Microsoft Sentinel-adatösszekötők

Megjegyzés

Az USA kormányzati felhőiben elérhető funkciókról a Microsoft Sentinel felhőbeli funkcióinak rendelkezésre állásával kapcsolatos információkat az USA kormányzati ügyfeleinek szóló Microsoft Sentinel-táblákban talál.

Miután előkészítette a Microsoft Sentinelt a munkaterületre, adatösszekötőkkel megkezdheti az adatok Betöltését a Microsoft Sentinelbe. A Microsoft Sentinel számos beépített összekötővel rendelkezik a Microsoft-szolgáltatásokhoz, amelyeket valós időben integrálhat. A Microsoft 365 Defender összekötő például egy szolgáltatásközi összekötő, amely integrálja az Office 365, az Azure Active Directory (Azure AD), a Microsoft Defender for Identity és a Microsoft Defender for Cloud Apps.

A nem Microsoft-termékek szélesebb körű biztonsági ökoszisztémájának beépített összekötőit is engedélyezheti. Például a Syslog, a Common Event Format (CEF) vagy a REST API-k használatával csatlakoztathatja az adatforrásokat a Microsoft Sentinelhez.

Megismerheti a Microsoft Sentinel adatösszekötők típusait , vagy megismerkedhet a Microsoft Sentinel-megoldáskatalógussal.

A Microsoft Sentinel-adatösszekötők oldal az összekötők teljes listáját és állapotát jeleníti meg a munkaterületen.

Képernyőkép az adatösszekötők katalógusáról.

Adatösszekötő engedélyezése

Jelölje ki a csatlakoztatni kívánt összekötőt, majd válassza az Összekötő megnyitása lapot.

  • Miután teljesítette az Utasítások lapon felsorolt összes előfeltételt, az összekötő oldalán megtudhatja, hogyan tölti be az adatokat a Microsoft Sentinelbe. Az adatok beérkezése eltarthat egy ideig. A csatlakozás után megjelenik az adatok összegzése a Kapott adatok grafikonon, valamint az adattípusok kapcsolati állapota.

    Képernyőkép az adatösszekötők konfigurálásáról.

  • A Következő lépések lapon további tartalom jelenik meg az adott adattípushoz: Minta lekérdezések, vizualizációs munkafüzetek és elemzési szabálysablonok a fenyegetések észleléséhez és kivizsgálásához.

    Képernyőkép az adatösszekötő Következő lépések lapról.

Az adatösszekötők referenciaanyagában megismerheti az adott adatösszekötőt.

REST API-integráció adatösszekötőkhöz

Számos biztonsági technológia api-k készletét biztosítja a naplófájlok lekéréséhez, és egyes adatforrások ezen API-k használatával csatlakozhatnak a Microsoft Sentinelhez.

Az API-kat használó adatösszekötők a szolgáltatói oldalról integrálhatók, vagy Azure Functions használatával integrálhatók az alábbi szakaszokban leírtak szerint.

További információ az adatösszekötőkről az adatösszekötők referenciaanyagában.

REST API-integráció a szolgáltatói oldalon

A szolgáltató által létrehozott API-integráció csatlakozik a szolgáltató adatforrásaihoz, és adatokat küld a Microsoft Sentinel egyéni naplótábláiba az Azure Monitor Data Collector API használatával.

A REST API-integráció megismeréséhez olvassa el a szolgáltató dokumentációját, és csatlakoztassa az adatforrást a Microsoft Sentinel REST-API-jához az adatok betöltéséhez.

REST API-integráció Azure Functions használatával

Azok az integrációk, amelyek Azure Functions használatával csatlakoznak egy szolgáltatói API-hoz, először formázza az adatokat, majd elküldi őket a Microsoft Sentinel egyéni naplótábláinak az Azure Monitor Data Collector API használatával. Megtudhatja, hogyan csatlakoztathatja adatforrását a Microsoft Sentinelhez a Azure Functions használatával.

Fontos

A Azure Functions használó integrációk további adatbetöltési költségekkel járhatnak, mivel Azure Functions üzemeltet az Azure-bérlőn. További információ a Azure Functions díjszabásáról.

Ügynökalapú integráció adatösszekötőkhöz

A Microsoft Sentinel a Syslog protokoll használatával csatlakoztathat egy ügynököt bármely olyan adatforráshoz, amely képes valós idejű naplóstreamelésre. A legtöbb helyszíni adatforrás például ügynökalapú integrációval csatlakozik.

A következő szakaszok a Microsoft Sentinel-ügynökalapú adatösszekötők különböző típusait ismertetik. Kövesse az egyes Microsoft Sentinel-adatösszekötők oldalán található lépéseket a kapcsolatok ügynökalapú mechanizmusok használatával történő konfigurálásához.

Az adatösszekötők referenciaanyagában megtudhatja, hogy mely tűzfalak, proxyk és végpontok csatlakoznak a Microsoft Sentinelhez a CEF vagy a Syslog használatával.

Rendszernapló

Az eseményeket Linux-alapú, Syslog-támogató eszközökről a Microsoft Sentinelbe streamelheti a Linuxhoz készült Log Analytics-ügynökkel, amelyet korábban OMS-ügynöknek neveztek el. Az eszköz típusától függően az ügynök közvetlenül az eszközön vagy egy dedikált Linux-alapú naplótovábbítón települ. A Log Analytics-ügynök UDP-kapcsolaton keresztül fogadja a Syslog-démon eseményeit. Ha egy Linux rendszerű gép várhatóan nagy mennyiségű Syslog-eseményt fog összegyűjteni, tcp-en keresztül küld eseményeket a Syslog-démonból az ügynöknek, és onnan a Log Analyticsbe. Megtudhatja, hogyan csatlakoztathatja a Syslog-alapú berendezéseket a Microsoft Sentinelhez.

