Datové konektory Microsoft Sentinelu
Jakmile microsoft Sentinel nasadíte do svého pracovního prostoru, použijte datové konektory a začněte ingestovat data do Microsoft Sentinelu. Microsoft Sentinel obsahuje mnoho předdevítaných konektorů pro služby Microsoft, které se integrují v reálném čase. Konektor XDR v programu Microsoft Defender je například konektor service-to-service, který integruje data z Office 365, Microsoft Entra ID, Microsoft Defender for Identity a Microsoft Defender for Cloud Apps.
Integrované konektory umožňují připojení k širšímu ekosystému zabezpečení pro produkty jiné společnosti než Microsoft. Můžete například použít Syslog, Common Event Format (CEF) nebo rozhraní REST API pro připojení zdrojů dat k Microsoft Sentinelu.
Poznámka:
Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.
Důležité
Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Datové konektory poskytované s řešeními
Řešení Microsoft Sentinel poskytují zabalený obsah zabezpečení, včetně datových konektorů, sešitů, analytických pravidel, playbooků a dalších. Když nasadíte řešení s datovým konektorem, získáte datový konektor společně se souvisejícím obsahem ve stejném nasazení.
Na stránce Datových konektorů Microsoft Sentinelu jsou uvedené nainstalované nebo používané datové konektory.
Pokud chcete přidat další datové konektory, nainstalujte řešení přidružené k datovému konektoru z centra obsahu. Další informace najdete v následujících článcích:
- Vyhledání datového konektoru služby Microsoft Sentinel
- Informace o obsahu a řešeních služby Microsoft Sentinel
- Zjišťování a správa zastaralého obsahu služby Microsoft Sentinel
- Katalog centra obsahu Služby Microsoft Sentinel
- Rozšířená řešení domény založená na modelu zabezpečení (ASIM) pro Microsoft Sentinel
Integrace rozhraní REST API pro datové konektory
Mnoho technologií zabezpečení poskytuje sadu rozhraní API pro načítání souborů protokolu. Některé zdroje dat můžou tato rozhraní API použít k připojení k Microsoft Sentinelu.
Datové konektory, které používají rozhraní API, se buď integrují ze strany poskytovatele, nebo integrují pomocí Azure Functions, jak je popsáno v následujících částech.
Integrace na straně poskytovatele
Integrace rozhraní API vytvořená poskytovatelem se připojí ke zdrojům dat zprostředkovatele a odešle data do vlastních tabulek protokolů služby Microsoft Sentinel pomocí rozhraní API kolektoru dat služby Azure Monitor. Další informace najdete v tématu Odesílání dat protokolu do služby Azure Monitor pomocí rozhraní API kolektoru dat HTTP.
Pokud se chcete dozvědět o integraci rozhraní REST API, přečtěte si dokumentaci poskytovatele a Připojení zdroj dat do rozhraní REST API služby Microsoft Sentinel a ingestujte data.
Integrace s využitím Azure Functions
Integrace, které používají Azure Functions k připojení k rozhraní API zprostředkovatele, nejprve naformátují data a pak je posílají do vlastních tabulek protokolů služby Microsoft Sentinel pomocí rozhraní API kolektoru dat služby Azure Monitor.
Další informace naleznete v tématu:
- Odesílání dat protokolu do služby Azure Monitor pomocí rozhraní API kolektoru dat HTTP
- Připojení zdroje dat k Microsoft Sentinelu pomocí Azure Functions
- Dokumentace ke službě Azure Functions
Integrace, které používají Azure Functions, můžou mít další náklady na příjem dat, protože hostujete Azure Functions ve vaší organizaci Azure. Přečtěte si další informace o cenách služby Azure Functions.
Integrace na základě agenta pro datové konektory
Microsoft Sentinel může pomocí protokolu Syslog připojit agenta k libovolnému zdroji dat, který může provádět streamování protokolů v reálném čase. Například většina místních zdrojů dat se připojuje pomocí integrace založené na agentech.
Následující části popisují různé typy datových konektorů založených na agentech Microsoft Sentinelu. Pokud chcete nakonfigurovat připojení pomocí mechanismů založených na agentech, postupujte podle kroků na každé stránce datového konektoru Microsoft Sentinelu.
Syslog
Události můžete streamovat z linuxových zařízení podporujících Syslog do Microsoft Sentinelu pomocí agenta služby Azure Monitor (AMA). V závislosti na typu zařízení se agent nainstaluje buď přímo do zařízení, nebo do vyhrazeného nástroje pro předávání protokolů založeného na Linuxu. AMA přijímá události z procesu démon Syslog přes UDP. Démon Syslog předává události agentu interně a komunikuje přes UDS (Unix Domain Sockets). AMA pak tyto události předá do pracovního prostoru Microsoft Sentinelu.
