Microsoft Sentinel-adatösszekötők

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Miután előkészítette a Microsoft Sentinelt a munkaterületre, adatösszekötőkkel megkezdheti az adatok betöltését a Microsoft Sentinelbe. A Microsoft Sentinel számos beépített összekötővel rendelkezik a Microsoft-szolgáltatások számára, amelyek valós időben integrálhatók. A Microsoft Defender XDR-összekötő például egy szolgáltatásközi összekötő, amely integrálja az Office 365, a Microsoft Entra ID, a Microsoft Defender for Identity és a Felhőhöz készült Microsoft Defender Apps adatait.

A beépített összekötők lehetővé teszik a kapcsolatot a szélesebb körű biztonsági ökoszisztémával a nem Microsoft-termékek esetében. Például a Syslog, a Common Event Format (CEF) vagy a REST API-k használatával csatlakoztassa az adatforrásokat a Microsoft Sentinelhez.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Megoldásokkal ellátott adatösszekötők

A Microsoft Sentinel-megoldások csomagolt biztonsági tartalmakat biztosítanak, beleértve az adatösszekötőket, munkafüzeteket, elemzési szabályokat, forgatókönyveket és egyebeket. Amikor egy megoldást egy adatösszekötővel helyez üzembe, az adatösszekötőt a kapcsolódó tartalommal együtt kapja meg ugyanabban az üzembe helyezésben.

A Microsoft Sentinel Adatösszekötők lap felsorolja a telepített vagy használatban lévő adatösszekötőket.

Azure Portalra

Defender portál

További adatösszekötők hozzáadásához telepítse az adatösszekötőhöz társított megoldást a Content Hubról. További információért tekintse át az alábbi cikkeket:

• A Microsoft Sentinel-adatösszekötő megkeresése
• A Microsoft Sentinel tartalmai és megoldásai
• A Microsoft Sentinel beépített tartalmainak felderítése és kezelése
• Microsoft Sentinel tartalomközpont-katalógus
• Advanced Security Information Model (ASIM) alapú tartományi megoldások a Microsoft Sentinelhez

REST API-integráció adatösszekötőkhöz

Számos biztonsági megoldás biztosít API-k készletét a naplófájlok és egyéb biztonsági adatok lekéréséhez a termékükből vagy szolgáltatásukból. Ezek az API-k az alábbi módszerek egyikével csatlakoznak a Microsoft Sentinelhez:

• Az adatforrás API-k a Kód nélküli összekötő platformmal vannak konfigurálva.
• Az adatösszekötő az Azure Monitorhoz készült Log Ingestion API-t használja egy Azure-függvény vagy logikai alkalmazás részeként.

Az Azure Functions-hez való csatlakozással kapcsolatos további információkért tekintse meg az alábbi cikkeket:

• Adatforrás csatlakoztatása a Microsoft Sentinelhez az Azure Functions használatával
• Azure Functions – dokumentáció
• Az Azure Functions árképzése

A Logic Appshez való csatlakozásról további információt a Csatlakozás a Logic Apps szolgáltatással című témakörben talál.

Ügynökalapú integráció adatösszekötőkhöz

A Microsoft Sentinel az Azure Monitor szolgáltatás által biztosított ügynökökkel (amelyeken a Microsoft Sentinel alapul) adatokat gyűjthet minden olyan adatforrásból, amely képes valós idejű naplóstreamelésre. A legtöbb helyszíni adatforrás például ügynökalapú integrációval csatlakozik.

A következő szakaszok a Microsoft Sentinel-ügynökalapú adatösszekötők különböző típusait ismertetik. Ha ügynökalapú mechanizmusokkal szeretné konfigurálni a kapcsolatokat, kövesse az egyes Microsoft Sentinel adatösszekötők oldalán található lépéseket.

Syslog és Common Event Format (CEF)

A Linux-alapú, Syslog-támogató eszközökről az Azure Monitor Agent (AMA) használatával streamelheti az eseményeket a Microsoft Sentinelbe. A naplóformátumok eltérőek, de számos forrás támogatja a CEF-alapú formázást. Az eszköz típusától függően az ügynök közvetlenül az eszközön vagy egy dedikált Linux-alapú naplótovábbítón van telepítve. Az AMA egyszerű Syslog- vagy CEF-eseményüzeneteket fogad a Syslog démontól UDP-n keresztül. A Syslog démon belsőleg továbbítja az eseményeket az ügynöknek, a verziótól függően TCP-n vagy UDS-n (Unix Domain Sockets) keresztül kommunikálva. Az AMA ezután továbbítja ezeket az eseményeket a Microsoft Sentinel-munkaterületnek.

Az alábbi egyszerű folyamat bemutatja, hogyan streameli a Microsoft Sentinel a Syslog-adatokat.

1. Az eszköz beépített Syslog-démonja összegyűjti a megadott típusú helyi eseményeket, és helyileg továbbítja az eseményeket az ügynöknek.
2. Az ügynök streameli az eseményeket a Log Analytics-munkaterületre.
3. A sikeres konfigurálás után a Syslog-üzenetek megjelennek a Log Analytics Syslog táblában, a CEF-üzenetek pedig a CommonSecurityLog táblában.

További információ: Syslog and Common Event Format (CEF) a Microsoft Sentinel AMA-összekötőivel.

Egyéni naplók

Egyes adatforrások esetében a Log Analytics egyéni naplógyűjtő ügynökével fájlként gyűjthet naplókat Windows vagy Linux rendszerű számítógépeken.

Ha a Log Analytics egyéni naplógyűjtő ügynökével szeretne csatlakozni, kövesse az egyes Microsoft Sentinel-adatösszekötők oldalán található lépéseket. A sikeres konfigurálás után az adatok egyéni táblákban jelennek meg.

További információ: Egyéni naplók az AMA-adatösszekötőn keresztül – Adatbetöltés konfigurálása a Microsoft Sentinelbe adott alkalmazásokból.

Szolgáltatásközi integráció adatösszekötőkhöz

A Microsoft Sentinel az Azure-alaprendszert használja az Microsoft-szolgáltatások és az Amazon Web Services szolgáltatáson kívüli támogatásának biztosítására.

További információért tekintse át az alábbi cikkeket:

• A Microsoft Sentinel csatlakoztatása az Azure-, a Windows-, a Microsoft- és az Amazon-szolgáltatásokhoz
• A Microsoft Sentinel-adatösszekötő megkeresése

Adatösszekötő támogatása

A Microsoft és más szervezetek is Microsoft Sentinel-adatösszekötőket használnak. Minden adatösszekötő az alábbi támogatási típusok egyikével rendelkezik a Microsoft Sentinel adatösszekötő oldalán.

Támogatási típus	Leírás
Microsoft által támogatott	Hatókör: Adatösszekötők olyan adatforrásokhoz, ahol a Microsoft az adatszolgáltató és a szerző. Néhány Microsoft által készített adatösszekötő nem Microsoft-adatforrásokhoz. A Microsoft a Microsoft Azure támogatási csomagjainak megfelelően támogatja és tartja karban az adatösszekötőket ebben a kategóriában. A partnerek vagy a Közösség a Microsofton kívül más felek által létrehozott adatösszekötőket támogatják.
Partner által támogatott	A Microsofttól eltérő felek által létrehozott adatösszekötőkre vonatkozik. A partnervállalat támogatást vagy karbantartást biztosít ezekhez az adatösszekötőkhöz. A partnervállalat lehet független szoftverszállító, felügyelt szolgáltató (MSP/MSSP), rendszer integrátor (SI), vagy bármely olyan szervezet, amelynek kapcsolattartási adatait az adatösszekötő Microsoft Sentinel oldalán találja. Partner által támogatott adatösszekötővel kapcsolatos problémák esetén forduljon a megadott adatösszekötő támogatási kapcsolattartóhoz.
Közösség által támogatott	A Microsoft vagy a partnerfejlesztők által létrehozott adatösszekötőkre vonatkozik, amelyek nem rendelkeznek az adatösszekötők támogatásával és karbantartásával kapcsolatos listázott partnerekkel a Microsoft Sentinel adatösszekötő oldalán. Az adatösszekötőkkel kapcsolatos kérdésekért vagy problémákért a Microsoft Sentinel GitHub-közösségben is elküldheti a problémát.

További információ: Az adatösszekötő támogatásának megkeresése.

Következő lépések

Az adatösszekötőkkel kapcsolatos további információkért tekintse meg az alábbi cikkeket.

• Adatforrások csatlakoztatása a Microsoft Sentinelhez adatösszekötők használatával
• A Microsoft Sentinel-adatösszekötő megkeresése
• Erőforrások egyéni Microsoft Sentinel-összekötők létrehozásához

Az adatösszekötők Microsoft Sentinelben való üzembe helyezéséhez a Bicep, az Azure Resource Manager és a Terraform alapszintű IaC-referenciáját a Microsoft Sentinel adatösszekötő IaC-referenciajában talál.