Memahami penyedia konektor data

  • 6 menit

Microsoft Defender XDR

Konektor data Microsoft Defender XDR menyediakan pemberitahuan, insiden, dan data mentah dari produk Microsoft Defender XDR termasuk (tetapi tidak terbatas pada):

  • Pertahanan Microsoft untuk Titik Akhir

  • Microsoft Defender for Identity

  • Microsoft Defender for Office 365

  • Microsoft Defender for Cloud Apps

Layanan Microsoft Azure

Konektor untuk layanan terkait Microsoft dan Azure mencakup (tetapi tidak terbatas pada):

  • Microsoft Entra ID

  • Azure Activity

  • Perlindungan ID Microsoft Entra

  • Azure DDoS Protection

  • Microsoft Defender for IoT

  • Perlindungan Informasi Azure

  • Azure Firewall

  • Microsoft Defender for Cloud

  • Azure Web Application Firewall (WAF) (sebelumnya Microsoft WAF)

  • Server nama domain

  • Office 365

  • Firewall Windows

  • Peristiwa Keamanan

Konektor vendor

Microsoft Azure Sentinel menyediakan daftar konektor data khusus vendor yang selalu berkembang. Konektor ini umumnya menggunakan konektor CEF dan Syslog sebagai fondasinya.

Tip

Jangan lupa memeriksa halaman konektor untuk melihat Tipe Data (tabel) tempat konektor menulis.

Konektor kustom menggunakan API Analitik Log

Anda dapat menggunakan API Pengumpul Data Log Analytics untuk mengirim data log ke ruang kerja Log Analytics Microsoft Azure Sentinel.

Plugin logstash

Dengan menggunakan plug-in output Microsoft Azure Sentinel untuk mesin pengumpulan data Logstash, Anda dapat mengirim log apa pun yang diinginkan melalui Logstash secara langsung ke ruang kerja Log Analytics di Microsoft Azure Sentinel. Log ditulis ke tabel kustom yang Anda tentukan menggunakan plugin output.

Format Peristiwa Umum dan konektor Syslog

Jika tidak ada konektor yang disediakan vendor, Anda dapat menggunakan Format Peristiwa Umum (CEF) atau Konektor Syslog generik.

Syslog adalah protokol pengelogan acara yang umum untuk Linux. Aplikasi mengirim pesan yang mungkin disimpan di komputer lokal atau dikirimkan ke pengumpul Syslog.

Format Peristiwa Umum (CEF) adalah format standar industri di atas pesan Syslog, yang digunakan oleh banyak vendor keamanan untuk memungkinkan interoperabilitas acara di antara berbagai platform.

Format Syslog vs. Peristiwa Umum

CEF selalu menjadi pilihan yang unggul karena data log diurai ke dalam bidang yang telah ditentukan sebelumnya dalam tabel CommonSecurityLog. Syslog menyediakan bidang header, tetapi pesan log mentah disimpan di bidang bernama SyslogMessage dalam tabel Syslog. Agar data Syslog dikueri, Anda perlu menulis pengurai untuk mengekstrak bidang tertentu. Proses untuk membuat Parser untuk pesan Syslog ditunjukkan dalam modul selanjutnya.

Opsi arsitektur konektor

Untuk menghubungkan CEF atau Syslog Collector ke Microsoft Sentinel, agen harus disebarkan pada komputer virtual (VM) Azure khusus atau sistem lokal untuk mendukung komunikasi appliance dengan Microsoft Sentinel. Anda dapat menyebarkan agen secara otomatis atau manual. Penyebaran otomatis hanya tersedia jika komputer khusus Anda terhubung ke Azure Arc atau merupakan Komputer Virtual di Azure.

Diagram berikut ini mengilustrasikan sistem lokal yang mengirim data Syslog ke Azure VM khusus yang menjalankan agen Microsoft Azure Sentinel.

Diagram of Common Event Format architecture using Syslog on a dedicated Azure VM.

Atau, Anda dapat menerapkan agen secara manual pada VM Azure yang ada, pada VM di cloud lain, atau di komputer lokal. Diagram berikut menunjukkan sistem lokal yang mengirim data Syslog ke sistem lokal khusus yang menjalankan agen Microsoft Azure Sentinel.

Diagram of Common Event Format architecture for sending Linux log data using Syslog on a dedicated on-premises system.