsoft Corporation
Datový konektor Sestavy lupy umožňuje ingestovat data sestav lupy do Microsoft Sentinel prostřednictvím rozhraní REST API pro zoom v2 a monitorovat a auditovat využití lupy v celé organizaci. Tento konektor používá přihlašovací údaje účtu OAuth mezi servery k ověřování a podporuje příjem více typů sestav, včetně sestav denního využití pro statistiky schůzek a metrik využití, sestav uživatelů pro informace o hostiteli aktivních/neaktivních uživatelů, sestav telefonie pro statistiku využití telefonie, sestav využití cloudového záznamu pro cloudové úložiště a záznam využití, protokoly operací pro operace správy a záznam auditu. a Protokoly aktivit pro aktivity přihlašování a odhlašování uživatelů. Každý typ sestavy se shromažďuje v samostatné konfiguraci dotazování s podporou automatického stránkování pomocí NextPageToken. Datový konektor je založený na rozhraní konektoru bez kódu Microsoft Sentinel a podporuje transformace času příjmu dat na základě DCR pro optimalizovaný výkon dotazů.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
ZoomV2_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Přístup k rozhraní ZOOM API: Přístup k rozhraní ZOOM REST API v2 s přihlašovacími údaji účtu
Zastaralé datové konektory Sentinel
Poznámka
Následující tabulka obsahuje seznam zastaralých a starších datových konektorů. Zastaralé konektory se už nepodporují.
[Zastaralé] GitHub Enterprise Audit Log
Podporováno:Microsoft Corporation
Konektor protokolu auditování GitHubu umožňuje ingestovat protokoly GitHubu do Microsoft Sentinel. Když připojíte protokoly auditu GitHubu k Microsoft Sentinel, můžete tato data zobrazit v sešitech, použít je k vytváření vlastních upozornění a vylepšit proces šetření.
Poznámka: Pokud jste chtěli do Microsoft Sentinel ingestovat události odebírané GitHubem, projděte si prosím konektor GitHubu (pomocí webhooků) z galerie Datové konektory.
POZNÁMKA: Tento datový konektor je zastaralý. Zvažte přechod na datový konektor CCF dostupný v řešení, který nahrazuje příjem dat prostřednictvím zastaralého rozhraní API kolektoru dat HTTP.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
GitHubAuditLogPolling_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Token osobního přístupu rozhraní API GitHubu: K povolení dotazování pro protokol auditování organizace potřebujete osobní přístupový token GitHubu. Můžete použít klasický token s oborem read:org nebo jemně odstupňovaný token s oborem Správa: jen pro čtení.
-
Typ GitHub Enterprise: Tento konektor bude fungovat pouze s GitHub Enterprise Cloudem; nebude podporovat GitHub Enterprise Server.
[Zastaralé] Infoblox SOC Insight Data Connector prostřednictvím starší verze agenta
Podporováno:Infoblox
Infoblox SOC Insight Data Connector umožňuje snadno připojit data Infoblox BloxOne SOC Insight s Microsoft Sentinel. Propojením protokolů s Microsoft Sentinel můžete využít výhod hledání & korelace, upozorňování a rozšiřování analýzy hrozeb pro každý protokol.
Tento datový konektor ingestuje data Infoblox SOC Insight CDC k vašemu pracovnímu prostoru služby Log Analytics pomocí starší verze agenta Log Analytics.
Microsoft doporučuje instalaci konektoru Infoblox SOC Insight Data Connector prostřednictvím konektoru AMA. Starší verze konektoru používá agenta Log Analytics, který se do 31. září 2024 brzy přestane používat a měl by se instalovat jenom tam, kde se nepodporuje AMA.
Použití MMA a AMA na stejném počítači může způsobit duplikaci protokolů a dodatečné náklady na příjem dat. Další podrobnosti.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CommonSecurityLog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
[Zastaralé] Protokoly zabezpečení IONIX (push)
Podporováno:IONIX
⚠✔ Tento konektor je zastaralý a v červnu 2026 se odebere. Místo toho použijte nový konektor Protokoly zabezpečení IONIX (prostřednictvím architektury konektoru bez kódu), který poskytuje automatické denní dotazování bez nutnosti ruční konfigurace na portálu IONIX.
Datový konektor protokolu zabezpečení IONIX ingestuje protokoly ze systému IONIX přímo do Sentinel. Konektor umožňuje uživatelům vizualizovat data, vytvářet výstrahy a incidenty a vylepšovat šetření zabezpečení.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
CyberpionActionItems_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
-
Předplatné IONIX: Pro protokoly IONIX se vyžaduje předplatné a účet.
Jeden se dá získat tady.
[Zastaralé] Lookout
Podporuje:Lookout
Datový konektor Lookout umožňuje ingestovat události Lookout do Microsoft Sentinel prostřednictvím rozhraní API pro mobilní rizika. Další informace najdete v dokumentaci k rozhraní API . Datový konektor Lookout poskytuje možnost získávat události, které pomáhají zkoumat potenciální bezpečnostní rizika a další možnosti.
POZNÁMKA: Tento datový konektor je zastaralý. Zvažte přechod na datový konektor CCF dostupný v řešení, který nahrazuje příjem dat prostřednictvím zastaralého rozhraní API kolektoru dat HTTP.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Lookout_CL |
Ne | Ne |
Podpora pravidel shromažďování dat: Aktuálně se nepodporuje.
Požadavky:
- Oprávnění Microsoft.Web/sites: Oprávnění ke čtení a zápisu Azure Functions k vytvoření aplikace funkcí jsou povinná. Další informace najdete v tématu Azure Functions.
-
Přihlašovací údaje a oprávnění rozhraní API pro mobilní rizika: Pro rozhraní API pro mobilní rizika se vyžadují přihlašovací údaje a oprávnění rozhraní API EnterpriseName & ApiKey . Další informace najdete v tématu rozhraní API. Zkontrolujte všechny požadavky a postupujte podle pokynů k získání přihlašovacích údajů.
[Zastaralé] Protokoly a události serveru Microsoft Exchange
Podporováno:Komunita
Zastaralé, používejte datové připojení ESI-Opt. Z počítačů s Windows připojených k pracovnímu prostoru Microsoft Sentinel můžete streamovat všechny události auditu Exchange, protokoly služby IIS, protokoly proxy serveru HTTP a protokoly událostí zabezpečení. Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní upozornění a zlepšovat šetření. Sešity zabezpečení Microsoft Exchange ho používají k poskytování přehledů o zabezpečení vašeho místního prostředí Exchange.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Event |
Ano | Ne |
SecurityEvent |
Ano | Ano |
W3CIISLog |
Ano | Ne |
MessageTrackingLog_CL |
Ano | Ano |
ExchangeHttpProxy_CL |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Požadavky:
- Azure bude služba Log Analytics zastaralá, doporučujeme shromažďovat data z Azure virtuálních počítačů Azure Arc. Další informace
-
Podrobná dokumentace: POZNÁMKA: Podrobnou dokumentaci k postupu instalace a použití najdete tady. >
Události zabezpečení prostřednictvím starší verze agenta
Podporováno:Microsoft Corporation
Pomocí agenta pro Windows můžete streamovat všechny události zabezpečení z počítačů s Windows připojených k pracovnímu prostoru Microsoft Sentinel. Toto připojení umožňuje zobrazit řídicí panely, vytvářet vlastní upozornění a zlepšovat šetření. Získáte tak lepší přehled o síti vaší organizace a zlepšíte možnosti operací zabezpečení. Další informace najdete v dokumentaci k Microsoft Sentinel.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityEvent |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Microsoft Defender pro cloud založený na předplatném (starší verze)
Podporováno:Microsoft Corporation
Microsoft Defender for Cloud je nástroj pro správu zabezpečení, který umožňuje detekovat hrozby a rychle na ně reagovat napříč Azure, hybridními a multicloudovými úlohami. Tento konektor umožňuje streamovat výstrahy zabezpečení z Microsoft Defender for Cloud do Microsoft Sentinel, takže můžete zobrazit data defenderu v sešitech, dotazovat se na ně a vytvářet výstrahy a prošetřovat incidenty a reagovat na ně.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
SecurityAlert |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Syslog prostřednictvím starší verze agenta
Podporováno:Microsoft Corporation
Syslog je protokol protokolování událostí, který je společný pro Linux. Aplikace budou odesílat zprávy, které mohou být uloženy na místním počítači nebo doručeny do kolektoru Syslog. Když je agent pro Linux nainstalovaný, nakonfiguruje místní démon Syslog tak, aby předával zprávy agentovi. Agent pak odešle zprávu do pracovního prostoru.
Tabulky Log Analytics:
| Tabulka | Podpora DCR | Příjem dat pouze pro jezero |
|---|---|---|
Syslog |
Ano | Ano |
Podpora pravidla shromažďování dat:Transformace pracovního prostoru DCR
Další kroky
Další informace najdete tady: