Menemukan konektor data Microsoft Azure Sentinel Anda

Artikel ini menjelaskan cara menggunakan konektor data di Microsoft Azure Sentinel, mencantumkan semua konektor data siap pakai yang didukung, bersama dengan tautan ke prosedur penyebaran umum, dan langkah tambahan yang diperlukan untuk konektor tertentu.

Beberapa konektor data hanya digunakan melalui solusi. Untuk informasi selengkapnya, lihat Menemukan dan menyebarkan konten dan solusi siap pakai Microsoft Sentinel. Anda juga dapat menemukan konektor data lain yang dibangun oleh komunitas di repositori GitHub Microsoft Azure Sentinel.

Cara menggunakan panduan ini

  1. Pertama-tama, cari dan pilih konektor untuk produk, layanan, atau perangkat Anda di menu judul di sebelah kanan.

    Bagian pertama dari informasi yang akan Anda lihat untuk setiap konektor adalah metode penyerapan datanya. Metode yang muncul akan berupa tautan ke salah satu prosedur penyebaran umum berikut, yang berisi sebagian besar informasi yang Anda perlukan untuk menyambungkan sumber data Anda ke Microsoft Azure Sentinel:

    Metode penyerapan data Artikel tertaut beserta instruksi
    Integrasi layanan ke layanan Azure Menyambungkan ke layanan Azure, Windows, Microsoft, dan Amazon
    Format Peristiwa Umum (CEF) melalui Syslog Dapatkan log yang berformat CEF dari perangkat atau alat Anda ke Microsoft Azure Sentinel
    API Azure Sentinel Data Collector API Koneksi sumber data Anda ke API Pengumpul Data Microsoft Azure Sentinel untuk menyerap data
    Azure Functions dan REST API Gunakan Azure Functions untuk menyambungkan Microsoft Azure Sentinel ke sumber data Anda
    Syslog Mengumpulkan data dari sumber berbasis Linux menggunakan Syslog
    Log kustom Mengumpulkan data dalam format log kustom ke Microsoft Azure Sentinel dengan agen Analitik Log

    Catatan

    Metode penyerapan data integrasi layanan-ke-layanan Azure tertaut ke tiga bagian yang berbeda dari artikelnya, tergantung pada jenis konektornya. Setiap bagian konektor di bawah ini menentukan bagian dalam artikel tertaut.

  2. Saat menyebarkan konektor tertentu, pilih artikel yang sesuai yang ditautkan ke metode penyerapan data, dan gunakan informasi dan panduan tambahan di bagian yang relevan di bawah ini untuk melengkapi informasi dalam artikel tersebut.

Tip

  • Banyak konektor data juga dapat digunakan sebagai bagian dari solusi Microsoft Azure Sentinel, bersama dengan aturan analitik terkait, buku kerja, dan buku playbook. Untuk informasi selengkapnya, lihat Katalog solusi Microsoft Azure Sentinel.

  • Ada lebih banyak konektor data yang disediakan oleh komunitas Microsoft Azure Sentinel dan dapat ditemukan di Azure Marketplace. Dokumentasi untuk konektor data komunitas adalah tanggung jawab organisasi yang membuat konektor.

  • Jika Anda memiliki sumber data yang tidak terdaftar atau saat ini belum didukung, Anda juga dapat membuat konektor kustom Anda sendiri. Untuk informasi selengkapnya, lihat Sumber Daya untuk membuat konektor kustom Microsoft Azure Sentinel.

Penting

Konektor data Microsoft Azure Sentinel yang tercatat saat ini sedang dalam Pratinjau. Ketentuan Tambahan Pratinjau Azure mencakup persyaratan hukum tambahan yang berlaku untuk fitur Azure yang masih dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Prasyarat konektor data

Setiap konektor data akan memiliki kumpulan prasyaratnya sendiri, seperti izin yang diperlukan di ruang kerja, langganan, atau kebijakan Azure Anda, dan seterusnya, atau persyaratan lain untuk sumber data mitra yang Anda sambungkan.

Prasyarat untuk setiap konektor data tercantum pada halaman konektor data yang relevan di Microsoft Sentinel, pada tab Petunjuk.

Agari Phishing Pertahanan dan Perlindungan Merek (Pratinjau)

Atribut konektor Deskripsi
Metode penyerapan data Azure Functions dan REST API

Sebelum penyebaran: Aktifkan Security Graph API (Opsional).
Setelah penyebaran: Tetapkan izin yang diperlukan ke Aplikasi Fungsi
Tabel Log Analytics agari_bpalerts_log_CL
agari_apdtc_log_CL
agari_apdpolicy_log_CL
Dukungan DCR Saat ini tidak didukung
Kode Azure Function App https://aka.ms/Sentinel-agari-functionapp
Kredensial API
  • ID Klien
  • Rahasia Klien
  • (Opsional: ID Penyewa Graph, ID Klien Graph, Rahasia Klien Graph)
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Mulai Cepat
  • Situs Developer Agari
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Pengaturan aplikasi
  • clientId
  • clientSecret
  • #workspaceid
  • workspaceKey
  • enableBrandProtectionAPI (true/false)
  • enablePhishingResponseAPI (true/false)
  • enablePhishingDefenseAPI (true/false)
  • resGroup (masukkan Grup sumber daya)
  • functionName
  • subId (masukkan ID Langganan)
  • enableSecurityGraphSharing (true/false; lihat di bawah)
    Diperlukan jika enableSecurityGraphSharing diatur ke true (lihat di bawah):
  • GraphTenantId
  • GraphClientId
  • GraphClientSecret
  • logAnalyticsUri (opsional)
  • Didukung oleh Agari

    Aktifkan Security Graph API (Opsional)

    Penting

    Jika Anda melakukan langkah ini, lakukan sebelum Anda menyebarkan konektor data.

    Aplikasi Fungsi Agari memungkinkan Anda berbagi inteligensi ancaman dengan Microsoft Azure Sentinel melalui Security Graph API. Untuk menggunakan fitur ini, Anda harus mengaktifkan konektor Sentinel Threat Intelligence Platforms dan juga mendaftarkan aplikasi di Azure Active Directory.

    Proses ini akan memberi Anda tiga informasi untuk digunakan saat menyebarkan Aplikasi Fungsi: ID penyewa Graph, ID klien Graph, dan Rahasia klien Graph (lihat Setelan aplikasi pada tabel di atas).

    Tetapkan izin yang diperlukan untuk Aplikasi Fungsi Anda

    Konektor Agari menggunakan variabel lingkungan untuk menyimpan tanda waktu akses log. Agar aplikasi menulis ke variabel ini, tetapkan izin ke sistem yang ditetapkan identitasnya.

    1. Di portal Microsoft Azure, navigasi ke Aplikasi Fungsi.
    2. Di halaman Aplikasi Fungsi, pilih Aplikasi Fungsi Anda dari daftar, lalu pilih Identitas di bawah Pengaturan di menu navigasi Aplikasi Fungsi.
    3. Pada tab Sistem yang ditetapkan, atur Status ke Aktif.
    4. Pilih Simpan, dan tombol penetapan peran Azure akan muncul. Pilihlah.
    5. Di layar penetapan peran Azure, pilih Tambahkan penetapan peran. Atur Cakupan ke Langganan, pilih langganan Anda dari daftar drop-down Langganan, dan atur Peran ke Pemilik Data Konfigurasi Aplikasi.
    6. Pilih Simpan.

    Analis AI (AIA) oleh Darktrace (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog

    Mengonfigurasi penerusan log CEF untuk Analis AI
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Darktrace

    Mengonfigurasi penerusan log CEF untuk Analis AI

    Konfigurasikan Darktrace untuk meneruskan pesan Syslog dalam format CEF ke ruang kerja Azure Anda melalui agen Log Analytics.

    1. Di dalam Darktrace Threat Visualizer, buka halaman Konfigurasi Sistem di menu utama di bagian Admin.
    2. Dari menu sebelah kiri, pilih Modul dan pilih Microsoft Azure Sentinel dari Integrasi Alur Kerja yang tersedia.
    3. Jendela konfigurasi akan terbuka. Temukan Microsoft Azure Sentinel Syslog CEF dan pilih Baru untuk membuka pengaturan konfigurasi, kecuali sudah terbuka.
    4. Di bidang Konfigurasi server, masukkan lokasi penerus log lalu ubah port komunikasi secara opsional. Pastikan bahwa port yang dipilih diatur ke 514 dan diizinkan oleh firewall perantara.
    5. Konfigurasikan ambang pemberitahuan, offset waktu, atau pengaturan tambahan sesuai kebutuhan.
    6. Tinjau opsi konfigurasi tambahan yang mungkin ingin Anda aktifkan yang mengubah sintaks Syslog.
    7. Aktifkan Kirim Peringatan lalu simpan perubahannya.

    Deteksi AI Vectra (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog

    Mengonfigurasi penerusan log CEF untuk AI Vectra Detect
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Vectra AI

    Mengonfigurasi penerusan log CEF untuk AI Vectra Detect

    Konfigurasikan Agen Vectra (Seri X) untuk meneruskan pesan Syslog dalam format CEF ke ruang kerja Microsoft Azure Sentinel melalui agen Analitik Log.

    Dari antarmuka Vectra, navigasikan ke Pengaturan > Pemberitahuan dan pilih Edit konfigurasi Syslog. Ikuti petunjuk di bawah ini untuk menyiapkan koneksi:

    • Tambahkan Tujuan baru (nama host penerus log)
    • Atur Port sebagai 514
    • Atur Protokol sebagai UDP
    • Atur format ke CEF.
    • Atur jenis Log (pilih semua jenis log yang tersedia)
    • Pilih Simpan

    Anda dapat mengeklik tombol Uji untuk memaksa pengiriman beberapa peristiwa pengujian ke penerus log.

    Untuk informasi lebih lanjut, lihat Panduan Syslog Deteksi Cognito, yang dapat diunduh dari halaman sumber daya di antarmuka pengguna Deteksi.

