Datové konektory Microsoft Sentinelu
Jakmile microsoft Sentinel nasadíte do svého pracovního prostoru, použijte datové konektory a začněte ingestovat data do Microsoft Sentinelu. Microsoft Sentinel obsahuje mnoho předdevítaných konektorů pro služby Microsoft, které se integrují v reálném čase. Konektor XDR v programu Microsoft Defender je například konektor service-to-service, který integruje data z Office 365, Microsoft Entra ID, Microsoft Defender for Identity a Microsoft Defender for Cloud Apps.
Integrované konektory umožňují připojení k širšímu ekosystému zabezpečení pro produkty jiné společnosti než Microsoft. Můžete například použít Syslog, Common Event Format (CEF) nebo rozhraní REST API pro připojení zdrojů dat k Microsoft Sentinelu.
Poznámka:
Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.
Důležité
Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Datové konektory poskytované s řešeními
Řešení Microsoft Sentinel poskytují zabalený obsah zabezpečení, včetně datových konektorů, sešitů, analytických pravidel, playbooků a dalších. Když nasadíte řešení s datovým konektorem, získáte datový konektor společně se souvisejícím obsahem ve stejném nasazení.
Na stránce Datových konektorů Microsoft Sentinelu jsou uvedené nainstalované nebo používané datové konektory.
Pokud chcete přidat další datové konektory, nainstalujte řešení přidružené k datovému konektoru z centra obsahu. Další informace najdete v následujících článcích:
- Vyhledání datového konektoru služby Microsoft Sentinel
- Informace o obsahu a řešeních služby Microsoft Sentinel
- Zjišťování a správa zastaralého obsahu služby Microsoft Sentinel
- Katalog centra obsahu Služby Microsoft Sentinel
- Rozšířená řešení domény založená na modelu zabezpečení (ASIM) pro Microsoft Sentinel
Integrace rozhraní REST API pro datové konektory
Řada řešení zabezpečení poskytuje sadu rozhraní API pro načítání souborů protokolů a dalších dat zabezpečení z produktu nebo služby. Tato rozhraní API se připojují k Microsoft Sentinelu pomocí jedné z následujících metod:
- Rozhraní API zdroje dat jsou nakonfigurovaná s platformou konektoru bez kódu.
- Datový konektor používá rozhraní API pro příjem protokolů pro Azure Monitor jako součást funkce Azure nebo aplikace logiky.
Další informace o připojení pomocí Azure Functions najdete v následujících článcích:
- Připojení zdroje dat k Microsoft Sentinelu pomocí Azure Functions
- Dokumentace ke službě Azure Functions
- Ceny Azure Functions
Další informace o připojení pomocí Logic Apps najdete v tématu Připojení s Logic Apps.
Integrace na základě agenta pro datové konektory
Microsoft Sentinel může používat agenty poskytované službou Azure Monitor (na které je založená služba Microsoft Sentinel) ke shromažďování dat z libovolného zdroje dat, který může provádět streamování protokolů v reálném čase. Například většina místních zdrojů dat se připojuje pomocí integrace založené na agentech.
Následující části popisují různé typy datových konektorů založených na agentech Microsoft Sentinelu. Pokud chcete nakonfigurovat připojení pomocí mechanismů založených na agentech, postupujte podle kroků na každé stránce datového konektoru Microsoft Sentinelu.
Syslog a formát CEF (Common Event Format)
Události můžete streamovat z linuxových zařízení podporujících Syslog do Microsoft Sentinelu pomocí agenta služby Azure Monitor (AMA). Formáty protokolů se liší, ale mnoho zdrojů podporuje formátování založené na CEF. V závislosti na typu zařízení se agent nainstaluje buď přímo do zařízení, nebo do vyhrazeného nástroje pro předávání protokolů založeného na Linuxu. AMA přijímá zprávy o prostých událostech Syslog nebo CEF z démona Syslogu přes UDP. Démon Syslog předává události agentu interně a komunikuje přes protokol TCP nebo UDS (Unix Domain Sockets) v závislosti na verzi. AMA pak tyto události předá do pracovního prostoru Microsoft Sentinelu.
Tady je jednoduchý tok, který ukazuje, jak Microsoft Sentinel streamuje data Syslogu.
- Integrovaný proces démon syslogu zařízení shromažďuje místní události zadaných typů a předává události místně agentovi.
- Agent streamuje události do pracovního prostoru služby Log Analytics.
- Po úspěšné konfiguraci se zprávy Syslogu zobrazí v tabulce Syslog log Analytics a zprávy CEF v tabulce CommonSecurityLog.
Další informace najdete v tématu Syslog a Common Event Format (CEF) prostřednictvím konektorů AMA pro Microsoft Sentinel.
Vlastní protokoly
U některých zdrojů dat můžete shromažďovat protokoly jako soubory na počítačích s Windows nebo Linuxem pomocí vlastního agenta shromažďování protokolů Log Analytics.
Pokud se chcete připojit pomocí vlastního agenta shromažďování protokolů Log Analytics, postupujte podle kroků na každé stránce datového konektoru Microsoft Sentinelu. Po úspěšné konfiguraci se data zobrazí ve vlastních tabulkách.
Další informace najdete v tématu Vlastní protokoly prostřednictvím datového konektoru AMA – Konfigurace příjmu dat do Microsoft Sentinelu z konkrétních aplikací.
Integrace mezi službami pro datové konektory
Microsoft Sentinel používá základ Azure k poskytování odkládací podpory služeb pro služby Microsoft a Amazon Web Services.
Další informace najdete v následujících článcích:
- Připojení Microsoft Sentinelu ke službám Azure, Windows, Microsoft a Amazon
- Vyhledání datového konektoru služby Microsoft Sentinel
Podpora datového konektoru
Microsoft i další organizace vytvořily datové konektory Microsoft Sentinelu. Každý datový konektor má jeden z následujících typů podpory uvedených na stránce datového konektoru v Microsoft Sentinelu.
| Typ podpory | Popis |
|---|---|
| Podpora Microsoftu | Platí pro:
Partneři nebo datové konektory podpory komunity vytvořené jakoukoli jinou stranou než Microsoftem. |
| Podporované partnery | Platí pro datové konektory vytvořené jinými stranami než Microsoftem. Partnerová společnost poskytuje podporu nebo údržbu těchto datových konektorů. Partnerovou společností může být nezávislý dodavatel softwaru, poskytovatel spravovaných služeb (MSP/MSSP), integrátor systémů (SI) nebo jakákoli organizace, jejíž kontaktní informace jsou k dispozici na stránce Microsoft Sentinelu pro tento datový konektor. V případě jakýchkoli problémů s datovým konektorem podporovaným partnerem se obraťte na kontakt podpory zadaného datového konektoru. |
| Podpora komunity | Platí pro datové konektory vytvořené microsoftem nebo partnerskými vývojáři, kteří nemají uvedené kontakty pro podporu a údržbu datových konektorů na stránce datového konektoru v Microsoft Sentinelu. Pokud máte dotazy nebo problémy s těmito datovými konektory, můžete problém podat v komunitě Microsoft Sentinelu na GitHubu. |
Další informace najdete v tématu Vyhledání podpory datového konektoru.
Další kroky
Další informace o datových konektorech najdete v následujících článcích.
- Připojení zdrojů dat k Microsoft Sentinelu pomocí datových konektorů
- Vyhledání datového konektoru služby Microsoft Sentinel
- Zdroje informací pro vytváření vlastních konektorů Microsoft Sentinelu
Základní referenční informace o infrastruktuře jako kódu (IaC) bicep, Azure Resource Manageru a Terraformu pro nasazení datových konektorů v Microsoft Sentinelu najdete v referenčních informacích k datovému konektoru Microsoft SentinelU.