Íme egy egyszerű folyamat, amely bemutatja, hogyan streameli a Microsoft Sentinel a Syslog-adatokat.

  1. Az eszköz beépített Syslog-démona összegyűjti a megadott típusú helyi eseményeket, és helyileg továbbítja az eseményeket az ügynöknek.
  2. Az ügynök streameli az eseményeket a Log Analytics-munkaterületre.
  3. A sikeres konfigurálás után az adatok megjelennek a Log Analytics Syslog táblában.

Common Event Format (CEF)

A naplóformátumok eltérőek, de számos forrás támogatja a CEF-alapú formázást. A Microsoft Sentinel-ügynök, amely valójában a Log Analytics-ügynök, cef formátumú naplókat alakít át olyan formátumba, amelyet a Log Analytics betölthet.

A CEF-ben adatokat kibocsátó adatforrások esetében állítsa be a Syslog-ügynököt, majd konfigurálja a CEF-adatfolyamot. A sikeres konfigurálás után az adatok megjelennek a CommonSecurityLog táblában.

Megtudhatja, hogyan csatlakoztathatja a CEF-alapú berendezéseket a Microsoft Sentinelhez.

Egyéni naplók

Egyes adatforrások esetében a Log Analytics egyéni naplógyűjtő ügynökével fájlként gyűjthet naplókat Windows vagy Linux rendszerű számítógépeken.

Kövesse az egyes Microsoft Sentinel-adatösszekötők oldalainak lépéseit a Log Analytics egyéni naplógyűjtő ügynökével való csatlakozáshoz. A sikeres konfigurálás után az adatok megjelennek az egyéni táblákban.

Megtudhatja, hogyan gyűjthet adatokat egyéni naplóformátumokban a Microsoft Sentinelbe a Log Analytics-ügynökkel.

Szolgáltatásközi integráció adatösszekötőkhöz

A Microsoft Sentinel az Azure-alaprendszert használja a Microsoft-szolgáltatások és az Amazon Web Services beépített, szolgáltatásközi támogatásához.

Megtudhatja , hogyan csatlakozhat az Azure-, a Windows-, a Microsoft- és az Amazon-szolgáltatásokhoz, illetve megismerheti az adatösszekötők típusait az adatösszekötők referenciaanyagában.

Adatösszekötők üzembe helyezése egy megoldás részeként

A Microsoft Sentinel-megoldások biztonsági tartalomcsomagokat biztosítanak, beleértve az adatösszekötőket, munkafüzeteket, elemzési szabályokat, forgatókönyveket és egyebeket. Amikor egy megoldást adatösszekötővel helyez üzembe, az adatösszekötőt a kapcsolódó tartalommal együtt kapja meg ugyanabban az üzembe helyezésben.

Megtudhatja, hogyan derítheti fel és helyezheti üzembe központilag a Microsoft Sentinel beépített tartalmát és megoldásait , vagy megismerheti a Microsoft Sentinel-megoldáskatalógust.

Adatösszekötők támogatása

A Microsoft és más szervezetek is Microsoft Sentinel-adatösszekötőket szerkesznek. Minden adatösszekötő az alábbi támogatási típusok egyikével rendelkezik:

Támogatási típus Description
Microsoft által támogatott A következőkre vonatkozik:
  • Adatösszekötők olyan adatforrásokhoz, ahol a Microsoft az adatszolgáltató és a szerző.
  • Néhány Microsoft által létrehozott adatösszekötő nem Microsoft-adatforrásokhoz.
A Microsoft a Microsoft Azure támogatási csomagjainak megfelelően támogatja és tartja karban az adatösszekötőket ebben a kategóriában.

A partnerek vagy a Közösség olyan adatösszekötőket támogatnak, amelyeket a Microsofton kívül más felek is használnak.
Partner által támogatott A Microsofttól eltérő felek által létrehozott adatösszekötőkre vonatkozik.

A partnervállalat támogatást vagy karbantartást biztosít ezekhez az adatösszekötőkhöz. A partnervállalat lehet független szoftverszállító, felügyelt szolgáltató (MSP/MSSP), rendszer integrátor (SI), vagy bármely olyan szervezet, amelynek kapcsolattartási adatait az adatösszekötő Microsoft Sentinel oldalán találja.

A partner által támogatott adatösszekötőkkel kapcsolatos problémák esetén forduljon a megadott adatösszekötő támogatási kapcsolattartóhoz.
Közösség által támogatott Azon Microsoft- vagy partnerfejlesztők által létrehozott adatösszekötőkre vonatkozik, amelyek nem rendelkeznek az adatösszekötők támogatásával és karbantartásával kapcsolatos listán szereplő partnerekkel a Microsoft Sentinel megadott adatösszekötő oldalán.

Az adatösszekötőkkel kapcsolatos kérdések vagy problémák esetén a Microsoft Sentinel GitHub-közösségben jelentheti be a problémát.

Az adatösszekötő támogatási kapcsolattartójának megkeresése

  1. A Microsoft Sentinel-adatösszekötők lapon válassza ki a megfelelő összekötőt.
  2. Az összekötő támogatásának és karbantartásának eléréséhez használja a támogatási kapcsolattartó hivatkozását a csatlakozó oldalpaneljének Támogatottak mezője alatt .

Képernyőkép a Microsoft Sentinelben található adatösszekötő támogatott mezőiről.

Következő lépések