Microsoft Sentinel datových konektorů

Po onboardingu Microsoft Sentinel do pracovního prostoru můžete pomocí datových konektorů začít ingestovat data do Microsoft Sentinel. Microsoft Sentinel se dodává s mnoha integrovanými konektory pro služby Microsoftu, které se integrují v reálném čase. Například konektor Microsoft Defender XDR je konektor service-to-service, který integruje data z Office 365, Microsoft Entra ID, Microsoft Defender for Identity a Microsoft Defender for Cloud Apps.

Integrované konektory umožňují připojení k širšímu ekosystému zabezpečení pro produkty od jiných společností než Microsoft. Můžete například použít Syslog, Common Event Format (CEF) nebo rozhraní REST API pro připojení zdrojů dat s Microsoft Sentinel.

Poznámka

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinel v tématu Dostupnost cloudových funkcí pro zákazníky státní správy USA.

Důležité

Podle oznámení z roku 2024 už po 14. září 2026 nebude starší rozhraní API kolektoru dat HTTP podporováno. Zdroje dat, vlastní integrace nebo konektory, které používají rozhraní API kolektoru dat HTTP, by měly přejít na podporovanou alternativu, aby se zabránilo potenciálnímu přerušení příjmu dat po tomto datu.

Pokud aktuálně používáte rozhraní API kolektoru dat HTTP, doporučujeme začít plánovat migraci na rozhraní API pro příjem protokolů nebo rozhraní CCF (Codeless Connector Framework), abyste zajistili nepřerušovaný příjem dat, vylepšenou spolehlivost, škálovatelnost a dlouhodobou podporu.

Aspekty správy dat pro Microsoft Sentinel Data Lake

Při plánování dodržování předpisů a správy dat je potřeba vzít v úvahu následující aspekty:

• GDPR a uchovávání dat

  • Správci tenanta můžou uplatňovat práva GDPR pomocí funkce vyprázdnění pro analytickou úroveň. To nemá vliv na úroveň Data Lake.
  • Z datového jezera Sentinel se nedají vymazat konkrétní záznamy. Data Lake uchovává ingestovaná data po definovanou dobu uchovávání, a to i v případě, že se data odstraní ze zdroje nebo na úrovni analýzy.

• Integrace Purview. Změny nastavení Purview nemají žádný vliv na data uložená v Sentinel Data Lake.

• Umístění úložiště Sentinel umístění úložiště Data Lake vybírá správce tenanta a může se lišit od primárního umístění úložiště zdrojových služeb.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Datové konektory poskytované s řešeními

Microsoft Sentinel řešení poskytují zabalený obsah zabezpečení, včetně datových konektorů, sešitů, analytických pravidel, playbooků a dalších. Když nasadíte řešení s datovým konektorem, získáte datový konektor společně se souvisejícím obsahem ve stejném nasazení.

Na stránce Microsoft Sentinel Datové konektory jsou uvedené nainstalované nebo používané datové konektory.

Portál Defender

Azure Portal

Pokud chcete přidat další datové konektory, nainstalujte řešení přidružené k datovému konektoru z centra obsahu. Další informace najdete v následujících článcích:

• Vyhledání datového konektoru Microsoft Sentinel
• Informace o Microsoft Sentinel obsahu a řešeních
• Zjišťování a správa Microsoft Sentinel předefinovaný obsah
• Microsoft Sentinel katalog centra obsahu
• Doménová řešení založená na modelu ASIM (Advanced Security Information Model) pro Microsoft Sentinel

Vytváření vlastních konektorů

Pokud nemůžete připojit zdroj dat k Microsoft Sentinel pomocí některého z dostupných řešení, zvažte vytvoření vlastního konektoru zdroje dat. Mnoho řešení zabezpečení například poskytuje sadu rozhraní API pro načítání souborů protokolů a dalších dat zabezpečení ze svého produktu nebo služby. Tato rozhraní API se k Microsoft Sentinel připojují pomocí jedné z následujících metod:

• Rozhraní API zdroje dat jsou nakonfigurovaná s architekturou konektoru bez kódu.
• Datový konektor používá rozhraní API pro příjem protokolů pro Azure Monitor jako součást funkce Azure nebo aplikace logiky.

K vytvoření vlastního konektoru můžete také použít přímo agenta Azure Monitor nebo Logstash. Další informace najdete v tématu Prostředky pro vytváření Microsoft Sentinel vlastních konektorů.

Integrace datových konektorů založená na agentech

Microsoft Sentinel můžou používat agenty poskytované službou Azure Monitor (na které je založená Microsoft Sentinel) ke shromažďování dat z libovolného zdroje dat, který může provádět streamování protokolů v reálném čase. Například většina místních zdrojů dat se připojuje pomocí integrace založené na agentech.