Tady je jednoduchý tok, který ukazuje, jak Microsoft Sentinel streamuje data Syslogu.
- Integrovaný proces démon syslogu zařízení shromažďuje místní události zadaných typů a předává události místně agentovi.
- Agent streamuje události do pracovního prostoru služby Log Analytics.
- Po úspěšné konfiguraci se data zobrazí v tabulce Syslog log Analytics.
Další informace najdete v tématu Kurz: Předávání dat Syslogu do pracovního prostoru služby Log Analytics pomocí služby Microsoft Sentinel pomocí agenta služby Azure Monitor.
Common Event Format (CEF)
Formáty protokolů se liší, ale mnoho zdrojů podporuje formátování založené na CEF. Agent Microsoft Sentinelu, což je ve skutečnosti agent Log Analytics, převádí protokoly ve formátu CEF na formát, který může Log Analytics ingestovat.
Pro zdroje dat, které generují data v CEF, nastavte agenta Syslog a nakonfigurujte tok dat CEF. Po úspěšné konfiguraci se data zobrazí v tabulce CommonSecurityLog .
Další informace najdete v tématu Získání protokolů ve formátu CEF ze zařízení nebo zařízení do Microsoft Sentinelu.
Vlastní protokoly
U některých zdrojů dat můžete shromažďovat protokoly jako soubory na počítačích s Windows nebo Linuxem pomocí vlastního agenta shromažďování protokolů Log Analytics.
Pokud se chcete připojit pomocí vlastního agenta shromažďování protokolů Log Analytics, postupujte podle kroků na každé stránce datového konektoru Microsoft Sentinelu. Po úspěšné konfiguraci se data zobrazí ve vlastních tabulkách.
Další informace najdete v tématu Shromažďování dat ve vlastních formátech protokolů do Microsoft Sentinelu pomocí agenta Log Analytics.
Integrace mezi službami pro datové konektory
Microsoft Sentinel používá základ Azure k poskytování odkládací podpory služeb pro služby Microsoft a Amazon Web Services.
Další informace najdete v následujících článcích:
- Připojení microsoft Sentinelu do služeb Azure, Windows, Microsoft a Amazon
- Vyhledání datového konektoru služby Microsoft Sentinel
Podpora datového konektoru
Microsoft i další organizace vytvořily datové konektory Microsoft Sentinelu. Každý datový konektor má jeden z následujících typů podpory uvedených na stránce datového konektoru v Microsoft Sentinelu.
| Typ podpory | Popis |
|---|---|
| Podpora Microsoftu | Platí pro:
Partneři nebo datové konektory podpory komunity vytvořené jakoukoli jinou stranou než Microsoftem. |
| Podporované partnery | Platí pro datové konektory vytvořené jinými stranami než Microsoftem. Partnerová společnost poskytuje podporu nebo údržbu těchto datových konektorů. Partnerovou společností může být nezávislý dodavatel softwaru, poskytovatel spravovaných služeb (MSP/MSSP), integrátor systémů (SI) nebo jakákoli organizace, jejíž kontaktní informace jsou k dispozici na stránce Microsoft Sentinelu pro tento datový konektor. V případě jakýchkoli problémů s datovým konektorem podporovaným partnerem se obraťte na kontakt podpory zadaného datového konektoru. |
| Podpora komunity | Platí pro datové konektory vytvořené microsoftem nebo partnerskými vývojáři, kteří nemají uvedené kontakty pro podporu a údržbu datových konektorů na stránce datového konektoru v Microsoft Sentinelu. Pokud máte dotazy nebo problémy s těmito datovými konektory, můžete problém podat v komunitě Microsoft Sentinelu na GitHubu. |
Další informace najdete v tématu Vyhledání podpory datového konektoru.
Další kroky
Další informace o datových konektorech najdete v následujících článcích.
- Připojení zdroje dat do Microsoft Sentinelu pomocí datových konektorů
- Vyhledání datového konektoru služby Microsoft Sentinel
- Zdroje informací pro vytváření vlastních konektorů Microsoft Sentinelu
Základní referenční informace o infrastruktuře jako kódu (IaC) bicep, Azure Resource Manageru a Terraformu pro nasazení datových konektorů v Microsoft Sentinelu najdete v referenčních informacích k datovému konektoru Microsoft SentinelU.