Konektor data Microsoft Azure Sentinel
Setelah Anda memasukkan Microsoft Azure Sentinel ke ruang kerja Anda, gunakan konektor data untuk mulai menyerap data Anda ke Microsoft Azure Sentinel. Microsoft Sentinel hadir dengan banyak konektor out of the box untuk layanan Microsoft, yang terintegrasi secara real time. Misalnya, konektor Microsoft Defender XDR adalah konektor layanan-ke-layanan yang mengintegrasikan data dari Office 365, ID Microsoft Entra, Microsoft Defender untuk Identitas, dan aplikasi Microsoft Defender untuk Cloud.
Konektor bawaan memungkinkan koneksi ke ekosistem keamanan yang lebih luas untuk produk non-Microsoft. Misalnya, gunakan Syslog, Common Event Format (CEF), atau REST API untuk menyambungkan sumber data Anda dengan Microsoft Sentinel.
Catatan
Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.
Penting
Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Konektor data disediakan dengan solusi
Solusi Microsoft Azure Sentinel menyediakan konten keamanan paket, termasuk konektor data, buku kerja, aturan analitik, playbook, dan banyak lagi. Saat menyebarkan solusi dengan konektor data, Anda akan mendapatkan konektor data bersama dengan konten terkait dalam penyebaran yang sama.
Halaman konektor Data Microsoft Sentinel mencantumkan konektor data yang diinstal atau sedang digunakan.
Untuk menambahkan lebih banyak konektor data, instal solusi yang terkait dengan konektor data dari Hub Konten. Untuk informasi lebih lanjut, baca artikel berikut:
- Menemukan konektor data Microsoft Sentinel Anda
- Tentang konten dan solusi Microsoft Azure Sentinel
- Menemukan dan mengelola konten out-of-the-box Microsoft Azure Sentinel
- Katalog hub konten Microsoft Azure Sentinel
- Solusi domain berbasis Model Informasi Keamanan Tingkat Lanjut (ASIM) untuk Microsoft Azure Sentinel
Integrasi REST API untuk konektor data
Banyak solusi keamanan menyediakan sekumpulan API untuk mengambil file log dan data keamanan lainnya dari produk atau layanan mereka. API tersebut terhubung ke Microsoft Azure Sentinel dengan salah satu metode berikut:
- API sumber data dikonfigurasi dengan Platform Konektor Tanpa Kode.
- Konektor data menggunakan API Penyerapan Log untuk Azure Monitor sebagai bagian dari Azure Function atau Logic App.
Untuk informasi selengkapnya tentang menyambungkan dengan Azure Functions, lihat artikel berikut ini:
- Menggunakan Azure Functions untuk menyambungkan sumber data Anda ke Microsoft Azure Sentinel
- Dokumentasi Azure Functions
- Harga Azure Functions
Untuk informasi selengkapnya tentang menyambungkan dengan Logic Apps, lihat Menyambungkan dengan Logic Apps.
Integrasi berbasis agen untuk konektor data
Microsoft Azure Sentinel dapat menggunakan agen yang disediakan oleh layanan Azure Monitor (di mana Microsoft Sentinel berbasis) untuk mengumpulkan data dari sumber data apa pun yang dapat melakukan streaming log real time. Misalnya, sebagian besar sumber data lokal terhubung dengan menggunakan integrasi berbasis agen.
Bagian berikut menjelaskan berbagai jenis konektor data berbasis agen Microsoft Azure Sentinel. Untuk mengonfigurasi koneksi menggunakan mekanisme berbasis agen, ikuti langkah-langkah di setiap halaman konektor data Microsoft Azure Sentinel.
Syslog dan Common Event Format (CEF)
Anda dapat mengalirkan peristiwa dari perangkat yang mendukung Syslog berbasis Linux ke Microsoft Azure Sentinel dengan menggunakan Azure Monitor Agent (AMA). Format log bervariasi, tetapi banyak sumber mendukung pemformatan berbasis CEF. Tergantung pada jenis perangkat, agen dapat diinstal secara langsung pada perangkat atau pada penerus log berbasis Linux khusus. AMA menerima pesan peristiwa Syslog atau CEF biasa dari daemon Syslog melalui UDP. Daemon Syslog meneruskan peristiwa ke agen secara internal, berkomunikasi melalui TCP atau UDS (Soket Domain Unix), tergantung pada versinya. AMA kemudian mengirimkan peristiwa ini ke ruang kerja Microsoft Azure Sentinel.
Berikut adalah alur sederhana yang menunjukkan bagaimana Microsoft Sentinel mengalirkan data Syslog.
- Daemon Syslog bawaan perangkat mengumpulkan peristiwa lokal dari jenis yang ditentukan, dan meneruskannya secara lokal ke agen.
- Agen mengalirkan peristiwa ke ruang kerja Analitik Log Anda.
- Setelah konfigurasi berhasil, pesan Syslog muncul di tabel Log Analytics Syslog , dan pesan CEF di tabel CommonSecurityLog .
Untuk informasi selengkapnya, lihat Syslog dan Common Event Format (CEF) melalui konektor AMA untuk Microsoft Sentinel.
Log kustom
Untuk beberapa sumber data, Anda dapat mengumpulkan log sebagai file di komputer Windows atau Linux menggunakan agen pengumpulan log kustom Analitik Log.
Untuk menyambungkan menggunakan agen pengumpulan log kustom Analitik Log, ikuti langkah-langkah di setiap halaman konektor data Microsoft Azure Sentinel. Setelah konfigurasi berhasil, data akan muncul di tabel kustom.
Untuk informasi selengkapnya, lihat Log Kustom melalui konektor data AMA - Mengonfigurasi penyerapan data ke Microsoft Azure Sentinel dari aplikasi tertentu.
Integrasi layanan ke layanan untuk konektor data
Microsoft Sentinel menggunakan fondasi Azure untuk menyediakan dukungan layanan ke layanan di luar kotak untuk layanan Microsoft dan Amazon Web Services.
Untuk informasi lebih lanjut, baca artikel berikut:
- Menyambungkan Microsoft Azure Sentinel ke layanan Azure, Windows, Microsoft, dan Amazon
- Menemukan konektor data Microsoft Sentinel Anda
Dukungan konektor data
Baik Microsoft dan organisasi lainnya membuat konektor data Microsoft Azure Sentinel. Setiap konektor data memiliki salah satu jenis dukungan berikut yang tercantum di halaman konektor data di Microsoft Azure Sentinel.
| Jenis dukungan | Deskripsi |
|---|---|
| Microsoft-supported | Berlaku untuk:
Mitra atau komunitas mendukung konektor data yang ditulis oleh pihak mana pun selain Microsoft. |
| Dukungan mitra | Berlaku untuk konektor data yang dibuat oleh pihak selain Microsoft. Perusahaan mitra memberikan dukungan atau pemeliharaan untuk konektor data tersebut. Perusahaan mitra dapat menjadi Vendor Perangkat Lunak Independen, Penyedia Layanan Terkelola (MSP/MSSP), Integrator Sistem (SI), atau organisasi apa pun yang informasi kontaknya disediakan di halaman Microsoft Azure Sentinel untuk konektor data tersebut. Untuk masalah apa pun dengan konektor data yang didukung partner, hubungi kontak dukungan konektor data yang ditentukan. |
| Dukungan komunitas | Berlaku untuk konektor data yang ditulis oleh Microsoft atau pengembang mitra yang tidak memiliki kontak yang tercantum untuk dukungan dan pemeliharaan konektor data di halaman konektor data di Microsoft Azure Sentinel. Untuk pertanyaan atau masalah pada konektor data tersebut, Anda dapat mengajukan masalah di komunitas GitHub Microsoft Azure Sentinel. |
Untuk informasi selengkapnya, lihat Menemukan dukungan untuk konektor data.
Langkah berikutnya
Untuk informasi selengkapnya tentang konektor data, lihat artikel berikut ini.
- Menyambungkan sumber data Anda ke Microsoft Azure Sentinel dengan menggunakan konektor data
- Menemukan konektor data Microsoft Sentinel Anda
- Sumber daya untuk membuat konektor kustom Microsoft Sentinel
Untuk referensi Infrastruktur sebagai Kode (IaC) dasar Bicep, Azure Resource Manager, dan Terraform untuk menyebarkan konektor data di Microsoft Azure Sentinel, lihat Referensi IaC konektor data Microsoft Sentinel.