Microsoft Sentinel dataconnectors

Når du har onboardet Microsoft Sentinel i dit arbejdsområde, kan du bruge dataconnectors til at begynde at overføre dine data til Microsoft Sentinel. Microsoft Sentinel leveres med mange færdige connectors til Microsoft-tjenester, der integreres i realtid. Den Microsoft Defender XDR connector er f.eks. en tjeneste til tjeneste-connector, der integrerer data fra Office 365, Microsoft Entra ID, Microsoft Defender for Identity og Microsoft Defender for Cloud Apps.

Indbyggede connectors gør det muligt at oprette forbindelse til det bredere sikkerhedsøkosystem for ikke-Microsoft-produkter. Brug f.eks. Syslog, CEF (Common Event Format) eller REST API'er til at forbinde dine datakilder med Microsoft Sentinel.

Bemærk!

Du kan få oplysninger om tilgængelighed af funktioner i US Government-cloudmiljøer i Microsoft Sentinel tabeller i Cloudfunktionstilgængelighed for US Government-kunder.

Vigtigt!

I henhold til meddelelsen fra 2024, efter den 14. september 2026, understøttes den ældre HTTP-dataindsamler-API ikke længere. Datakilder, brugerdefinerede integrationer eller connectors, der bruger HTTP-dataindsamler-API'en, bør overgå til et understøttet alternativ for at undgå potentielle afbrydelser af indtagelse efter denne dato.

Hvis du i øjeblikket bruger HTTP-dataindsamler-API'en, anbefaler vi, at du begynder at planlægge din migrering til Logs Ingestion API eller CCF (Codeless Connector Framework) for at sikre uafbrudt dataindtagelse, forbedret pålidelighed, skalerbarhed og langsigtet support.

Overvejelser i forbindelse med dataadministration i forbindelse med Microsoft Sentinel datasø

Følgende overvejelser skal tages i betragtning i planlægningen af overholdelse af angivne standarder og datastyring:

• GDPR og dataopbevaring

  • Lejeradministratorer kan udøve GDPR-rettigheder ved hjælp af funktionen Fjern for analyseniveauet. Dette påvirker ikke niveauet for datasøer.
  • Bestemte poster kan ikke fjernes fra datasøen Sentinel. Datasøen bevarer de data, der er indtaget, for den definerede opbevaringsperiode, selvom dataene slettes på kildens eller analyseniveauet.

• Fjern integration. Ændringer af indstillingerne for Purview påvirker ikke data, der er gemt i den Sentinel datasø.

• Lagerplacering Sentinel lagringsplaceringer for datasøer vælges af lejeradministratoren og kan afvige fra kildetjenesternes primære lagerplacering.

Vigtigt!

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.

Dataconnectors, der leveres med løsninger

Microsoft Sentinel løsninger leverer pakket sikkerhedsindhold, herunder dataconnectors, projektmapper, analyseregler, playbooks og meget mere. Når du installerer en løsning med en dataconnector, får du dataconnectoren sammen med relateret indhold i den samme installation.

Siden Microsoft Sentinel Data-connectors viser de installerede eller brugte dataconnectors.

Defender-portal

Azure Portal

Hvis du vil tilføje flere dataconnectors, skal du installere den løsning, der er knyttet til dataconnectoren, fra Content Hub. Du kan finde flere oplysninger i følgende artikler:

• Find din Microsoft Sentinel dataconnector
• Om Microsoft Sentinel indhold og løsninger
• Find og administrer Microsoft Sentinel indbyggede indhold
• katalog Microsoft Sentinel indholdshub
• ASIM-baserede domæneløsninger (Advanced Security Information Model) til Microsoft Sentinel

Opret brugerdefinerede connectors

Hvis du ikke kan oprette forbindelse mellem datakilden og Microsoft Sentinel ved hjælp af en af de eksisterende løsninger, der er tilgængelige, kan du overveje at oprette din egen datakildeconnector. Mange sikkerhedsløsninger indeholder f.eks. et sæt API'er til hentning af logfiler og andre sikkerhedsdata fra deres produkt eller tjeneste. Disse API'er opretter forbindelse til Microsoft Sentinel med en af følgende metoder:

• Datakilde-API'erne er konfigureret med Codeless Connector Framework.
• Dataconnectoren bruger Log Ingestion API til Azure Monitor som en del af en Azure-funktion eller logic-app.

Du kan også bruge Azure Monitor Agent direkte eller Logstash til at oprette din brugerdefinerede connector. Du kan få flere oplysninger under Ressourcer til oprettelse af Microsoft Sentinel brugerdefinerede connectors.

Agentbaseret integration for dataconnectors

Microsoft Sentinel kan bruge agenter fra Azure Monitor-tjenesten (som Microsoft Sentinel er baseret på) til at indsamle data fra en hvilken som helst datakilde, der kan udføre logstreaming i realtid. De fleste datakilder i det lokale miljø opretter f.eks. forbindelse ved hjælp af agentbaseret integration.

I følgende afsnit beskrives de forskellige typer Microsoft Sentinel agentbaserede dataconnectors. Hvis du vil konfigurere forbindelser ved hjælp af agentbaserede mekanismer, skal du følge trinnene på hver Microsoft Sentinel dataconnectorside.

Syslog og CEF (Common Event Format)

Du kan streame hændelser fra Linux-baserede Syslog-understøttende enheder til Microsoft Sentinel ved hjælp af AMA (Azure Monitor Agent). Logformater varierer, men mange kilder understøtter CEF-baseret formatering. Afhængigt af enhedstypen installeres agenten enten direkte på enheden eller på en dedikeret Linux-baseret log forwarder. AMA modtager meddelelser om almindelige Syslog- eller CEF-hændelser fra Syslog-daemon over UDP. Syslog-daemon videresender hændelser til agenten internt, kommunikerer via TCP eller UDS (Unix Domain Sockets) afhængigt af versionen. AMA sender derefter disse hændelser til det Microsoft Sentinel arbejdsområde.

Her er et simpelt flow, der viser, hvordan Microsoft Sentinel streamer Syslog-data.

1. Enhedens indbyggede Syslog-daemon indsamler lokale hændelser af de angivne typer og videresender hændelserne lokalt til agenten.
2. Agenten streamer hændelserne til dit Log Analytics-arbejdsområde.
3. Når konfigurationen er fuldført, vises Syslog-meddelelser i tabellen Log Analytics Syslog og CEF-meddelelser i tabellen CommonSecurityLog .

Du kan få flere oplysninger under Syslog og CEF (Common Event Format) via AMA-connectors til Microsoft Sentinel.

Brugerdefinerede logge

For nogle datakilder kan du indsamle logfiler som filer på Windows- eller Linux computere ved hjælp af den brugerdefinerede Log Analytics-logindsamlingsagent.

Hvis du vil oprette forbindelse ved hjælp af den brugerdefinerede Log Analytics-samlingsagent, skal du følge trinnene på hver Microsoft Sentinel dataconnectorside. Når konfigurationen er fuldført, vises dataene i brugerdefinerede tabeller.

Du kan finde flere oplysninger under Brugerdefinerede logge via AMA-dataconnector – Konfigurer dataindtagelse til Microsoft Sentinel fra bestemte programmer.

Integration fra tjeneste til tjeneste for dataconnectors

Microsoft Sentinel bruger Azure-fundamentet til at levere support til Microsoft-tjenester og Amazon Web Services, der er klar til brug.

Du kan finde flere oplysninger i følgende artikler:

• Opret forbindelse Microsoft Sentinel til tjenesterne Azure, Windows, Microsoft og Amazon
• Find din Microsoft Sentinel dataconnector

Understøttelse af dataconnector

Både Microsoft og andre organisationer opretter Microsoft Sentinel dataconnectors. Hver dataconnector har en af følgende supporttyper, der er angivet på siden dataconnector i Microsoft Sentinel.

Supporttype	Beskrivelse
Understøttet af Microsoft	Gælder for: Dataconnectors til datakilder, hvor Microsoft er dataprovider og forfatter. Nogle Microsoft-oprettede dataconnectors til datakilder, der ikke er fra Microsoft. Microsoft understøtter og vedligeholder dataconnectors i denne kategori i henhold til Supportplaner for Microsoft Azure. Partnere eller community'et understøtter dataconnectors, der er oprettet af andre parter end Microsoft.
Partnerstøttet	Gælder for dataconnectors, der er oprettet af andre parter end Microsoft. Partnervirksomheden yder support eller vedligeholdelse af disse dataconnectors. Partnervirksomheden kan være en uafhængig softwareleverandør, en MSP/MSSP (Managed Service Provider), en Systems Integrator (SI) eller en hvilken som helst organisation, hvis kontaktoplysninger er angivet på siden Microsoft Sentinel for den pågældende dataconnector. Hvis du har problemer med en partnerunderstøttet dataconnector, skal du kontakte den angivne supportkontakt for dataconnectoren.
Community-understøttet	Gælder for dataconnectors, der er oprettet af Microsoft eller partnerudviklere, som ikke har angivet kontakter til understøttelse og vedligeholdelse af dataconnectorer på dataconnectorsiden i Microsoft Sentinel. Hvis du har spørgsmål eller problemer med disse dataconnectors, kan du oprette et problem i Microsoft Sentinel GitHub-community'et.

Du kan finde flere oplysninger under Find understøttelse af en dataconnector.

Næste trin

Du kan få flere oplysninger om dataconnectors i følgende artikler.

• Opret forbindelse mellem dine datakilder og Microsoft Sentinel ved hjælp af dataconnectors
• Find din Microsoft Sentinel dataconnector
• Ressourcer til oprettelse af Microsoft Sentinel brugerdefinerede connectors

Hvis du vil have en grundlæggende IaC-reference (Infrastructure as Code) for Bicep, Azure Resource Manager og Terraform til udrulning af dataconnectors i Microsoft Sentinel, skal du se Microsoft Sentinel IaC-reference til dataconnector.