    Peristiwa Keamanan Akamai (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog, dengan pengurai fungsi Kusto
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: AkamaiSIEMEvent
    URL fungsi Kusto: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt
    Dokumentasi vendor/
    petunjuk pemasangan
    Konfigurasikan integrasi Security Information and Event Management (SIEM)
    Menyiapkan konektor CEF.
    Didukung oleh Akamai

    Alcide kAudit

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics alcide_kaudit_activity_1_CL - Log aktivitas alcide kAudit
    alcide_kaudit_detections_1_CL - Deteksi alcide kAudit
    alcide_kaudit_selections_count_1_CL - Jumlah aktivitas kAudit Alcide
    alcide_kaudit_selections_details_1_CL - Detail aktivitas Alcide kAudit
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Panduan penginstalan Alcide kAudit
    Didukung oleh Alcide

    Alsid untuk Direktori Aktif

    Atribut konektor Deskripsi
    Metode penyerapan data Agen Log Analytics - log kustom

    Konfigurasi tambahan untuk Alsid
    Tabel Log Analytics AlsidForADLog_CL
    Dukungan DCR Saat ini tidak didukung
    Alias fungsi Kusto: afad_parser
    URL fungsi Kusto: https://aka.ms/Sentinel-alsidforad-parser
    Didukung oleh Alsid

    Konfigurasi tambahan untuk Alsid

    1. Mengonfigurasi server Syslog

      Anda pertama-tama akan membutuhkan server Syslog linux sebagai tujuan pengirim log oleh Alsid untuk AD. Biasanya Anda dapat menjalankan rsyslog di Ubuntu.

      Anda kemudian dapat mengonfigurasi server ini sesuai keinginan, tetapi sebaiknya setel server tersebut agar dapat menghasilkan log AFAD dalam file terpisah. Atau Anda dapat menggunakan templat Mulai Cepat untuk menyebarkan server Syslog dan agen Microsoft untuk Anda. Jika Anda menggunakan templat, Anda dapat melompati petunjuk penginstalan agen.

    2. Mengonfigurasi Alsid untuk mengirimkan log ke server Syslog

      Di portal Alsid untuk AD Anda, buka Sistem, Konfigurasi, lalu Syslog. Dari sana, Anda dapat membuat pemberitahuan Syslog baru ke server Syslog.

      Setelah Anda membuat pemberitahuan Syslog baru, periksa apakah log dikumpulkan dengan benar di server Anda dalam file terpisah. Misalnya, untuk memeriksa log, Anda dapat menggunakan tombol Uji konfigurasi di konfigurasi pemberitahuan Syslog di AFAD. Jika Anda menggunakan templat Mulai Cepat, server Syslog secara default akan mendengarkan di port 514 di UDP dan 1514 di TCP, tanpa TLS.

    AWS

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Hubungkan Microsoft Sentinel ke Amazon Web Services untuk menyerap data log layanan AWS
    (Artikel konektor teratas)
    Tabel Log Analytics AWSCloudTrail
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Microsoft

    Amazon Web Services S3 (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Hubungkan Microsoft Sentinel ke Amazon Web Services untuk menyerap data log layanan AWS
    (Artikel konektor teratas)
    Tabel Log Analytics AWSCloudTrail
    AWSGuardDuty
    AWSVPCFlow
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Microsoft

    Server HTTP Apache

    Atribut konektor Deskripsi
    Metode penyerapan data Agen Log Analytics - log kustom
    Tabel Log Analytics ApacheHTTPServer_CL
    Dukungan DCR Saat ini tidak didukung
    Alias fungsi Kusto: ApacheHTTPServer
    URL fungsi Kusto: https://aka.ms/Sentinel-apachehttpserver-parser
    File sampel log kustom: access.log atau error.log

    Apache Tomcat

    Atribut konektor Deskripsi
    Metode penyerapan data Agen Log Analytics - log kustom
    Tabel Log Analytics Tomcat_CL
    Dukungan DCR Saat ini tidak didukung
    Alias fungsi Kusto: TomcatEvent
    URL fungsi Kusto: https://aka.ms/Sentinel-ApacheTomcat-parser
    File sampel log kustom: access.log atau error.log

    Aruba ClearPass (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog, dengan pengurai fungsi Kusto
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: ArubaClearPass
    URL fungsi Kusto: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Aruba%20ClearPass/Parsers/ArubaClearPass.txt
    Dokumentasi vendor/
    petunjuk pemasangan
    Ikuti petunjuk Aruba untuk mengonfigurasi ClearPass.
    Didukung oleh Microsoft

    Audit Konluensi Atlassian (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API
    Tabel Log Analytics Confluence_Audit_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://aka.ms/Sentinel-confluenceauditapi-functionapp
    Kredensial API
  • ConfluenceAccessToken
  • ConfluenceUsername
  • ConfluenceHomeSiteName
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Dokumentasi API
  • Persyaratan dan petunjuk mendapatkan kredensial
  • Melihat log audit
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Alias fungsi Kusto ConfluenceAudit
    URL fungsi Kusto/
    Petunjuk konfigurasi pengurai
    https://aka.ms/Sentinel-confluenceauditapi-parser
    Pengaturan aplikasi
  • ConfluenceUsername
  • ConfluenceAccessToken
  • ConfluenceHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    Audit Atlassian Jira (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API
    Tabel Log Analytics Jira_Audit_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://aka.ms/Sentinel-jiraauditapi-functionapp
    Kredensial API
  • JiraAccessToken
  • JiraUsername
  • JiraHomeSiteName
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Dokumentasi API - Rekaman audit
  • Persyaratan dan petunjuk mendapatkan kredensial
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Alias fungsi Kusto JiraAudit
    URL fungsi Kusto/
    Petunjuk konfigurasi pengurai
    https://aka.ms/Sentinel-jiraauditapi-parser
    Pengaturan aplikasi
  • JiraUsername
  • JiraAccessToken
  • JiraHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    Azure Active Directory

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Hubungkan data Azure Active Directory ke Microsoft Sentinel
    (Artikel konektor teratas)
    Prasyarat lisensi/
    Informasi biaya
  • Lisensi Azure Active Directory P1 atau P2 untuk log masuk
  • Semua lisensi Azure Active Directory (Gratis/O365/P1/P2) untuk jenis log lainnya
    Tarif operator mungkin berlaku
  • Tabel Log Analytics SigninLogs
    AuditLogs
    AADNonInteractiveUserSignInLogs
    AADServicePrincipalSignInLogs
    AADManagedIdentitySignInLogs
    AADProvisioningLogs
    ADFSSignInLogs
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Microsoft

    Azure Active Directory Identity Protection

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis API
    Prasyarat lisensi/
    Informasi biaya
    Langganan Azure AD Premium P2
    Tarif operator mungkin berlaku
    Tabel Log Analytics SecurityAlert
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Microsoft

    Azure Activity

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis setelan diagnostik, dikelola oleh Kebijakan Azure


    Meningkatkan ke konektor Azure Activity yang baru
    Tabel Log Analytics AzureActivity
    Dukungan DCR Saat ini tidak didukung
    Didukung oleh Microsoft

    Meningkatkan ke konektor Azure Activity yang baru

    Perubahan struktur data

    Baru-baru ini, konektor ini mengubah mekanisme backend miliknya untuk mengumpulkan peristiwa log Aktivitas. Sekarang konektor ini menggunakan alur pengaturan diagnostik. Jika Anda masih menggunakan metode warisan untuk konektor ini, Anda sangat dianjurkan untuk meningkatkan versi ke versi baru, yang memberikan fungsionalitas yang lebih baik dan konsistensi yang lebih baik dengan log sumber daya. Lihat petunjuknya di bawah.

    Metode pengaturan diagnostik mengirimkan data yang sama dengan metode lama yang dikirim dari layanan log Aktivitas, meskipun ada beberapa perubahan pada struktur tabel AzureActivity.

    Berikut adalah beberapa perbaikan utama yang dihasilkan dari perpindahan ke pipa pengaturan diagnostik:

    • Peningkatan latensi konsumsi (konsumsi peristiwa dalam waktu 2-3 menit setelah kejadian, bukan 15-20 menit).
    • Peningkatan keandalan.
    • Meningkatkan performa.
    • Dukungan untuk semua kategori acara yang dicatat oleh layanan log Aktivitas (mekanisme warisan hanya mendukung subset - misalnya, tidak ada dukungan untuk acara Kesehatan Layanan).
    • Manajemen dalam skala besar dengan Azure Policy.

    Lihat dokumentasi Monitor Azure untuk penanganan lebih mendalam tentang log Aktivitas Azure dan jalur pengaturan diagnostik.

    Putuskan sambungan dari pipa lama

    Sebelum menyiapkan konektor log Azure Activity yang baru, Anda harus memutuskan sambungan langganan dari metode lama.

    1. Dari menu navigasi Microsoft Azure Sentinel, pilih Konektor data. Dari daftar konektor, pilih Aktivitas Azure, lalu pilih tombol Buka halaman konektor di kanan bawah.

    2. Di bawah tab Petunjuk, di bagian Konfigurasi, pada langkah 1, tinjau daftar langganan Anda yang ada yang terhubung ke metode lama (sehingga Anda tahu mana yang harus ditambahkan ke baru), dan putuskan sambungan semuanya sekaligus dengan mengeklik tombol Putuskan Semua di bawah.

    3. Lanjutkan penyiapan konektor baru dengan petunjuk yang ditautkan pada tabel di atas.

    Azure DDoS Protection

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis setelan diagnostik
    Prasyarat lisensi/
    Informasi biaya
  • Anda harus memiliki paket perlindungan Azure DDoS Standardyang terkonfigurasi.
  • Anda harus sudah mengonfigurasi jaringan virtual dengan Azure DDoS Standard diaktifkan
    Tarif operator mungkin berlaku
  • Tabel Log Analytics AzureDiagnostics
    Dukungan DCR Saat ini tidak didukung
    Diagnostik yang direkomendasikan DDoSProtectionNotifications
    DDoSMitigationFlowLogs
    DDoSMitigationReports
    Didukung oleh Microsoft

    Catatan

    Status untuk Azure DDoS Protection Data Connector berubah menjadi Tersambung hanya ketika sumber daya yang dilindungi sedang berada dalam serangan DDoS.

    Azure Defender

    Lihat Microsoft Defender untuk Awan.

