A Microsoft Sentinel csatlakoztatása más Microsoft-szolgáltatások API-alapú adatösszekötővel
Ez a cikk azt ismerteti, hogyan hozhat létre API-alapú kapcsolatokat a Microsoft Sentinelnel. A Microsoft Sentinel az Azure foundation használatával nyújt beépített, szolgáltatásról szolgáltatásra irányuló támogatást számos Azure- és Microsoft 365-szolgáltatás, Amazon Web Services és különböző Windows Server-szolgáltatások adatbetöltéséhez. Ezek a kapcsolatok többféleképpen is létre lettek hozva.
Ez a cikk az API-alapú adatösszekötők csoportjára jellemző információkat ismerteti.
Feljegyzés
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
Előfeltételek
Olvasási és írási engedélyekkel kell rendelkeznie a Log Analytics-munkaterületen.
Biztonsági rendszergazdai szerepkörrel kell rendelkeznie a Microsoft Sentinel-munkaterület bérlőjén, vagy azzal egyenértékű engedélyekkel.
Adatösszekötőkre vonatkozó követelmények:
Adatösszekötő Licencelés, költségek és egyéb előfeltételek Microsoft Entra ID Protection - Microsoft Entra ID P2-előfizetés
- Egyéb díjak is alkalmazhatókDynamics 365 - A Microsoft Dynamics 365 éles licencét. Tesztkörnyezetekhez nem érhető el.
– Legalább egy felhasználó microsoftos/Office 365 E1-licenccel rendelkezik .
– A Naplózás engedélyezve van a Microsoft Purview-ban. Lásd: Naplózás be- és kikapcsolása.
– A naplózás engedélyezve van a Microsoft Dataverse-környezetben. Lásd a Microsoft Dataverse és a modellalapú alkalmazások tevékenységnaplózását.
- Egyéb díjak is alkalmazhatók.Microsoft Defender for Cloud Apps Cloud Discovery-naplók esetén engedélyezze a Microsoft SentinelT SIEM-ként az Felhőhöz készült Microsoft Defender Appsben Microsoft Defender végponthoz Érvényes licenc Végponthoz készült Microsoft Defender központi telepítéshez Microsoft Defender for Office 365 Érvényes licenc az Office 365 ATP 2. csomaghoz Microsoft Office 365 – Az Office 365-példánynak ugyanazon a bérlőn kell lennie, mint a Microsoft Sentinel-munkaterület.
- Egyéb díjak is alkalmazhatók.Microsoft Power BI – Az Office 365-példánynak ugyanazon a bérlőn kell lennie, mint a Microsoft Sentinel-munkaterület.
- Egyéb díjak is alkalmazhatók.Microsoft Purview Információvédelem – Az Office 365-példánynak ugyanazon a bérlőn kell lennie, mint a Microsoft Sentinel-munkaterület.
- Egyéb díjak is alkalmazhatók.Microsoft Purview belső kockázatkezelés (IRM) – Érvényes előfizetés a Microsoft 365 E5/A5/G5-höz, illetve a hozzájuk tartozó megfelelőségi vagy IRM-bővítményekhez.
- Microsoft Purview belső kockázatkezelés teljes körűen előkészített, valamint az IRM-szabályzatok definiálása és riasztások létrehozása.
- A Microsoft 365 IRM úgy van konfigurálva, hogy engedélyezze az IRM-riasztások exportálását az Office 365 Felügyeleti tevékenység API-ba, hogy a riasztásokat a Microsoft Sentinel-összekötőn keresztül fogadhassa.
Utasítások
A Microsoft Sentinel navigációs menüjében válassza az Adatösszekötők lehetőséget.
Válassza ki a szolgáltatást az adatösszekötők gyűjteményéből, majd válassza az Összekötő lap megnyitása lehetőséget az előnézeti panelen.
Válassza a Csatlakozás lehetőséget az események és/vagy riasztások szolgáltatásból a Microsoft Sentinelbe való indításához.
Ha az összekötő oldalán található egy incidensek létrehozása – ajánlott! szakasz, válassza az Engedélyezés lehetőséget, ha automatikusan szeretne incidenseket létrehozni a riasztásokból.
Az egyes szolgáltatások adatait az Adatösszekötők referenciaoldalán, a szolgáltatás összekötőjének szakaszában megjelenő táblanevekkel keresheti meg és kérdezheti le.
Következő lépések
További információk: