Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Dopo aver eseguito l'onboarding di Microsoft Sentinel nell'area di lavoro, usare i connettori dati per iniziare a inserire i dati in Microsoft Sentinel. Microsoft Sentinel include molti connettori predefiniti per i servizi Microsoft, che si integrano in tempo reale. Ad esempio, il connettore Microsoft Defender XDR è un connettore da servizio a servizio che integra i dati di Office 365, Microsoft Entra ID, Microsoft Defender per identità e Microsoft Defender for Cloud Apps.
I connettori predefiniti consentono la connessione all'ecosistema di sicurezza più ampio per i prodotti non Microsoft. Ad esempio, usare Syslog, Common Event Format (CEF) o API REST per connettere le origini dati a Microsoft Sentinel.
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud del governo degli Stati Uniti, vedere le tabelle Microsoft Sentinel in Disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.
Importante
In base all'annuncio del 2024, dopo il 14 settembre 2026 l'API dell'agente di raccolta dati HTTP legacy non sarà più supportata. Le origini dati, le integrazioni personalizzate o i connettori che usano l'API agente di raccolta dati HTTP devono passare a un'alternativa supportata per evitare potenziali interruzioni dell'inserimento dopo questa data.
Se attualmente si usa l'API agente di raccolta dati HTTP, è consigliabile iniziare a pianificare la migrazione all'API Di inserimento log o codeless Connector Framework (CCF) per garantire l'inserimento ininterrotto dei dati, maggiore affidabilità, scalabilità e supporto a lungo termine.
Considerazioni sulla gestione dei dati per Microsoft Sentinel data lake
Le considerazioni seguenti devono essere inserite nella pianificazione della conformità e della gestione dei dati:
GDPR e conservazione dei dati
- Gli amministratori tenant possono esercitare i diritti GDPR usando la funzionalità di eliminazione per il livello di analisi. Questo non influisce sul livello data lake.
- Non è possibile eliminare record specifici dal data lake Sentinel. Il data lake conserva i dati inseriti per il periodo di conservazione definito, anche se i dati vengono eliminati nell'origine o nel livello di analisi.
Integrazione di Purview. Le modifiche apportate alle impostazioni di Purview non hanno alcun effetto sui dati archiviati nel data lake Sentinel.
Percorso di archiviazione Sentinel percorsi di archiviazione data lake sono selezionati dall'amministratore del tenant e possono differire dal percorso di archiviazione primario dei servizi di origine.
Importante
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.
Connettori dati forniti con soluzioni
Microsoft Sentinel soluzioni forniscono contenuti di sicurezza in pacchetto, inclusi connettori dati, cartelle di lavoro, regole di analisi, playbook e altro ancora. Quando si distribuisce una soluzione con un connettore dati, si ottiene il connettore dati insieme al contenuto correlato nella stessa distribuzione.
Nella pagina connettori dati Microsoft Sentinel sono elencati i connettori dati installati o in uso.
Per aggiungere altri connettori dati, installare la soluzione associata al connettore dati dall'hub contenuto. Per altre informazioni, vedere gli articoli seguenti:
- Trovare il connettore dati Microsoft Sentinel
- Informazioni su contenuti e soluzioni Microsoft Sentinel
- Individuare e gestire Microsoft Sentinel contenuto predefinito
- Microsoft Sentinel catalogo dell'hub di contenuto
- Soluzioni di dominio basate su Advanced Security Information Model (ASIM) per Microsoft Sentinel
Creare connettori personalizzati
Se non è possibile connettere l'origine dati a Microsoft Sentinel usando una delle soluzioni esistenti disponibili, provare a creare un connettore di origine dati personalizzato. Ad esempio, molte soluzioni di sicurezza forniscono un set di API per il recupero di file di log e altri dati di sicurezza dal prodotto o dal servizio. Queste API si connettono a Microsoft Sentinel con uno dei metodi seguenti:
- Le API dell'origine dati sono configurate con Codeless Connector Framework.
- Il connettore dati usa l'API di inserimento log per Azure Monitor come parte di un'app per la funzione o la logicaAzure.
È anche possibile usare Azure'agente di monitoraggio direttamente o Logstash per creare il connettore personalizzato. Per altre informazioni, vedere Risorse per la creazione di connettori Microsoft Sentinel personalizzati.
Integrazione basata su agente per i connettori dati
Microsoft Sentinel possono usare gli agenti forniti dal servizio monitoraggio Azure (su cui si basa Microsoft Sentinel) per raccogliere dati da qualsiasi origine dati in grado di eseguire lo streaming dei log in tempo reale. Ad esempio, la maggior parte delle origini dati locali si connette tramite l'integrazione basata su agente.