Následující části popisují různé typy Microsoft Sentinel datových konektorů založených na agentech. Pokud chcete nakonfigurovat připojení pomocí mechanismů založených na agentech, postupujte podle kroků na každé stránce Microsoft Sentinel datového konektoru.

Syslog a cef (Common Event Format)

Pomocí agenta Azure monitoru (AMA) můžete streamovat události ze zařízení založených na Linux podporujících syslog do Microsoft Sentinel. Formáty protokolů se liší, ale mnoho zdrojů podporuje formátování založené na CEF. V závislosti na typu zařízení se agent nainstaluje buď přímo na zařízení, nebo na vyhrazený modul pro předávání protokolů založený na Linux. AMA přijímá prosté zprávy o událostech Syslog nebo CEF od démona Syslogu přes UDP. Proces démon Syslog předává události agentovi interně a v závislosti na verzi komunikuje přes protokol TCP nebo UDS (Unix Domain Sockets). AMA pak tyto události přenese do pracovního prostoru Microsoft Sentinel.

Tady je jednoduchý tok, který ukazuje, jak Microsoft Sentinel streamuje data Syslogu.

1. Integrovaný démon Syslogu zařízení shromažďuje místní události zadaných typů a předává je místně agentovi.
2. Agent streamuje události do vašeho pracovního prostoru služby Log Analytics.
3. Po úspěšné konfiguraci se zprávy Syslogu zobrazí v tabulce Syslog Log Analytics a zprávy CEF v tabulce CommonSecurityLog .

Další informace najdete v tématu Syslog a Common Event Format (CEF) prostřednictvím konektorů AMA pro Microsoft Sentinel.

Vlastní protokoly

U některých zdrojů dat můžete shromažďovat protokoly jako soubory v počítačích s Windows nebo Linux pomocí vlastního agenta shromažďování protokolů Log Analytics.

Pokud se chcete připojit pomocí vlastního agenta shromažďování protokolů Log Analytics, postupujte podle kroků na každé stránce Microsoft Sentinel datového konektoru. Po úspěšné konfiguraci se data zobrazí ve vlastních tabulkách.

Další informace najdete v tématu Vlastní protokoly prostřednictvím datového konektoru AMA – Konfigurace příjmu dat pro Microsoft Sentinel z konkrétních aplikací.

Integrace mezi službami pro datové konektory

Microsoft Sentinel používá základ Azure k poskytování podpory služeb microsoftu a Amazon Web Services.

Další informace najdete v následujících článcích:

• Připojení Microsoft Sentinel ke službám Azure, Windows, Microsoftu a Amazonu
• Vyhledání datového konektoru Microsoft Sentinel

Podpora datových konektorů

Microsoft i další organizace Microsoft Sentinel datové konektory. Každý datový konektor má jeden z následujících typů podpory uvedených na stránce datového konektoru v Microsoft Sentinel.

Typ podpory	Popis
Podporované Microsoftem	Platí pro: Datové konektory pro zdroje dat, u kterých je zprostředkovatelem a autorem dat Microsoft. Některé datové konektory vytvořené Microsoftem pro zdroje dat od jiných společností než Microsoft. Microsoft podporuje a udržuje datové konektory v této kategorii podle plánů podpory Microsoftu Azure. Partneři nebo komunita podporují datové konektory vytvořené jakoukoli jinou stranou než Microsoftem.
Podporovaná partnerem	Platí pro datové konektory vytvořené jinými stranami než Microsoftem. Partner společnost poskytuje podporu nebo údržbu těchto datových konektorů. Partnerskou společností může být nezávislý dodavatel softwaru, poskytovatel spravovaných služeb (MSP/MSSP), systémový integrátor (SI) nebo jakákoli organizace, jejíž kontaktní informace jsou uvedeny na stránce Microsoft Sentinel daného datového konektoru. V případě jakýchkoli problémů s datovým konektorem podporovaným partnerem se obraťte na určený kontakt podpory datového konektoru.
Podpora komunitou	Platí pro datové konektory vytvořené microsoftem nebo partnerskými vývojáři, které nemají uvedené kontakty pro podporu a údržbu datových konektorů na stránce datového konektoru v Microsoft Sentinel. V případě dotazů nebo problémů s těmito datovými konektory můžete problém podat v komunitě Microsoft Sentinel GitHubu.

Další informace najdete v tématu Vyhledání podpory datového konektoru.

Další kroky

Další informace o datových konektorech najdete v následujících článcích.

• Připojení zdrojů dat k Microsoft Sentinel pomocí datových konektorů
• Vyhledání datového konektoru Microsoft Sentinel
• Prostředky pro vytváření Microsoft Sentinel vlastních konektorů

Základní referenční informace O infrastruktuře jako kódu (IaC) pro bicep, Azure Resource Manager a Terraform pro nasazení datových konektorů v Microsoft Sentinel najdete v referenčních informacích k datovému konektoru Microsoft Sentinel IaC.