Sdílet prostřednictvím


Datové konektory Microsoft Sentinelu

Jakmile microsoft Sentinel nasadíte do svého pracovního prostoru, použijte datové konektory a začněte ingestovat data do Microsoft Sentinelu. Microsoft Sentinel obsahuje mnoho předdevítaných konektorů pro služby Microsoft, které se integrují v reálném čase. Konektor XDR v programu Microsoft Defender je například konektor service-to-service, který integruje data z Office 365, Microsoft Entra ID, Microsoft Defender for Identity a Microsoft Defender for Cloud Apps.

Integrované konektory umožňují připojení k širšímu ekosystému zabezpečení pro produkty jiné společnosti než Microsoft. Můžete například použít Syslog, Common Event Format (CEF) nebo rozhraní REST API pro připojení zdrojů dat k Microsoft Sentinelu.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Důležité

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Datové konektory poskytované s řešeními

Řešení Microsoft Sentinel poskytují zabalený obsah zabezpečení, včetně datových konektorů, sešitů, analytických pravidel, playbooků a dalších. Když nasadíte řešení s datovým konektorem, získáte datový konektor společně se souvisejícím obsahem ve stejném nasazení.

Na stránce Datových konektorů Microsoft Sentinelu jsou uvedené nainstalované nebo používané datové konektory.

Pokud chcete přidat další datové konektory, nainstalujte řešení přidružené k datovému konektoru z centra obsahu. Další informace najdete v následujících článcích:

Integrace rozhraní REST API pro datové konektory

Mnoho technologií zabezpečení poskytuje sadu rozhraní API pro načítání souborů protokolu. Některé zdroje dat můžou tato rozhraní API použít k připojení k Microsoft Sentinelu.

Datové konektory, které používají rozhraní API, se buď integrují ze strany poskytovatele, nebo integrují pomocí Azure Functions, jak je popsáno v následujících částech.

Integrace na straně poskytovatele

Integrace rozhraní API vytvořená poskytovatelem se připojí ke zdrojům dat zprostředkovatele a odešle data do vlastních tabulek protokolů služby Microsoft Sentinel pomocí rozhraní API kolektoru dat služby Azure Monitor. Další informace najdete v tématu Odesílání dat protokolu do služby Azure Monitor pomocí rozhraní API kolektoru dat HTTP.

Pokud se chcete dozvědět o integraci rozhraní REST API, přečtěte si dokumentaci zprostředkovatele a připojte zdroj dat k rozhraní REST API služby Microsoft Sentinel k ingestování dat.

Integrace s využitím Azure Functions

Integrace, které používají Azure Functions k připojení k rozhraní API zprostředkovatele, nejprve naformátují data a pak je posílají do vlastních tabulek protokolů služby Microsoft Sentinel pomocí rozhraní API kolektoru dat služby Azure Monitor.

Další informace naleznete v tématu:

Integrace, které používají Azure Functions, můžou mít další náklady na příjem dat, protože hostujete Azure Functions ve vaší organizaci Azure. Přečtěte si další informace o cenách služby Azure Functions.

Integrace na základě agenta pro datové konektory

Microsoft Sentinel může používat agenty poskytované službou Azure Monitor (na které je založená služba Microsoft Sentinel) ke shromažďování dat z libovolného zdroje dat, který může provádět streamování protokolů v reálném čase. Například většina místních zdrojů dat se připojuje pomocí integrace založené na agentech.

Následující části popisují různé typy datových konektorů založených na agentech Microsoft Sentinelu. Pokud chcete nakonfigurovat připojení pomocí mechanismů založených na agentech, postupujte podle kroků na každé stránce datového konektoru Microsoft Sentinelu.

Důležité

Agent Log Analytics bude vyřazen 31. srpna 2024 a agent služby Azure Monitor (AMA). Pokud ve svém nasazení Microsoft Sentinelu používáte agenta Log Analytics, doporučujeme začít plánovat migraci do AMA. Další informace najdete v tématu Migrace AMA pro Microsoft Sentinel.