Le sezioni seguenti descrivono i diversi tipi di connettori dati basati su agente Microsoft Sentinel. Per configurare le connessioni usando meccanismi basati su agenti, seguire i passaggi descritti in ogni pagina del connettore dati Microsoft Sentinel.
Syslog e Common Event Format (CEF)
È possibile trasmettere eventi da dispositivi di supporto syslog basati su Linux in Microsoft Sentinel usando l'agente di monitoraggio Azure . I formati di log variano, ma molte origini supportano la formattazione basata su CEF. A seconda del tipo di dispositivo, l'agente viene installato direttamente nel dispositivo o in un server d'inoltro di log dedicato basato su Linux. L'AMA riceve i normali messaggi di evento Syslog o CEF dal daemon Syslog tramite UDP. Il daemon Syslog inoltra gli eventi all'agente internamente, comunicando tramite TCP o UDS (Socket di dominio Unix), a seconda della versione. L'AMA trasmette quindi questi eventi all'area di lavoro Microsoft Sentinel.
Ecco un semplice flusso che mostra come Microsoft Sentinel flussi di dati Syslog.
- Il daemon Syslog predefinito del dispositivo raccoglie gli eventi locali dei tipi specificati e inoltra gli eventi in locale all'agente.
- L'agente trasmette gli eventi all'area di lavoro Log Analytics.
- Dopo aver completato la configurazione, i messaggi Syslog vengono visualizzati nella tabella Syslog di Log Analytics e i messaggi CEF nella tabella CommonSecurityLog .
Per altre informazioni, vedere Syslog e Common Event Format (CEF) tramite connettori AMA per Microsoft Sentinel.
Log personalizzati
Per alcune origini dati, è possibile raccogliere i log come file in computer Windows o Linux usando l'agente di raccolta log personalizzato di Log Analytics.
Per connettersi usando l'agente di raccolta log personalizzato di Log Analytics, seguire la procedura descritta in ogni pagina del connettore dati Microsoft Sentinel. Dopo aver completato la configurazione, i dati vengono visualizzati nelle tabelle personalizzate.
Per altre informazioni, vedere Log personalizzati tramite il connettore dati AMA - Configurare l'inserimento dei dati per Microsoft Sentinel da applicazioni specifiche.
Integrazione da servizio a servizio per i connettori dati
Microsoft Sentinel usa la base Azure per fornire supporto predefinito da servizio a servizio per i servizi Microsoft e Amazon Web Services.
Per altre informazioni, vedere gli articoli seguenti:
- Connettere Microsoft Sentinel a Azure, Windows, Microsoft e Amazon Services
- Trovare il connettore dati Microsoft Sentinel
Supporto del connettore dati
Sia Microsoft che altre organizzazioni creano connettori dati Microsoft Sentinel. Ogni connettore dati ha uno dei tipi di supporto seguenti elencati nella pagina del connettore dati in Microsoft Sentinel.
| Tipo di supporto | Descrizione |
|---|---|
| Supportato da Microsoft | Si applica a:
I partner o la community supportano i connettori dati creati da qualsiasi parte diversa da Microsoft. |
| Supportato dai partner | Si applica ai connettori dati creati da parti diverse da Microsoft. La società partner fornisce supporto o manutenzione per questi connettori dati. La società partner può essere un fornitore di software indipendente, un provider di servizi gestiti (MSP/MSSP), un integratore di sistemi (SI) o qualsiasi organizzazione le cui informazioni di contatto vengono fornite nella pagina Microsoft Sentinel per tale connettore dati. Per eventuali problemi con un connettore dati supportato dal partner, contattare il contatto di supporto del connettore dati specificato. |
| Supportato dalla community | Si applica ai connettori dati creati da sviluppatori Microsoft o partner che non hanno contatti elencati per il supporto e la manutenzione del connettore dati nella pagina connettore dati in Microsoft Sentinel. Per domande o problemi relativi a questi connettori dati, è possibile presentare un problema nella community di Microsoft Sentinel GitHub. |
Per altre informazioni, vedere Trovare il supporto per un connettore dati.
Passaggi successivi
Per altre informazioni sui connettori dati, vedere gli articoli seguenti.
- Connettere le origini dati a Microsoft Sentinel usando i connettori dati
- Trovare il connettore dati Microsoft Sentinel
- Risorse per la creazione di connettori personalizzati Microsoft Sentinel
Per informazioni di riferimento di base su Infrastruttura distribuita come codice (IaC) di Bicep, Azure Resource Manager e Terraform per distribuire i connettori dati in Microsoft Sentinel, vedere Microsoft Sentinel informazioni di riferimento su IaC del connettore dati.