    Azure Firewall

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis setelan diagnostik
    Tabel Log Analytics AzureDiagnostics
    Dukungan DCR Saat ini tidak didukung
    Diagnostik yang direkomendasikan AzureFirewallApplicationRule
    AzureFirewallNetworkRule
    AzureFirewallDnsProxy
    Didukung oleh Microsoft

    Perlindungan Informasi Azure (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan ke layanan Azure
    Tabel Log Analytics InformationProtectionLogs_CL
    Dukungan DCR Saat ini tidak didukung
    Didukung oleh Microsoft

    Catatan

    Konektor data Azure Information Protection (AIP) menggunakan fitur log audit AIP (pratinjau publik). Mulai 18 Maret 2022, kami menghentikan pratinjau publik analitik AIP dan log audit, dan selanjutnya akan menggunakan solusi audit Microsoft 365. Pensiun penuh dijadwalkan pada 30 September 2022.

    Untuk informasi lebih lanjut, lihat Layanan yang dihapus dan dihentikan.

    Azure Key Vault

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis setelan diagnostik, dikelola oleh Kebijakan Azure
    Tabel Log Analytics KeyVaultData
    Dukungan DCR Saat ini tidak didukung
    Didukung oleh Microsoft

    Azure Kubernetes Service (AKS)

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis setelan diagnostik, dikelola oleh Kebijakan Azure
    Tabel Log Analytics kube-apiserver
    kube-audit
    kube-audit-admin
    kube-controller-manager
    kube-scheduler
    cluster-autoscaler
    penjaga
    Dukungan DCR Saat ini tidak didukung
    Didukung oleh Microsoft

    Microsoft Purview

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis setelan diagnostik


    Untuk informasi selengkapnya, lihat Tutorial: Mengintegrasikan Microsoft Sentinel dan Microsoft Purview.
    Tabel Log Analytics PurviewDataSensitivityLogs
    Dukungan DCR Saat ini tidak didukung
    Didukung oleh Microsoft

    Azure SQL Database

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis setelan diagnostik, dikelola oleh Kebijakan Azure


    Juga tersedia di Azure SQL dan Microsoft Azure Sentinel untuk solusi PaaS SQL
    Tabel Log Analytics SQLSecurityAuditEvents
    SQLInsights
    AutomaticTuning
    QueryStoreRuntimeStatistics
    Kesalahan
    DatabaseWaitStatistics
    Waktu habis
    Blok
    Kebuntuan
    Dasar
    InstanceAndAppAdvanced
    WorkloadManagement
    DevOpsOperationsAudit
    Dukungan DCR Saat ini tidak didukung
    Didukung oleh Microsoft

    Akun Azure Storage

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis setelan diagnostik


    Catatan tentang konfigurasi pengaturan diagnostik akun penyimpanan
    Tabel Log Analytics StorageBlobLogs
    StorageQueueLogs
    StorageTableLogs
    StorageFileLogs
    Diagnostik yang direkomendasikan Sumber daya akun
  • Transaksi
    Sumber daya Blob/Antrean/Tabel/File
  • StorageRead
  • StorageWrite
  • StorageDelete
  • Transaksi
  • Dukungan DCR Saat ini tidak didukung
    Didukung oleh Microsoft

    Catatan tentang konfigurasi pengaturan diagnostik akun penyimpanan

    Dalam sumber daya akun penyimpanan (induk), terdapat sumber daya (anak) lainnya untuk setiap jenis penyimpanan: file, tabel, antrean, dan blob.

    Saat mengonfigurasi diagnostik untuk akun penyimpanan, Anda harus memilih dan mengonfigurasi, secara bergantian:

    • Sumber daya akun induk, mengekspor metrik Transaksi.
    • Setiap sumber daya penyimpanan jenis anak, mengekspor semua log dan metrik (lihat tabel di atas).

    Anda hanya akan melihat jenis penyimpanan yang benar-benar telah didefinisikan sumber dayanya.

    Web Application Firewall (WAF) Azure

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis setelan diagnostik
    Tabel Log Analytics AzureDiagnostics
    Dukungan DCR Saat ini tidak didukung
    Diagnostik yang direkomendasikan Application Gateway
  • ApplicationGatewayAccessLog
  • ApplicationGatewayFirewallLog
    Front Door
  • FrontdoorAccessLog
  • FrontdoorWebApplicationFirewallLog
    Kebijakan WAF CDN
  • WebApplicationFirewallLogs
  • Didukung oleh Microsoft

    Barracuda CloudGen Firewall

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog
    Tabel Log Analytics Syslog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: CGFWFirewallActivity
    URL fungsi Kusto: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Barracuda%20CloudGen%20Firewall/Parsers/CGFWFirewallActivity
    Dokumentasi vendor/
    petunjuk pemasangan
    https://aka.ms/Sentinel-barracudacloudfirewall-connector
    Didukung oleh Barracuda

    WAF Barracuda

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog
    Tabel Log Analytics CommonSecurityLog (Barracuda)
    Barracuda_CL
    Dokumentasi vendor/
    petunjuk pemasangan
    https://aka.ms/asi-barracuda-connector
    Didukung oleh Barracuda

    Lihat instruksi Barracuda - perhatikan fasilitas yang ditetapkan untuk berbagai jenis log dan pastikan untuk menambahkannya ke konfigurasi Syslog default.

    BETTER Mobile Threat Defense MTD (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics BetterMTDDeviceLog_CL
    BetterMTDIncidentLog_CL
    BetterMTDAppLog_CL
    BetterMTDNetflowLog_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Dokumentasi BETTER MTD

    Pengaturan Kebijakan Ancaman, yang mendefinisikan insiden yang dilaporkan ke Microsoft Azure Sentinel:
    1. Di Konsol MTD Lebih Baik, pilih Kebijakan di bilah sisi.
    2. Pilih tombol Edit pada Kebijakan yang Anda gunakan.
    3. Untuk setiap jenis Insiden yang ingin dilog, buka bidang Kirim ke Integrasi lalu pilih Sentinel.
    Didukung oleh Better Mobile

    Beyond Security beSECURE

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics beSECURE_ScanResults_CL
    beSECURE_ScanEvents_CL
    beSECURE_Audit_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Akses menu Integrasi:
    1. Pilih opsi menu Lainnya.
    2. Pilih Server
    3. Pilih Integrasi
    4. Mengaktifkan Microsoft Azure Sentinel
    5. Tempel ID Ruang Kerja dan nilai Kunci Primer pada konfigurasi beSECURE.
    6. Pilih Modifikasi.
    Didukung oleh Beyond Security

    Blackberry CylancePROTECT (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog
    Tabel Log Analytics Syslog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: CylancePROTECT
    URL fungsi Kusto: https://aka.ms/Sentinel-cylanceprotect-parser
    Dokumentasi vendor/
    petunjuk pemasangan
    Panduan Syslog Cylance
    Didukung oleh Microsoft

    Pencegahan Hilangnya Data (DLP) Broadcom Symantec (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog, dengan pengurai fungsi Kusto
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: SymantecDLP
    URL fungsi Kusto: https://aka.ms/Sentinel-symantecdlp-parser
    Dokumentasi vendor/
    petunjuk pemasangan
    Mengonfigurasi Log ke tindakan Server Syslog
    Didukung oleh Microsoft

    Common Event Format (CEF) melalui AMA

    Atribut konektor Deskripsi
    Metode penyerapan data Koneksi berbasis Agen azure monitor
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR standar
    Didukung oleh Microsoft

    Check Point

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog

    Tersedia dari solusi Titik Pemeriksaan
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Pengekspor Log - Check Point Log Export
    Didukung oleh Check Point

    Cisco ASA

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog

    Tersedia dalam solusi Cisco ASA
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Panduan Konfigurasi CLI Seri Cisco ASA
    Didukung oleh Microsoft

    Cisco Firepower eStreamer (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog

    Konfigurasi tambahan untuk Cisco Firepower eStreamer
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    eStreamer eNcore untuk Panduan Operasi Sentinel
    Didukung oleh Cisco

    Konfigurasi tambahan untuk Cisco Firepower eStreamer

    1. Menginstal klien Firepower eNcore
      Instal dan konfigurasikan klien Firepower eNcore eStreamer. Untuk informasi lebih lanjut, lihat panduan lengkap pemasangan Cisco.

    2. Mengunduh Konektor Firepower dari GitHub
      Unduh versi terbaru konektor Firepower eNcore untuk Microsoft Azure Sentinel dari repositori GitHub Cisco. Jika Anda berencana menggunakan python3, gunakan konektor eStreamer python3.

    3. Membuat file pkcs12 menggunakan Alamat IP Azure/VM
      Buat sertifikat pkcs12 menggunakan IP publik instans VM di Firepower di bawah Sistem > Integrasi > eStreamer. Untuk informasi lebih lanjut, lihat panduan penginstalan.

    4. Menguji Konektivitas antara Klien Azure/VM dan FMC
      Salin file pkcs12 dari FMC ke instans Azure/VM lalu jalankan utilitas pengujian (pengujian ./encore.sh) untuk memastikan koneksi dapat dibuat. Untuk informasi selengkapnya, lihat panduan penyiapan.

    5. Mengonfigurasi eNcore untuk mengalirkan data ke agen
      Konfigurasikan eNcore untuk mengalirkan data melalui TCP ke Agen Log Analytics. Konfigurasi ini harus diaktifkan secara default, tetapi port tambahan dan protokol streaming dapat dikonfigurasi bergantung pada postur keamanan jaringan Anda. Anda juga dapat menyimpan data ke sistem file. Untuk informasi selengkapnya, lihat Mengonfigurasi eNcore.