Syslog a formát CEF (Common Event Format)

Události můžete streamovat z linuxových zařízení podporujících Syslog do Microsoft Sentinelu pomocí agenta služby Azure Monitor (AMA). Formáty protokolů se liší, ale mnoho zdrojů podporuje formátování založené na CEF. V závislosti na typu zařízení se agent nainstaluje buď přímo do zařízení, nebo do vyhrazeného nástroje pro předávání protokolů založeného na Linuxu. AMA přijímá zprávy o prostých událostech Syslog nebo CEF z démona Syslogu přes UDP. Démon Syslog předává události agentu interně a komunikuje přes protokol TCP nebo UDS (Unix Domain Sockets) v závislosti na verzi. AMA pak tyto události předá do pracovního prostoru Microsoft Sentinelu.

Tady je jednoduchý tok, který ukazuje, jak Microsoft Sentinel streamuje data Syslogu.

  1. Integrovaný proces démon syslogu zařízení shromažďuje místní události zadaných typů a předává události místně agentovi.
  2. Agent streamuje události do pracovního prostoru služby Log Analytics.
  3. Po úspěšné konfiguraci se zprávy Syslogu zobrazí v tabulce Syslog log Analytics a zprávy CEF v tabulce CommonSecurityLog.

Další informace najdete v tématu Syslog a Common Event Format (CEF) prostřednictvím konektorů AMA pro Microsoft Sentinel.

Vlastní protokoly

U některých zdrojů dat můžete shromažďovat protokoly jako soubory na počítačích s Windows nebo Linuxem pomocí vlastního agenta shromažďování protokolů Log Analytics.

Pokud se chcete připojit pomocí vlastního agenta shromažďování protokolů Log Analytics, postupujte podle kroků na každé stránce datového konektoru Microsoft Sentinelu. Po úspěšné konfiguraci se data zobrazí ve vlastních tabulkách.

Další informace najdete v tématu Shromažďování dat ve vlastních formátech protokolů do Microsoft Sentinelu pomocí agenta Log Analytics.

Integrace mezi službami pro datové konektory

Microsoft Sentinel používá základ Azure k poskytování odkládací podpory služeb pro služby Microsoft a Amazon Web Services.

Další informace najdete v následujících článcích:

Podpora datového konektoru

Microsoft i další organizace vytvořily datové konektory Microsoft Sentinelu. Každý datový konektor má jeden z následujících typů podpory uvedených na stránce datového konektoru v Microsoft Sentinelu.

Typ podpory Popis
Podpora Microsoftu Platí pro:
  • Datové konektory pro zdroje dat, ve kterých je Microsoft poskytovatelem dat a autorem.
  • Některé datové konektory vytvořené Microsoftem pro jiné zdroje dat než Microsoft.
Microsoft podporuje a udržuje datové konektory v této kategorii podle plánů podpory Microsoft Azure.

Partneři nebo datové konektory podpory komunity vytvořené jakoukoli jinou stranou než Microsoftem.
Podporované partnery Platí pro datové konektory vytvořené jinými stranami než Microsoftem.

Partnerová společnost poskytuje podporu nebo údržbu těchto datových konektorů. Partnerovou společností může být nezávislý dodavatel softwaru, poskytovatel spravovaných služeb (MSP/MSSP), integrátor systémů (SI) nebo jakákoli organizace, jejíž kontaktní informace jsou k dispozici na stránce Microsoft Sentinelu pro tento datový konektor.

V případě jakýchkoli problémů s datovým konektorem podporovaným partnerem se obraťte na kontakt podpory zadaného datového konektoru.
Podpora komunity Platí pro datové konektory vytvořené microsoftem nebo partnerskými vývojáři, kteří nemají uvedené kontakty pro podporu a údržbu datových konektorů na stránce datového konektoru v Microsoft Sentinelu.

Pokud máte dotazy nebo problémy s těmito datovými konektory, můžete problém podat v komunitě Microsoft Sentinelu na GitHubu.

Další informace najdete v tématu Vyhledání podpory datového konektoru.

Další kroky

Další informace o datových konektorech najdete v následujících článcích.

Základní referenční informace o infrastruktuře jako kódu (IaC) bicep, Azure Resource Manageru a Terraformu pro nasazení datových konektorů v Microsoft Sentinelu najdete v referenčních informacích k datovému konektoru Microsoft SentinelU.