Microsoft Sentinel-adatösszekötők

Miután előkészítette a Microsoft Sentinelt a munkaterületre, adatösszekötőkkel megkezdheti az adatok betöltését a Microsoft Sentinelbe. A Microsoft Sentinel számos beépített összekötővel rendelkezik a Microsoft-szolgáltatások számára, amelyek valós időben integrálhatók. A Microsoft 365 Defender-összekötő például egy szolgáltatásközi összekötő, amely integrálja az Office 365, a Microsoft Entra ID, a Microsoft Defender for Identity és a Felhőhöz készült Microsoft Defender Apps adatait.

A beépített összekötők lehetővé teszik a kapcsolatot a szélesebb körű biztonsági ökoszisztémával a nem Microsoft-termékek esetében. Például a Syslog, a Common Event Format (CEF) vagy a REST API-k használatával csatlakoztassa az adatforrásokat a Microsoft Sentinelhez.

Megismerheti a Microsoft Sentinel adatösszekötők típusait, vagy megismerheti a Microsoft Sentinel-megoldások katalógusát.

A Microsoft Sentinel Adatösszekötők lapon az összekötők teljes listája és a munkaterület állapota látható. Hamarosan ez a lap csak a használatban lévő adatösszekötők listáját jeleníti meg. A közelgő módosítással kapcsolatos további információkért lásd a tartalom központosításának változásait

További adatösszekötők hozzáadásához telepítse az adatösszekötőhöz társított megoldást a Content Hubról. For more information, see the following articles:

• Find your Microsoft Sentinel data connector
• A Microsoft Sentinel beépített tartalmainak felderítése és kezelése
• Microsoft Sentinel tartalomközpont-katalógus

Megjegyzés:

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Adatösszekötő engedélyezése

Az Adatösszekötők lapon válassza ki a csatlakoztatni kívánt aktív vagy egyéni összekötőt, majd válassza az Összekötő megnyitása lapot. Ha nem látja a kívánt adatösszekötőt, telepítse a hozzá társított megoldást a Content Hubról.

• Miután teljesítette az Utasítások lapon felsorolt összes előfeltételt, az összekötő oldalán megtudhatja, hogyan lehet adatokat betölteni a Microsoft Sentinelbe. Az adatok érkezése eltarthat egy ideig.

• A csatlakozás után megjelenik az adatok összegzése a kapott adatok grafikonon, valamint az adattípusok kapcsolati állapota.

  

Az adatösszekötők referenciájában megismerheti az adott adatösszekötőt.

REST API-integráció adatösszekötőkhöz

Számos biztonsági technológia api-kat biztosít a naplófájlok lekéréséhez, és egyes adatforrások ezen API-k használatával csatlakozhatnak a Microsoft Sentinelhez.

Az API-kat használó adatösszekötők szolgáltatói oldalról integrálhatók, vagy az Azure Functions használatával integrálhatók az alábbi szakaszokban leírtak szerint.

További információ az adatösszekötőkről az adatösszekötők referenciájában.

REST API-integráció a szolgáltatói oldalon

A szolgáltató által létrehozott API-integráció csatlakozik a szolgáltató adatforrásaihoz, és adatokat küld a Microsoft Sentinel egyéni naplótábláiba az Azure Monitor Data Collector API használatával.

A REST API-integráció megismeréséhez olvassa el a szolgáltató dokumentációját, és Csatlakozás az adatforrást a Microsoft Sentinel REST-API-jára az adatok betöltéséhez.

REST API-integráció az Azure Functions használatával

Azok az integrációk, amelyek az Azure Functions használatával csatlakoznak egy szolgáltatói API-hoz, először formázza az adatokat, majd elküldi őket a Microsoft Sentinel egyéni naplótábláinak az Azure Monitor Data Collector API használatával. Megtudhatja, hogyan csatlakoztathatja adatforrását a Microsoft Sentinelhez az Azure Functions használatával.

Fontos

Az Azure Functionst használó integrációk további adatbetöltési költségekkel járhatnak, mivel az Azure Functionst az Azure-bérlőn üzemelteti. További információ az Azure Functions díjszabásáról.

Ügynökalapú integráció adatösszekötőkhöz

A Microsoft Sentinel a Syslog protokoll használatával csatlakoztathat egy ügynököt minden olyan adatforráshoz, amely képes valós idejű naplóstreamelésre. A legtöbb helyszíni adatforrás például ügynökalapú integrációval csatlakozik.

A következő szakaszok a Microsoft Sentinel-ügynökalapú adatösszekötők különböző típusait ismertetik. Kövesse az egyes Microsoft Sentinel adatösszekötők oldalán található lépéseket a kapcsolatok ügynökalapú mechanizmusok használatával történő konfigurálásához.

Megtudhatja, hogy mely tűzfalak, proxyk és végpontok csatlakoznak a Microsoft Sentinelhez a CEF vagy a Syslog használatával az adatösszekötők referenciájában.

Rendszernapló

Linux-alapú, Syslog-támogató eszközökről streamelhet eseményeket a Microsoft Sentinelbe az Azure Monitor Agent (AMA) használatával. Az eszköz típusától függően az ügynök közvetlenül az eszközön vagy egy dedikált Linux-alapú naplótovábbítón van telepítve. Az AMA az UDP-en keresztül fogadja a Syslog démon eseményeit. A Syslog démon belsőleg továbbítja az eseményeket az ügynöknek, és az UDS (Unix Domain Sockets) használatával kommunikál. Az AMA ezután továbbítja ezeket az eseményeket a Microsoft Sentinel-munkaterületnek.

Íme egy egyszerű folyamat, amely bemutatja, hogyan streameli a Microsoft Sentinel a Syslog-adatokat.

1. Az eszköz beépített Syslog-démonja összegyűjti a megadott típusú helyi eseményeket, és helyileg továbbítja az eseményeket az ügynöknek.
2. Az ügynök streameli az eseményeket a Log Analytics-munkaterületre.
3. A sikeres konfigurálás után az adatok megjelennek a Log Analytics Syslog táblában.

Common Event Format (CEF)

A naplóformátumok eltérőek, de számos forrás támogatja a CEF-alapú formázást. A Microsoft Sentinel-ügynök, amely valójában a Log Analytics-ügynök, cef formátumú naplókat alakít át olyan formátumba, amelyet a Log Analytics betölthet.

A CEF-ben adatokat kibocsátó adatforrások esetében állítsa be a Syslog-ügynököt, majd konfigurálja a CEF-adatfolyamot. A sikeres konfigurálás után az adatok megjelennek a CommonSecurityLog táblában.

Megtudhatja, hogyan csatlakoztathat CEF-alapú berendezéseket a Microsoft Sentinelhez.

Egyéni naplók

Egyes adatforrások esetében a Log Analytics egyéni naplógyűjtő ügynökével fájlként gyűjthet naplókat Windows vagy Linux rendszerű számítógépeken.

Kövesse az egyes Microsoft Sentinel-adatösszekötők oldalán található lépéseket a Log Analytics egyéni naplógyűjtő ügynökével való csatlakozáshoz. A sikeres konfigurálás után az adatok egyéni táblákban jelennek meg.

Megtudhatja, hogyan gyűjthet adatokat egyéni naplóformátumokban a Microsoft Sentinelnek a Log Analytics-ügynökkel.

Szolgáltatásközi integráció adatösszekötőkhöz

A Microsoft Sentinel az Azure-alaprendszert használja a Microsoft-szolgáltatások és az Amazon Web Services szolgáltatáson kívüli támogatásának biztosítására.

Megtudhatja, hogyan csatlakozhat az Azure-, a Windows-, a Microsoft- és az Amazon-szolgáltatásokhoz, vagy megismerheti az adatösszekötők referenciájában szereplő adatösszekötő-típusokat.

Adatösszekötők üzembe helyezése megoldás részeként

A Microsoft Sentinel-megoldások biztonsági tartalomcsomagokat biztosítanak, beleértve az adatösszekötőket, munkafüzeteket, elemzési szabályokat, forgatókönyveket és egyebeket. Amikor egy megoldást egy adatösszekötővel helyez üzembe, az adatösszekötőt a kapcsolódó tartalommal együtt kapja meg ugyanabban az üzembe helyezésben.

Megtudhatja, hogyan derítheti fel és helyezheti üzembe központilag a Microsoft Sentinel beépített tartalmát és megoldásait , vagy megismerkedhet a Microsoft Sentinel-megoldáskatalógusával.

Adatösszekötő támogatása

A Microsoft és más szervezetek is Microsoft Sentinel-adatösszekötőket használnak. Minden adatösszekötő az alábbi támogatási típusok egyikével rendelkezik:

Támogatási típus	Leírás
Microsoft által támogatott	Hatókör: Adatösszekötők olyan adatforrásokhoz, ahol a Microsoft az adatszolgáltató és a szerző. Néhány Microsoft által készített adatösszekötő nem Microsoft-adatforrásokhoz. A Microsoft a Microsoft Azure támogatási csomagjainak megfelelően támogatja és tartja karban az adatösszekötőket ebben a kategóriában. A partnerek vagy a közösség olyan adatösszekötőket támogatnak, amelyeket a Microsofton kívül más felek is szerkesztettek.
Partner által támogatott	A Microsofttól eltérő felek által létrehozott adatösszekötőkre vonatkozik. A partnervállalat támogatást vagy karbantartást biztosít ezekhez az adatösszekötőkhöz. A partnervállalat lehet független szoftverszállító, felügyelt szolgáltató (MSP/MSSP), rendszer integrátor (SI), vagy bármely olyan szervezet, amelynek kapcsolattartási adatait az adatösszekötő Microsoft Sentinel oldalán találja. Partner által támogatott adatösszekötővel kapcsolatos problémák esetén forduljon a megadott adatösszekötő támogatási kapcsolattartóhoz.
Közösség által támogatott	A Microsoft vagy a partnerfejlesztők által létrehozott adatösszekötőkre vonatkozik, amelyek nem rendelkeznek az adatösszekötők támogatásával és karbantartásával kapcsolatos listán szereplő partnerekkel a Microsoft Sentinel megadott adatösszekötő oldalán. Az adatösszekötőkkel kapcsolatos kérdésekért vagy problémákért a Microsoft Sentinel GitHub-közösségben is elküldheti a problémát.

Az adatösszekötő támogatási kapcsolattartójának megkeresése

1. A Microsoft Sentinel Adatösszekötők lapon válassza ki a megfelelő összekötőt.
2. Az összekötő támogatásának és karbantartásának eléréséhez használja a támogatási kapcsolattartó hivatkozását a csatlakozó oldalpaneljének Támogatottak mezője alatt .

Következő lépések

• A Microsoft Sentinel használatának megkezdéséhez a Microsoft Azure-előfizetésre van szüksége. Ha nem rendelkezik előfizetéssel, regisztrálhat egy ingyenes próbaverzióra.
• Megtudhatja, hogyan hozhatja be az adatokat a Microsoft Sentinelbe , és hogyan ismerheti meg adatait és potenciális fenyegetéseit.
• Az egyéni adatösszekötőkről további információt a Microsoft Sentinel egyéni összekötők létrehozására szolgáló erőforrások című témakörben talál.
• Az adatösszekötők Microsoft Sentinelben való üzembe helyezéséhez a Bicep, AZ ARM és a Terraform alapszintű IaC-referenciáját lásd : Microsoft Sentinel adatösszekötő IaC-referencia.