    Cisco Meraki (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog

    Tersedia di solusi Cisco ISE
    Tabel Log Analytics Syslog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: CiscoMeraki
    URL fungsi Kusto: https://aka.ms/Sentinel-ciscomeraki-parser
    Dokumentasi vendor/
    petunjuk pemasangan
    Dokumentasi Pelaporan Perangkat Meraki
    Didukung oleh Microsoft

    Cisco Umbrella (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API

    Tersedia dalam solusi Cisco Umbrella
    Tabel Log Analytics Cisco_Umbrella_dns_CL
    Cisco_Umbrella_proxy_CL
    Cisco_Umbrella_ip_CL
    Cisco_Umbrella_cloudfirewall_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp
    Kredensial API
  • ID Kunci Akses AWS
  • Kunci Akses Rahasia AWS
  • Nama Bucket AWS S3
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Masuk ke Amazon S3
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Alias fungsi Kusto Cisco_Umbrella
    URL fungsi Kusto/
    Petunjuk konfigurasi pengurai
    https://aka.ms/Sentinel-ciscoumbrella-function
    Pengaturan aplikasi
  • WorkspaceID
  • WorkspaceKey
  • S3Bucket
  • AWSAccessKeyId
  • AWSSecretAccessKey
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    Sistem Komputasi Terpadu Cisco (UCS) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog
    Tabel Log Analytics Syslog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: CiscoUCS
    URL fungsi Kusto: https://aka.ms/Sentinel-ciscoucs-function
    Dokumentasi vendor/
    petunjuk pemasangan
    Menyiapkan Syslog untuk Cisco UCS - Cisco
    Didukung oleh Microsoft

    Citrix Analytics (Keamanan)

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics CitrixAnalytics_SAlerts_CL​
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Menyambungkan Citrix ke Microsoft Azure Sentinel
    Didukung oleh Sistem Citrix

    Firewall Aplikasi Citrix Web (WAF) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Untuk mengonfigurasi WAF, lihat Dukungan Konfigurasi WIKI - WAF dengan NetScaler.

    Untuk mengonfigurasi log CEF, lihatDukungan Pengelogan CEF di Firewall Aplikasi.

    Untuk meneruskan log ke proksi, lihat Mengonfigurasi appliance Citrix ADC untuk pengelogan audit .
    Didukung oleh Sistem Citrix

    Cognni (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics CognniIncidents_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Menyambungkan ke Cognni
    1. Buka halaman integrasi Cognni.
    2. Pilih Sambungkan pada kotak Microsoft Azure Sentinel.
    3. Tempel workspaceId dan sharedKey (Kunci Primer) ke bidang pada layar integrasi Cognni.
    4. Pilih tombol Sambungkan untuk menyelesaikan konfigurasi.
    Didukung oleh Cognni

    Pemantauan Ancaman Berkelanjutan untuk SAP (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Hanya tersedia setelah menginstal Pemantauan Ancaman Berkelanjutan untuk solusi SAP
    Tabel Log Analytics Lihat Referensi data solusi SAP Microsoft Sentinel
    Dokumentasi vendor/
    petunjuk pemasangan
    Terapkan Pemantauan Ancaman Berkelanjutan SAP
    Didukung oleh Microsoft

    Peristiwa CyberArk Enterprise Password Vault (EPV) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Aplikasi Security Information dan Event Management (SIEM)
    Didukung oleh CyberArk

    Log Keamanan Cyberpion (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics CyberpionActionItems_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Mendapatkan langganan Cyberpion
    Mengintegrasikan pemberitahuan keamanan Cyberpion ke dalam Microsoft Azure Sentinel
    Didukung oleh Cyberpion

    DNS (Pratinjau)

    Lihat Peristiwa DNS Windows melalui AMA (Pratinjau) atau Windows DNS Server (Pratinjau).

    Dynamics 365

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis API


    Juga tersedia sebagai bagian dari solusi Microsoft Azure Sentinel 4 Dynamics 365
    Prasyarat lisensi/
    Informasi biaya
  • Lisensi produksi Microsoft Dynamics 365. Tidak tersedia untuk lingkungan kotak pasir.
  • Setidaknya satu pengguna menetapkan lisensi Microsoft/Office 365 E1 atau yang lebih tinggi.
    Tarif operator mungkin berlaku
  • Tabel Log Analytics Dynamics365Activity
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Microsoft

    ESET Enterprise Inspector (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API

    Membuat pengguna API
    Tabel Log Analytics ESETEnterpriseInspector_CL​
    Dukungan DCR Saat ini tidak didukung
    Kredensial API
  • Nama Pengguna EEI
  • Kata Sandi EEI
  • URL Dasar
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Dokumentasi ESET Enterprise Inspector REST API
  • Petunjuk penyebaran konektor Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
    Didukung oleh ESET

    Membuat pengguna API

    1. Masuk ke konsol ESET Security Management Center/ESET PROTECT dengan akun admin, pilih tab Lainnya dan subtab Pengguna.
    2. Pilih tombol TAMBAH BARU lalu tambahkan pengguna asli.
    3. Buat pengguna baru untuk akun API. Opsional: Pilih Grup beranda selain Semua untuk membatasi deteksi yang diserap.
    4. Di bagian tab Set Izin, tetapkan set izin peninjau Pemeriksa Perusahaan.
    5. Keluar dari akun administrator dan masuk ke konsol dengan info masuk API baru untuk validasi, lalu keluar dari akun API.

    Eset Security Management Center (SMC) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog

    Mengonfigurasi log ESET SMC untuk dikumpulkan
    Mengonfigurasi agen OMS untuk mengirimkan data Eset SMC dalam format API
    Mengubah konfigurasi agen OMS untuk menangkap tag oms.api.eset dan mengurai data terstruktur
    Menonaktifkan konfigurasi otomatis dan menghidupkan ulang agen
    Tabel Log Analytics eset_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Dokumentasi server ESET Syslog
    Didukung oleh ESET

    Mengonfigurasi log ESET SMC untuk dikumpulkan

    Konfigurasikan rsyslog untuk menerima log dari alamat IP Eset SMC Anda.

        sudo -i
        # Set ESET SMC source IP address
        export ESETIP={Enter your IP address}
    
        # Create rsyslog configuration file
        cat > /etc/rsyslog.d/80-remote.conf << EOF
        \$ModLoad imudp
        \$UDPServerRun 514
        \$ModLoad imtcp
        \$InputTCPServerRun 514
        \$AllowedSender TCP, 127.0.0.1, $ESETIP
        \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
        EOF
    
        # Restart rsyslog
        systemctl restart rsyslog
    

    Mengonfigurasi agen OMS untuk mengirimkan data Eset SMC dalam format API

    Untuk mengenali data Eset dengan mudah, dorong ke tabel terpisah dan urai agen untuk menyederhanakan dan mempercepat kueri Microsoft Azure Sentinel Anda.

    Dalam file /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf, ubah bagian match oms.** untuk mengirimkan data sebagai objek API, dengan mengubah jenisnya menjadi out_oms_api.

    Kode berikut adalah contoh bagian match oms.** lengkap:

        <match oms.** docker.**>
          type out_oms_api
          log_level info
          num_threads 5
          run_in_background false
    
          omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
          cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
          key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key
    
          buffer_chunk_limit 15m
          buffer_type file
          buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer
    
          buffer_queue_limit 10
          buffer_queue_full_action drop_oldest_chunk
          flush_interval 20s
          retry_limit 10
          retry_wait 30s
          max_retry_wait 9m
        </match>
    

    Mengubah konfigurasi agen OMS untuk menangkap tag oms.api.eset dan mengurai data terstruktur

    Ubah file /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf.

    Contohnya:

        <source>
          type syslog
          port 25224
          bind 127.0.0.1
          protocol_type udp
          tag oms.api.eset
        </source>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format /(?<message>.*?{.*})/
        </filter>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format json
        </filter>
    

    Menonaktifkan konfigurasi otomatis dan menghidupkan ulang agen

    Contohnya:

        # Disable changes to configuration files from Portal
        sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
    
        # Restart agent
        sudo /opt/microsoft/omsagent/bin/service_control restart
    
        # Check agent logs
        tail -f /var/opt/microsoft/omsagent/log/omsagent.log
    

    Mengonfigurasi Eset SMC untuk mengirimkan log ke konektor

    Konfigurasikan Log Eset menggunakan gaya BSD dan format JSON.

    • Masuk ke konfigurasi server Syslog untuk mengonfigurasi Host (konektor Anda), Format BSD, dan Transport TCP
    • Buka bagian Pengelogan lalu aktifkan JSON

    Untuk informasi selengkapnya, lihat dokumentasi Eset.

    Exabeam Advanced Analytics (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog
    Tabel Log Analytics Syslog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: ExabeamEvent
    URL fungsi Kusto: https://aka.ms/Sentinel-Exabeam-parser
    Dokumentasi vendor/
    petunjuk pemasangan
    Mengonfigurasi pemberitahuan aktivitas sistem Analitik Tingkat Lanjut
    Didukung oleh Microsoft

    ExtraHop Reveal(x)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    ExtraHop Detection SIEM Connector
    Didukung oleh ExtraHop

    F5 BIG-IP

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics F5Telemetry_LTM_CL
    F5Telemetry_system_CL
    F5Telemetry_ASM_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Mengintegrasikan F5 BIG-IP dengan Microsoft Azure Sentinel
    Didukung oleh F5 Networks

    Jaringan F5 (ASM)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Mengonfigurasi Pengelogan Peristiwa Keamanan Aplikasi
    Didukung oleh F5 Networks

    Forcepoint Cloud Access Security Broker (CASB)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Forcepoint CASB dan Microsoft Azure Sentinel
    Didukung oleh Forcepoint

    Forcepoit Cloud Security Gateway (CSG) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Forcepoint Cloud Security Gateway dan Microsoft Azure Sentinel
    Didukung oleh Forcepoint

    Forcepoint Data Loss Prevention (DLP) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics ForcepointDLPEvents_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Pencegahan Kehilangan Data Forcepoint dan Microsoft Azure Sentinel
    Didukung oleh Forcepoint

    Forcepoint Next Generation Firewall (NGFW) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Forcepoint Next-Gen Firewall dan Microsoft Azure Sentinel
    Didukung oleh Forcepoint

    ForgeRock Common Audit (CAUD) untuk CEF (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Instal ini dulu! Audit Umum ForgeRock (CAUD) untuk Microsoft Sentinel
    Didukung oleh ForgeRock

    Fortinet

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog

    Mengirim log Fortinet ke penerus log

    Tersedia dalam solusi Fortinet Fortigate)
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Fortinet Document Library
    Pilih versi Anda, lalu gunakan Buku Pegangan dan Referensi Pesan Log dalam format PDF.
    Didukung oleh Fortinet

    Mengirim log Fortinet ke penerus log

    Buka CLI di appliance Fortinet Anda dan jalankan perintah berikut:

    config log syslogd setting
    set status enable
    set format cef
    set port 514
    set server <ip_address_of_Forwarder>
    end
    
    • Ganti alamat ip server dengan alamat IP penerus log.
    • Atur port syslog sebagai 514 atau port yang diatur daemon Syslog di penerus.
    • Untuk mengaktifkan format CEF di versi FortiOS awal, Anda mungkin perlu menjalankan set perintah csv disable.

    GitHub (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API

    Hanya tersedia setelah menginstal solusi Pemantauan Ancaman Berkelanjutan untuk GitHub.
    Tabel Log Analytics GitHubAuditLogPolling_CL
    Dukungan DCR Saat ini tidak didukung
    Kredensial API Token akses GitHub
    Petunjuk penyebaran konektor Konfigurasi ekstra untuk konektor GitHub
    Didukung oleh Microsoft

    Konfigurasi ekstra untuk konektor GitHub

    Prasyarat: Anda harus memiliki akun perusahaan GitHub dan organisasi yang dapat diakses untuk terhubung ke GitHub dari Microsoft Sentinel.

    1. Instal solusi Pemantauan Ancaman Berkelanjutan untuk GitHub di ruang kerja Microsoft Sentinel Anda. Untuk informasi selengkapnya, lihat Menemukan dan menerapkan konten dan solusi siap pakai Microsoft Sentinel secara terpusat (Pratinjau publik).

    2. Buat token akses pribadi GitHub untuk digunakan di konektor Microsoft Sentinel. Untuk informasi selengkapnya, lihat dokumentasi GitHub yang relevan.

    3. Di area Konektor data Microsoft Sentinel, cari dan temukan konektor GitHub. Di sebelah kanan, pilih Buka laman konektor.

    4. Pada tab Petunjuk, di area Konfigurasi, masukkan detail berikut:

      • Nama Organisasi: Masukkan nama organisasi yang lognya ingin Anda sambungkan.
      • Kunci API: Masukkan token akses pribadi GitHub yang telah Anda buat sebelumnya dalam prosedur ini.
    5. Pilih Hubungkan untuk mulai menyerap log GitHub Anda ke Microsoft Sentinel.

    Ruang kerja Google (G Suite) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API

    Konfigurasi tambahan untuk Google Reports API
    Tabel Log Analytics GWorkspace_ReportsAPI_admin_CL
    GWorkspace_ReportsAPI_calendar_CL
    GWorkspace_ReportsAPI_drive_CL
    GWorkspace_ReportsAPI_login_CL
    GWorkspace_ReportsAPI_mobile_CL
    GWorkspace_ReportsAPI_token_CL
    GWorkspace_ReportsAPI_user_accounts_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp
    Kredensial API
  • GooglePickleString
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Dokumentasi API
  • Dapatkan kredensial di Perform Google Workspace Domain-Wide Delegation of Authority
  • Mengonversi file token.pickle untuk string pickle
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Alias fungsi Kusto GWorkspaceActivityReports
    URL fungsi Kusto/
    Petunjuk konfigurasi pengurai
    https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser
    Pengaturan aplikasi
  • GooglePickleString
  • WorkspaceID
  • workspaceKey
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    Konfigurasi tambahan untuk Google Reports API

    Tambahkan http://localhost:8081/ di bagian URI pengalihan resmi saat membuat Kredensial aplikasi web.

    1. Ikuti petunjuk untuk memperoleh credentials.json.
    2. Untuk mendapatkan string acar Google, jalankan skrip Python ini (di jalur yang sama dengan kredensial.json).
    3. Salin output string pickle dalam satu kutipan lalu simpan. Tindakan ini akan diperlukan untuk menyebarkan Aplikasi Fungsi.

    Sistem Manajemen Serangan Ilusif (AMS) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Illusive Networks Admin Guide
    Didukung oleh Illusive Networks

    Imperva WAF Gateway (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog

    Tersedia di solusi Imperva Cloud WAF
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Langkah-langkah untuk Mengaktifkan Imperva WAF Gateway Alert Logging ke Microsoft Azure Sentinel
    Didukung oleh Imperva

    Sistem Operasi Identitas Jaringan Infoblox (NIOS) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog

    tersedia di solusi Pertahanan Ancaman InfoBlox
    Tabel Log Analytics Syslog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: InfobloxNIOS
    URL fungsi Kusto: https://aka.ms/sentinelgithubparsersinfoblox
    Dokumentasi vendor/
    petunjuk pemasangan
    NIOS SNMP dan Panduan Penyebaran Syslog
    Didukung oleh Microsoft

    Juniper SRX (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog
    Tabel Log Analytics Syslog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: JuniperSRX
    URL fungsi Kusto: https://aka.ms/Sentinel-junipersrx-parser
    Dokumentasi vendor/
    petunjuk pemasangan
    Mengonfigurasi Pengelogan Lalu Lintas (Log Kebijakan Keamanan) untuk SRX Branch Devices
    Mengonfigurasi Pengelogan Sistem
    Didukung oleh Juniper Networks

    Lookout Mobile Threat Defense (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API

    Hanya tersedia setelah memasang Lookout Mobile Threat Defense untuk solusi Microsoft Azure Sentinel
    Tabel Log Analytics Lookout_CL
    Dukungan DCR Saat ini tidak didukung
    Kredensial API
  • Kunci Aplikasi Lookout
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Panduan Penginstalan (perlu masuk)
  • Dokumentasi API (perlu masuk)
  • Lookout Mobile Endpoint Security
  • Didukung oleh Lookout

    Pertahanan Microsoft 365

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Hubungkan data dari Microsoft 365 Defender ke Microsoft Sentinel
    (Artikel konektor teratas)
    Prasyarat lisensi/
    Informasi biaya
    Lisensi yang valid untuk Microsoft 365 Defender
    Tabel Log Analytics Pemberitahuan:
    SecurityAlert
    SecurityIncident
    Pertahanan untuk peristiwa Titik Akhir​:
    Acara Perangkat
    AcaraFilePerangkat
    DeviceImageLoadEvents
    Info Perangkat
    AcaraLogonPerangkat
    Acara Jaringan Perangkat
    DeviceNetworkInfo
    PerangkatProsesAcara
    AcaraPerangkatRegistry
    DeviceFileCertificateInfo
    Pertahanan untuk peristiwa Office 365:
    EmailAttachmentInfo
    EmailUrlInfo
    EmailEvents
    EmailPostDeliveryEvents
    Peristiwa Defender untuk Identitas:
    IdentityDirectoryEvents
    IdentityInfo
    IdentityLogonEvents
    IdentityQueryEvents
    Peristiwa Aplikasi Defender untuk Cloud:
    CloudAppEvents
    Pemberitahuan Defender sebagai peristiwa:
    AlertInfo
    AlertEvidence
    Dukungan DCR Saat ini tidak didukung
    Didukung oleh Microsoft

    Insider Risk Management (IRM) Microsoft Purview (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis API


    Juga tersedia di solusi Insider Risk Management Microsoft Purview
    Lisensi dan prasyarat lainnya
    Tabel Log Analytics SecurityAlert
    Filter kueri data SecurityAlert
    | where ProductName == "Microsoft Purview Insider Risk Management"
    Didukung oleh Microsoft

    Microsoft Defender for Cloud

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Hubungkan lansiran keamanan dari Microsoft Defender for Cloud
    (Artikel konektor teratas)
    Tabel Log Analytics SecurityAlert
    Didukung oleh Microsoft

    Microsoft Defender for Cloud Apps

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis API


    Untuk log Cloud Discovery, aktifkan Microsoft Azure Sentinel sebagai SIEM Anda di Microsoft Defender untuk Aplikasi Cloud
    Tabel Log Analytics SecurityAlert - untuk pemberitahuan
    McasShadowItReporting​ - untuk log Cloud Discovery
    Didukung oleh Microsoft

    Pertahanan Microsoft untuk Titik Akhir

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis API
    Prasyarat lisensi/
    Informasi biaya
    Lisensi yang valid untuk penyebaran Pertahanan Microsoft untuk Titik Akhir
    Tabel Log Analytics SecurityAlert
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Microsoft

    Pertahanan Microsoft untuk Identitas

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis API
    Tabel Log Analytics SecurityAlert
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Microsoft

    Microsoft Defender for IoT

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis API
    Tabel Log Analytics SecurityAlert
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Microsoft

    Microsoft Defender for Office 365

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis API
    Prasyarat lisensi/
    Informasi biaya
    Anda harus memiliki lisensi yang valid untuk Office 365 ATP Plan 2
    Tabel Log Analytics SecurityAlert
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Microsoft

    Microsoft Office 365

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis API
    Prasyarat lisensi/
    Informasi biaya
    Penyebaran Office 365 Anda harus berada di penyewa yang sama dengan ruang kerja Microsoft Azure Sentinel Anda.
    Biaya lain mungkin berlaku.
    Tabel Log Analytics OfficeActivity
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Microsoft

    Microsoft Power BI (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis API
    Prasyarat lisensi/
    Informasi biaya
    Penyebaran Office 365 Anda harus berada di penyewa yang sama dengan ruang kerja Microsoft Azure Sentinel Anda.
    Biaya lain mungkin berlaku.
    Tabel Log Analytics PowerBIActivity
    Didukung oleh Microsoft

    Proyek Microsoft (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis API
    Prasyarat lisensi/
    Informasi biaya
    Penyebaran Office 365 Anda harus berada di penyewa yang sama dengan ruang kerja Microsoft Azure Sentinel Anda.
    Biaya lain mungkin berlaku.
    Tabel Log Analytics ProjectActivity
    Didukung oleh Microsoft

    Microsoft Sysmon untuk Linux (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog, dengan, pengurai ASIM berdasarkan fungsi Kusto
    Tabel Log Analytics Syslog
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Microsoft

    Morphisec UTPP (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog, dengan pengurai fungsi Kusto
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: Morphisec
    URL fungsi Kusto https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Morphisec/Parsers/Morphisec/
    Didukung oleh Morphisec

    Netskope (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API
    Tabel Log Analytics Netskope_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://aka.ms/Sentinel-netskope-functioncode
    Kredensial API
  • Token Netskope API
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Netskope Cloud Security Platform
  • Dokumentasi Netskope API
  • Memperoleh Token API
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Alias fungsi Kusto Netskope
    URL fungsi Kusto/
    Petunjuk konfigurasi pengurai
    https://aka.ms/Sentinel-netskope-parser
    Pengaturan aplikasi
  • apikey
  • #workspaceid
  • workspaceKey
  • URI (tergantung wilayah, mengikuti skema: https://<Tenant Name>.goskope.com)
  • timeInterval (diatur ke 5)
  • logTypes
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    Server HTTP NGIX (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Agen Log Analytics - log kustom
    Tabel Log Analytics NGINX_CL
    Dukungan DCR Saat ini tidak didukung
    Alias fungsi Kusto: NGINXHTTPServer
    URL fungsi Kusto https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/NGINX%20HTTP%20Server/Parsers/NGINXHTTPServer.txt
    Dokumentasi vendor/
    petunjuk pemasangan
    Modul ngx_http_log_module
    File sampel log kustom: access.log atau error.log
    Didukung oleh Microsoft

    Modul Keamanan Dasar (BSM) NXLog macOS (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics BSMmacOS_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Panduan Pengguna NXLog Microsoft Azure Sentinel
    Didukung oleh NXLog

    Log DNS NXLog (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics DNS_Logs_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Panduan Pengguna NXLog Microsoft Azure Sentinel
    Didukung oleh NXLog

    NXLog LinuxAudit (Preview)

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics LinuxAudit_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Panduan Pengguna NXLog Microsoft Azure Sentinel
    Didukung oleh NXLog

    Akses menyeluruh Okta (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API
    Tabel Log Analytics Okta_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://aka.ms/sentineloktaazurefunctioncodev2
    Kredensial API
  • Token API
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Dokumentasi Okta System Log API
  • Membuat token API
  • Menyambungkan akses menyeluruh Okta ke Microsoft Azure Sentinel
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Pengaturan aplikasi
  • apiToken
  • #workspaceid
  • workspaceKey
  • uri (mengikuti skema https://<OktaDomain>/api/v1/logs?since=. Mengidentifikasi namespace domain Anda.)
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    Platform Onapsis (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog, dengan fungsi pengayaan dan pencarian Kusto

    Mengonfigurasi Onapsis untuk mengirimkan log CEF ke penerus log
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: incident_lookup
    URL fungsi Kusto https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Onapsis%20Platform/Parsers/OnapsisLookup.txt
    Didukung oleh Onapsis

    Mengonfigurasi Onapsis untuk mengirimkan log CEF ke penerus log

    Lihat bantuan dalam produk Onapsis untuk menyiapkan penerusan log ke agen Log Analytics.

    1. Buka Siapkan > Integrasi pihak ketiga > Pertahankan Alarm dan ikuti petunjuk untuk Microsoft Sentinel.
    2. Pastikan Onapsis Console Anda dapat menjangkau mesin penerus log tempat agen diinstal. Log harus dikirim ke port 514 menggunakan TCP.

    One Identity Safeguard (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Panduan Administrasi One Identity Safeguard untuk Sesi Hak Istimewa
    Didukung oleh One Identity

    Server WebLogic Oracle (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Agen Log Analytics - log kustom
    Tabel Log Analytics OracleWebLogicServer_CL
    Dukungan DCR Saat ini tidak didukung
    Alias fungsi Kusto: OracleWebLogicServerEvent
    URL fungsi Kusto: https://aka.ms/Sentinel-OracleWebLogicServer-parser
    Dokumentasi vendor/
    petunjuk pemasangan
    Dokumentasi Oracle WebLogic Server
    File sampel log kustom: server.log
    Didukung oleh Microsoft

    Orca Security (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics OrcaAlerts_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Integrasi Microsoft Azure Sentinel
    Didukung oleh Keamanan Orca

    OSSEC (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog, dengan pengurai fungsi Kusto
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: OSSECEvent
    URL fungsi Kusto: https://aka.ms/Sentinel-OSSEC-parser
    Dokumentasi vendor/
    petunjuk pemasangan
    Dokumentasi OSSEC
    Mengirimkan pemberitahuan melalui syslog
    Didukung oleh Microsoft

    Jaringan Palo Alto

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog

    Juga tersedia di solusi Palo Alto PAN-OS dan Prisma
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Panduan Konfigurasi Format Peristiwa Umum (CEF)
    Mengonfigurasi Pemantauan Syslog
    Didukung oleh Jaringan Palo Alto

    Log Aktivitas Perimeter 81 (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics Perimeter81_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Dokumentasi Perimeter 81
    Didukung oleh Perimeter 81

    Keamanan Email Proofpoint Sesuai Permintaan (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API

    Juga tersedia di solusi Proofpoint POD
    Tabel Log Analytics ProofpointPOD_message_CL
    ProofpointPOD_maillog_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://aka.ms/Sentinel-proofpointpod-functionapp
    Kredensial API
  • ProofpointClusterID
  • ProofpointToken
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Masuk ke Proofpoint Community
  • Petunjuk dan dokumentasi Proofpoint API
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Alias fungsi Kusto ProofpointPOD
    URL fungsi Kusto/
    Petunjuk konfigurasi pengurai
    https://aka.ms/Sentinel-proofpointpod-parser
    Pengaturan aplikasi
  • ProofpointClusterID
  • ProofpointToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    Perlindungan Serangan Bertarget Proofpoint (TAP) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API

    Juga tersedia di solusi Proofpoint TAP
    Tabel Log Analytics ProofPointTAPClicksPermitted_CL
    ProofPointTAPClicksBlocked_CL
    ProofPointTAPMessagesDelivered_CL
    ProofPointTAPMessagesBlocked_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://aka.ms/sentinelproofpointtapazurefunctioncode
    Kredensial API
  • Nama Pengguna API
  • Kata Sandi API
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Dokumentasi Proofpoint SIEM API
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Pengaturan aplikasi
  • apiUsername
  • apiUsername
  • URI (diatur ke https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300)
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    Pulsa Connect Secure (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog
    Tabel Log Analytics Syslog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: PulseConnectSecure
    URL fungsi Kusto: https://aka.ms/sentinelgithubparserspulsesecurevpn
    Dokumentasi vendor/
    petunjuk pemasangan
    Mengonfigurasi Syslog
    Didukung oleh Microsoft

    Qualys VM KnowledgeBase (KB) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API

    Konfigurasi tambahan untuk Qualys VM KB

    Juga tersedia di solusi mesin virtual Qualys
    Tabel Log Analytics QualysKB_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://aka.ms/Sentinel-qualyskb-functioncode
    Kredensial API
  • Nama Pengguna API
  • Kata Sandi API
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Panduan Pengguna QualysVM API
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Alias fungsi Kusto QualysKB
    URL fungsi Kusto/
    Petunjuk konfigurasi pengurai
    https://aka.ms/Sentinel-qualyskb-parser
    Pengaturan aplikasi
  • apiUsername
  • apiUsername
  • URI (menurut wilayah; lihat Daftar Server API. Mengikuti skema https://<API Server>/api/2.0.
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (ditambahkan ke akhir URI, dibatasi oleh &. Tanpa spasi)
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    Konfigurasi tambahan untuk Qualys VM KB

    1. Masuk ke konsol Qualys Vulnerability Management dengan akun admin, pilih tab Pengguna dan subtab Pengguna.
    2. Pilih menu drop-down Baru lalu pilih Pengguna.
    3. Buat nama pengguna dan kata sandi untuk akun API.
    4. Di tab Peran Pengguna, pastikan peran pengguna ditetapkan sebagai Pengelola dan diizinkan mengakses GUI dan API
    5. Keluar dari akun administrator dan masuk ke konsol dengan info masuk API baru untuk validasi, lalu keluar dari akun API.
    6. Masuk lagi ke konsol menggunakan akun admin, lalu ubah Peran Pengguna akun API, untuk menghapus akses ke GUI.
    7. Simpan semua perubahan.

    Qualys Vulnerability Management (VM) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API

    Konfigurasi tambahan untuk Qualys VM
    Penyebaran manual - setelah mengonfigurasi Aplikasi Fungsi
    Tabel Log Analytics QualysHostDetection_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://aka.ms/sentinelqualysvmazurefunctioncode
    Kredensial API
  • Nama Pengguna API
  • Kata Sandi API
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Panduan Pengguna QualysVM API
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Pengaturan aplikasi
  • apiUsername
  • apiUsername
  • URI (menurut wilayah; lihat Daftar Server API. Mengikuti skema https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=.
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (ditambahkan ke akhir URI, dibatasi oleh &. Tanpa spasi)
  • timeInterval (diatur ke 5. Jika Anda mengubahnya, ubah pemicu timer Aplikasi Fungsi yang sesuai.)
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    Konfigurasi tambahan untuk Qualys VM

    1. Masuk ke konsol Qualys Vulnerability Management dengan akun admin, pilih tab Pengguna dan subtab Pengguna.
    2. Pilih menu drop-down Baru lalu pilih Pengguna.
    3. Buat nama pengguna dan kata sandi untuk akun API.
    4. Di tab Peran Pengguna, pastikan peran pengguna ditetapkan sebagai Pengelola dan diizinkan mengakses GUI dan API
    5. Keluar dari akun administrator dan masuk ke konsol dengan info masuk API baru untuk validasi, lalu keluar dari akun API.
    6. Masuk lagi ke konsol menggunakan akun admin, lalu ubah Peran Pengguna akun API, untuk menghapus akses ke GUI.
    7. Simpan semua perubahan.

    Penyebaran manual - setelah mengonfigurasi Aplikasi Fungsi

    Mengonfigurasi file host.json

    Karena kemungkinan besar jumlah data deteksi host Qualys yang diserap, ini dapat menyebabkan waktu eksekusi melampaui batas waktu Aplikasi Fungsi default lima menit. Tingkatkan durasi waktu tunggu default hingga maksimum 10 menit, di bawah Rencana Konsumsi, untuk memberikan lebih banyak waktu bagi Aplikasi Fungsi untuk dijalankan.

    1. Di Aplikasi Fungsi, pilih Nama Aplikasi Fungsi dan pilih halaman Penyunting App Service.
    2. Pilih Buka untuk membuka editor, lalu pilih file host.json di bagian direktori wwwroot.
    3. Tambahkan baris "functionTimeout": "00:10:00", di atas baris managedDependancy.
    4. Pastikan SAVED muncul di pojok kanan atas penyunting, lalu keluar dari penyunting.

    Jika durasi batas waktu yang lebih lama diperlukan, pertimbangkan untuk meningkatkan ke Paket Layanan Aplikasi.

    Cloud Layanan Salesforce (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API
    Tabel Log Analytics SalesforceServiceCloud_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp
    Kredensial API
  • Nama Pengguna Salesforce API
  • Kata Sandi Salesforce API
  • Token Keamanan Salesforce
  • Kunci Konsumen Salesforce
  • Rahasia Konsumen Salesforce
  • Dokumentasi vendor/
    petunjuk pemasangan
    Panduan Developer Salesforce REST API
    Di bagian Menyiapkan otorisasi, gunakan metode ID Sesi bukan OAuth.
    Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Alias fungsi Kusto SalesforceServiceCloud
    URL fungsi Kusto/
    Petunjuk konfigurasi pengurai
    https://aka.ms/Sentinel-SalesforceServiceCloud-parser
    Pengaturan aplikasi
  • SalesforceUser
  • SalesforcePass
  • SalesforceSecurityToken
  • SalesforceConsumerKey
  • SalesforceConsumerSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    Peristiwa keamanan melalui Agen Warisan (Windows)

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Mencatat koneksi berbasis agen Analytics (Legacy)
    Tabel Log Analytics PeristiwaKeamanan
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Microsoft

    Untuk informasi selengkapnya, lihat:

    SentinelOne (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API

    Konfigurasi tambahan untuk SentinelOne
    Tabel Log Analytics SentinelOne_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://aka.ms/Sentinel-SentinelOneAPI-functionapp
    Kredensial API
  • SentinelOneAPIToken
  • SentinelOneUrl (https://<SOneInstanceDomain>.sentinelone.net)
  • Dokumentasi vendor/
    petunjuk pemasangan
  • https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview
  • Lihat petunjuknya di bawah
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Alias fungsi Kusto SentinelOne
    URL fungsi Kusto/
    Petunjuk konfigurasi pengurai
    https://aka.ms/Sentinel-SentinelOneAPI-parser
    Pengaturan aplikasi
  • SentinelOneAPIToken
  • SentinelOneUrl
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    Konfigurasi tambahan untuk SentinelOne

    Ikuti petunjuk untuk memperoleh kredensial.

    1. Masuk ke Konsol Manajemen SentinelOne dengan info masuk pengguna Admin.
    2. Di Konsol Manajemen, pilih Pengaturan.
    3. Dalam tampilan PENGATURAN, pilih PENGGUNA
    4. Pilih Pengguna Baru.
    5. Masukkan informasi untuk pengguna konsol baru.
    6. Di Peran, pilih Admin.
    7. Pilih SIMPAN
    8. Simpan kredensial pengguna baru untuk digunakan di konektor data.

    Firewall SonicWall (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Masuk > Syslog
    Pilih fasilitas local4 dan ArcSight sebagai format Syslog.
    Didukung oleh SonicWall

    Sophos Cloud Optix (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics SophosCloudOptix_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Integrasikan dengan Microsoft Azure Sentinel, lewati langkah pertama.
    Sampel kueri Sophos
    Didukung oleh Sophos

    Sophos XG Firewall (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog
    Tabel Log Analytics Syslog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: SophosXGFirewall
    URL fungsi Kusto: https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Sophos%20XG%20Firewall/Parsers/SophosXGFirewall.txt
    Dokumentasi vendor/
    petunjuk pemasangan
    Menambahkan server syslog
    Didukung oleh Microsoft

    Squadra Technologies secRMM

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics secRMM_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Panduan Administrator Microsoft Azure Sentinel secRMM
    Didukung oleh Teknologi Squadra

    Proksi Squid (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Agen Log Analytics - log kustom
    Tabel Log Analytics SquidProxy_CL
    Dukungan DCR Saat ini tidak didukung
    Alias fungsi Kusto: SquidProxy
    URL fungsi Kusto https://aka.ms/Sentinel-squidproxy-parser
    File sampel log kustom: access.log atau cache.log
    Didukung oleh Microsoft

    Symantec Integrated Cyber Defense Exchange (ICDx)

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API
    Tabel Log Analytics SymantecICDx_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Mengonfigurasi Penerus Microsoft Azure Sentinel (Analitik Log)
    Didukung oleh Broadcom Symantec

    Symantec ProxySG (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog
    Tabel Log Analytics Syslog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: SymantecProxySG
    URL fungsi Kusto: https://aka.ms/sentinelgithubparserssymantecproxysg
    Dokumentasi vendor/
    petunjuk pemasangan
    Mengirim Log Akses ke server Syslog
    Didukung oleh Microsoft

    Symantec VIP (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog
    Tabel Log Analytics Syslog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: SymantecVIP
    URL fungsi Kusto: https://aka.ms/sentinelgithubparserssymantecvip
    Dokumentasi vendor/
    petunjuk pemasangan
    Mengonfigurasi syslog
    Didukung oleh Microsoft

    Server Rahasia Thycotic (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Pengelogan Syslog/CEF Aman
    Didukung oleh Thycotic

    Keamanan Mendalam Tren Mikro

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog, dengan pengurai fungsi Kusto
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: TrendMicroDeepSecurity
    URL fungsi Kusto https://aka.ms/TrendMicroDeepSecurityFunction
    Dokumentasi vendor/
    petunjuk pemasangan
    Meneruskan peristiwa Keamanan Dalam ke server Syslog atau SIEM
    Didukung oleh Trend Micro

    Trend Micro TippingPoint (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog, dengan pengurai fungsi Kusto
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: TrendMicroTippingPoint
    URL fungsi Kusto https://aka.ms/Sentinel-trendmicrotippingpoint-function
    Dokumentasi vendor/
    petunjuk pemasangan
    Kirim pesan Syslog dalam format ArcSight CEF Format v4.2.
    Didukung oleh Trend Micro

    Trend Micro Vision One (XDR) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API
    Tabel Log Analytics TrendMicro_XDR_CL
    Dukungan DCR Saat ini tidak didukung
    Kredensial API
  • Token API
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Trend Micro Vision One API
  • Memperoleh Kunci API Akses Pihak Ketiga
  • Petunjuk penyebaran konektor Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
    Didukung oleh Trend Micro

    VMware Carbon Black Endpoint Standard (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API
    Tabel Log Analytics CarbonBlackEvents_CL
    CarbonBlackAuditLogs_CL
    CarbonBlackNotifications_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://aka.ms/sentinelcarbonblackazurefunctioncode
    Kredensial API Tingkat akses API (untuk log Audit dan Peristiwa):
  • ID API
  • Kunci API

    Tingkat akses SIEM (untuk peristiwa Pemberitahuan):
  • ID SIEM API
  • Kunci SIEM API
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Dokumentasi Carbon Black API
  • Membuat Kunci API
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Pengaturan aplikasi
  • apiId
  • apiKey
  • WorkspaceID
  • WorkspaceKey
  • uri (menurut wilayah; lihat daftar opsi. Mengikuti skema: https://<API URL>.conferdeploy.net.)
  • timeInterval (Diatur ke 5)
  • SIEMapiId (jika menyerap peristiwa Pemberitahuan)
  • SIEMapiKey (jika menyerap peristiwa Pemberitahuan)
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    VMware ESXi (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog
    Tabel Log Analytics Syslog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: VMwareESXi
    URL fungsi Kusto: https://aka.ms/Sentinel-vmwareesxi-parser
    Dokumentasi vendor/
    petunjuk pemasangan
    Mengaktifkan syslog di ESXi 3.5 dan 4.x
    Mengonfigurasi Syslog di Host ESXi
    Didukung oleh Microsoft

    WatchGuard Firebox (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Syslog
    Tabel Log Analytics Syslog
    Dukungan DCR DCR transformasi ruang kerja
    Alias fungsi Kusto: WatchGuardFirebox
    URL fungsi Kusto: https://aka.ms/Sentinel-watchguardfirebox-parser
    Dokumentasi vendor/
    petunjuk pemasangan
    Panduan Integrasi Microsoft Azure Sentinel
    Didukung oleh Teknologi WatchGuard

    Platform Forensik WireX Network (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Hubungi dukungan WireX untuk mengonfigurasi solusi NFP Anda guna mengirim pesan Syslog dalam format CEF.
    Didukung oleh Sistem WireX

    Peristiwa DNS Windows melalui AMA (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis Agen monitor Azure
    Tabel Log Analytics DnsEvents
    DnsInventory
    Dukungan DCR DCR standar
    Didukung oleh Microsoft

    Server DNS Windows (Pratinjau)

    Konektor ini menggunakan agen lama. Kami menyarankan Anda agar menggunakan DNS melalui konektor AMA di atas.

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Mencatat koneksi berbasis agen Analytics (Legacy)
    Tabel Log Analytics DnsEvents
    DnsInventory
    Dukungan DCR DCR transformasi ruang kerja
    Didukung oleh Microsoft

    Memecahkan masalah konektor data Server DNS Windows Anda

    Jika peristiwa DNS Anda tidak muncul di Microsoft Sentinel:

    1. Pastikan log analitik DNS di server Anda diaktifkan.
    2. Pergi ke Azure DNS Analytics.
    3. Di area Konfigurasi, ubah salah satu setelan dan simpan perubahan Anda. Ubah kembali pengaturan Anda jika perlu, lalu simpan kembali perubahan Anda.
    4. Periksa Azure DNS Analytics Anda untuk memastikan bahwa peristiwa dan kueri Anda ditampilkan dengan benar.

    Untuk informasi selengkapnya, lihat Kumpulkan wawasan tentang infrastruktur DNS Anda dengan solusi Pratinjau Analisis DNS.

    Windows Forwarded Events (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis Agen Monitor Azure


    Instruksi tambahan untuk menyebarkan konektor Windows Forwarded Events
    Prasyarat Anda harus mengaktifkan dan menjalankan Windows Event Collection (WEC).
    Instal Agen Azure Monitor pada mesin WEC.
    Awalan kueri xPath "ForwardedEvents!*"
    Tabel Log Analytics WindowsEvents
    Dukungan DCR DCR standar
    Didukung oleh Microsoft

    Instruksi tambahan untuk menyebarkan konektor Windows Forwarded Events

    Sebaiknya pasang pengurai Advanced Security Information Model (ASIM) untuk memastikan dukungan penuh untuk normalisasi data. Anda dapat menerapkan pengurai ini dari Azure-Sentinel repositori GitHub menggunakan tombol Sebarkan ke Azure di sana.

    Windows Firewall

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Mencatat koneksi berbasis agen Analytics (Legacy)
    Tabel Log Analytics WindowsFirewall
    Didukung oleh Microsoft

    Windows Security Events melalui AMA

    Atribut konektor Deskripsi
    Metode penyerapan data Integrasi layanan-ke-layanan Azure:
    Koneksi berbasis Agen Monitor Azure
    Awalan kueri xPath "Security!*"
    Tabel Log Analytics PeristiwaKeamanan
    Dukungan DCR DCR standar
    Didukung oleh Microsoft

    Lihat juga:

    Konfigurasikan Peristiwa keamanan / Konektor Peristiwa Keamanan Windows untuk deteksi login RDP anomali

    Penting

    Deteksi login RDP anomali saat ini dalam pratinjau publik. Fitur ini disediakan tanpa perjanjian tingkat layanan, dan tidak disarankan untuk beban kerja produksi. Untuk mengetahui informasi selengkapnya, lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure.

    Microsoft Sentinel dapat menerapkan pembelajaran mesin (ML) ke data peristiwa Keamanan untuk mengidentifikasi aktivitas login Remote Desktop Protocol (RDP) yang anomali. Skenario ini meliputi:

    • IP yang tidak biasa - alamat IP jarang atau tidak pernah diamati dalam 30 hari terakhir

    • Lokasi geografis yang tidak biasa - alamat IP, kota, negara, dan ASN jarang atau tidak pernah diamati dalam 30 hari terakhir

    • Pengguna baru - pengguna baru masuk dari alamat IP dan lokasi geografis, keduanya atau salah satunya tidak diharapkan untuk dilihat berdasarkan data dari 30 hari sebelumnya.

    Instruksi Konfigurasi

    1. Anda harus mengumpulkan data login RDP (Peristiwa ID 4624) melalui Peristiwa keamanan atau konektor data Peristiwa Keamanan Windows. Pastikan Anda telah memilih set peristiwa selain "Tidak Ada", atau membuat aturan pengumpulan data yang mencakup ID acara ini, untuk streaming ke Microsoft Azure Sentinel.

    2. Dari portal Microsoft Azure Sentinel, pilih Analitik, lalu pilih tab Templat aturan. Pilih aturan Deteksi Login RDP Anomali (Pratinjau) , dan geser Status ke Diaktifkan.

      Catatan

      Karena algoritma pembelajaran mesin memerlukan data senilai 30 hari untuk membangun profil garis besar perilaku pengguna, Anda harus mengizinkan 30 hari data peristiwa Keamanan Windows untuk dikumpulkan sebelum insiden apa pun dapat dideteksi.

    Workplace dari Facebook (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API

    Mengonfigurasi Webhook
    Menambahkan URL Panggilan Balik ke Konfigurasi Webhook
    Tabel Log Analytics Workplace_Facebook_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Workplace%20from%20Facebook/Data%20Connectors/WorkplaceFacebook/WorkplaceFacebookWebhooksSentinelConn.zip
    Kredensial API
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Mengonfigurasi Webhook
  • Mengonfigurasi izin
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Alias fungsi Kusto Workplace_Facebook
    URL fungsi Kusto/
    Petunjuk konfigurasi pengurai
    https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Workplace%20from%20Facebook/Parsers/Workplace_Facebook.txt
    Pengaturan aplikasi
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    Mengonfigurasi Webhook

    1. Masuk ke Workplace dengan info masuk pengguna Admin.
    2. Di panel Admin, pilih Integrasi.
    3. Dalam tampilan Semua integrasi, pilih Buat integrasi kustom.
    4. Masukkan nama dan deskripsinya, lalu pilih Buat.
    5. Di panel Detail integrasi, tampilkan Rahasia aplikasi lalu salin.
    6. Di panel Izin integrasi, tetapkan izin baca semua. Lihat halaman izin untuk detailnya.

    Menambahkan URL Panggilan Balik ke konfigurasi Webhook

    1. Buka halaman Aplikasi Fungsi Anda, buka daftar Fungsi, pilih Dapatkan URL Fungsi, dan salin.
    2. Kembali ke Ruang Kerja dari Facebook. Di panel Konfigurasikan webhook, tetapkan URL Panggilan Balik di setiap Tab sebagai URL Fungsi yang Anda salin di langkah sebelumnya, dan Verifikasi token sebagai nilai yang sama yang Anda terima selama penyebaran otomatis, atau Anda masukkan selama penyebaran manual.
    3. Pilih Simpan.

    Zimperium Mobile Thread Defense (Pratinjau)

    Konektor data Zimperium Mobile Threat Defense menghubungkan log ancaman Zimperium ke Microsoft Azure Sentinel untuk melihat dasbor, membuat peringatan khusus, dan meningkatkan penyelidikan. Konektor ini memberi Anda lebih banyak wawasan tentang lanskap ancaman seluler organisasi Anda dan meningkatkan kemampuan operasi keamanan.

    Untuk informasi selengkapnya, lihat Sambungkan Zimperium ke Microsoft Azure Sentinel.

    Atribut konektor Deskripsi
    Metode penyerapan data API Azure Sentinel Data Collector API

    Mengonfigurasi dan menyambungkan Zimperium MTD
    Tabel Log Analytics ZimperiumThreatLog_CL
    ZimperiumMitigationLog_CL
    Dukungan DCR Saat ini tidak didukung
    Dokumentasi vendor/
    petunjuk pemasangan
    Portal dukungan pelanggan Zimperium (perlu masuk)
    Didukung oleh Zimperium

    Mengonfigurasi dan menyambungkan Zimperium MTD

    1. Di zConsole, pilih Kelola pada bilah navigasi.
    2. Klik tab Integrasi.
    3. Pilih tombol Pelaporan Ancaman, lalu tombol Tambahkan Integrasi.
    4. Buat Integrasi:
      1. Dari integrasi yang tersedia, pilih Microsoft Azure Sentinel.
      2. Masukkan ID ruang kerja dan kunci primer Anda, lalu pilih Berikutnya.
      3. Isi nama untuk integrasi Microsoft Azure Sentinel Anda.
      4. Pilih Filter Level untuk data ancaman yang ingin Anda dorong ke Microsoft Azure Sentinel.
      5. Pilih Selesai.

    Zoom Reports (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Azure Functions dan REST API
    Tabel Log Analytics Zoom_CL
    Dukungan DCR Saat ini tidak didukung
    Kode Azure Function App https://aka.ms/Sentinel-ZoomAPI-functionapp
    Kredensial API
  • ZoomApiKey
  • ZoomApiSecret
  • Dokumentasi vendor/
    petunjuk pemasangan
  • Mendapatkan kredensial menggunakan JWT With Zoom
  • Petunjuk penyebaran konektor
  • Penyebaran klik satu kali melalui templat Azure Resource Manager (ARM)
  • Penyebaran manual
  • Alias fungsi Kusto Zoom
    URL fungsi Kusto/
    Petunjuk konfigurasi pengurai
    https://aka.ms/Sentinel-ZoomAPI-parser
    Pengaturan aplikasi
  • ZoomApiKey
  • ZoomApiSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (opsional)
  • Didukung oleh Microsoft

    Zscaler

    Atribut konektor Deskripsi
    Metode penyerapan data Format Peristiwa Umum (CEF) melalui Syslog
    Tabel Log Analytics CommonSecurityLog
    Dukungan DCR DCR transformasi ruang kerja
    Dokumentasi vendor/
    petunjuk pemasangan
    Panduan Penyebaran Zscaler dan Microsoft Azure Sentinel
    Didukung oleh Zscaler

    Zscaler Private Access (ZPA) (Pratinjau)

    Atribut konektor Deskripsi
    Metode penyerapan data Agen Log Analytics - log kustom

    Konfigurasi tambahan untuk Zscaler Private Access
    Tabel Log Analytics ZPA_CL
    Dukungan DCR Saat ini tidak didukung
    Alias fungsi Kusto: ZPAEvent
    URL fungsi Kusto https://aka.ms/Sentinel-zscalerprivateaccess-parser
    Dokumentasi vendor/
    petunjuk pemasangan
    Dokumentasi Zscaler Private Access
    Lihat juga di bawah ini
    Didukung oleh Microsoft

    Konfigurasi tambahan untuk Zscaler Private Access

    Ikuti langkah-langkah konfigurasi di bawah ini untuk mendapatkan log Akses Privat Zscaler ke Microsoft Azure Sentinel. Untuk informasi selengkapnya, lihat Dokumentasi Azure Monitor. Log Zscaler Private Access dikirimkan melalui Layanan Streaming Log (LSS). Lihat dokumentasi LSS untuk informasi mendetail.

    1. Konfigurasikan Penerima Log. Saat mengonfigurasi Penerima Log, pilih JSON sebagai Templat Log.

    2. Unduh file konfigurasi zpa.conf.

      wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
      
    3. Masuk ke server tempat Anda telah menginstal agen Azure Log Analytics.

    4. Salin zpa.conf ke folder /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

    5. Edit zpa.conf sebagai berikut:

      1. Tentukan port tempat Anda mengatur Penerima Log Zscaler untuk meneruskan log ke (baris 4)
      2. Ganti workspace_id dengan nilai sebenarnya dari ID Ruang Kerja Anda (baris 14,15,16,19)
    6. Simpan perubahannya lalu hidupkan ulang agen Azure Log Analytics untuk layanan Linux dengan perintah berikut:

      sudo /opt/microsoft/omsagent/bin/service_control restart
      

    Anda dapat menemukan nilai ID ruang kerja Anda di halaman konektor ZScaler Private Access atau di halaman manajemen agen ruang kerja Log Analytics Anda.

    Langkah berikutnya

    Untuk informasi selengkapnya, lihat: