Condividi tramite


Connettori dati di Microsoft Sentinel

Dopo aver eseguito l'onboarding di Microsoft Sentinel nell'area di lavoro, usare i connettori dati per avviare l'inserimento dei dati in Microsoft Sentinel. Microsoft Sentinel include molti connettori predefiniti per i servizi Microsoft, che si integrano in tempo reale. Ad esempio, il connettore Microsoft Defender XDR è un connettore da servizio a servizio che integra i dati di Office 365, Microsoft Entra ID, Microsoft Defender per identità e Microsoft Defender for Cloud Apps.

I connettori predefiniti consentono la connessione all'ecosistema di sicurezza più ampio per i prodotti non Microsoft. Ad esempio, usare Syslog, Common Event Format (CEF) o le API REST per connettere le origini dati a Microsoft Sentinel.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.

Importante

Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Connettori dati forniti con soluzioni

Le soluzioni di Microsoft Sentinel offrono contenuti di sicurezza racchiusi in pacchetti, inclusi connettori dati, cartelle di lavoro, regole di analisi, playbook e altro ancora. Quando si distribuisce una soluzione con un connettore dati, si ottiene il connettore dati insieme al contenuto correlato nella stessa distribuzione.

La pagina Connettori dati di Microsoft Sentinel elenca i connettori dati installati o in uso.

Per aggiungere altri connettori dati, installare la soluzione associata al connettore dati dall'hub contenuto. Per altre informazioni, vedere gli articoli seguenti:

Integrazione dell'API REST per i connettori dati

Molte soluzioni di sicurezza offrono un set di API per il recupero di file di log e altri dati di sicurezza dal prodotto o dal servizio. Queste API si connettono a Microsoft Sentinel con uno dei metodi seguenti:

  • Le API dell'origine dati sono configurate con la piattaforma del connettore Codeless.
  • Il connettore dati usa l'API di inserimento log per Monitoraggio di Azure come parte di una funzione di Azure o di un'app per la logica.

Per altre informazioni sulla connessione con Funzioni di Azure, vedere gli articoli seguenti:

Per altre informazioni sulla connessione con App per la logica, vedere Connettersi con App per la logica.

Integrazione basata su agente per i connettori dati

Microsoft Sentinel può usare gli agenti forniti dal servizio Monitoraggio di Azure (su cui è basato Microsoft Sentinel) per raccogliere dati da qualsiasi origine dati in grado di eseguire lo streaming dei log in tempo reale. Ad esempio, la maggior parte delle origini dati locali si connette usando l'integrazione basata su agente.

Le sezioni seguenti descrivono i diversi tipi di connettori dati basati sull'agente di Microsoft Sentinel. Per configurare le connessioni tramite meccanismi basati su agente, seguire la procedura descritta in ogni pagina del connettore dati di Microsoft Sentinel.

Syslog e Common Event Format (CEF)

È possibile trasmettere eventi da dispositivi basati su Linux e con supporto di Syslog in Microsoft Sentinel usando l'agente di Monitoraggio di Azure (AMA). I formati di log variano, ma molte origini supportano la formattazione basata su CEF. A seconda del tipo di dispositivo, l'agente viene installato direttamente nel dispositivo o in un server d'inoltro dei log basato su Linux dedicato. AMA riceve messaggi di evento CEF o Syslog semplici dal daemon Syslog su UDP. Il daemon Syslog inoltra gli eventi all'agente internamente, comunicando tramite TCP o UDS (Unix Domain Sockets), a seconda della versione. L'AMA trasmette quindi questi eventi all'area di lavoro di Microsoft Sentinel.

Ecco un flusso semplice che mostra come Microsoft Sentinel trasmette i dati Syslog.

  1. Il daemon Syslog predefinito del dispositivo raccoglie gli eventi locali dei tipi specificati e inoltra gli eventi localmente all'agente.
  2. L'agente trasmette gli eventi all'area di lavoro Log Analytics.
  3. Dopo aver completato la configurazione, i messaggi Syslog vengono visualizzati nella tabella Syslog di Log Analytics e i messaggi CEF nella tabella CommonSecurityLog.

Per altre informazioni, vedere Syslog e Common Event Format (CEF) tramite connettori AMA per Microsoft Sentinel.

Log personalizzati

Per alcune origini dati, è possibile raccogliere i log come file in computer Windows o Linux usando l'agente di raccolta log personalizzato di Log Analytics.

Per connettersi usando l'agente di raccolta log personalizzato di Log Analytics, seguire la procedura descritta in ogni pagina del connettore dati di Microsoft Sentinel. Dopo aver completato la configurazione, i dati sono visualizzati nelle tabelle personalizzate.

Per altre informazioni, vedere Log personalizzati tramite il connettore dati AMA - Configurare l'inserimento dati in Microsoft Sentinel da applicazioni specifiche.

Integrazione da servizio a servizio per i connettori dati

Microsoft Sentinel usa le basi di Azure per fornire supporto predefinito da servizio a servizio per i servizi Microsoft e Amazon Web Services.

Per altre informazioni, vedere gli articoli seguenti:

Supporto del connettore dati

Microsoft e altre organizzazioni creano connettori dati di Microsoft Sentinel. Ogni connettore dati include uno dei tipi di supporto seguenti elencati nella pagina del connettore dati in Microsoft Sentinel.

Tipo di supporto Descrizione
Supporto di Microsoft Si applica a:
  • Connettori dati per le origini dati in cui Microsoft è l'autore e il provider di dati e.
  • Alcuni connettori dati creati da Microsoft per origini dati non Microsoft.
Microsoft supporta e gestisce i connettori dati in questa categoria in base ai piani di supporto di Microsoft Azure.

Connettori dati di supporto della community o dei partner creati da qualsiasi parte diversa da Microsoft.
Supporto dei partner Si applica ai connettori dati creati da parti diverse da Microsoft.

L'azienda partner fornisce supporto o manutenzione per questi connettori dati. La società partner può essere un fornitore di software indipendente, un provider di servizi gestiti (MSP/MSSP), un integratore di sistemi (SI) o qualsiasi organizzazione le cui informazioni di contatto vengono fornite nella pagina di Microsoft Sentinel per il connettore dati selezionato.

Per eventuali problemi relativi a un connettore dati supportato dal partner, contattare il contatto di supporto del connettore dati specificato.
Supporto della community Si applica ai connettori dati creati da Microsoft o dagli sviluppatori partner che non hanno elencato i contatti per il supporto e la manutenzione del connettore dati nella pagina del connettore dati in Microsoft Sentinel.

Per domande o problemi con questi connettori dati, è possibile segnalare un problema nella community GitHub di Microsoft Sentinel.

Per altre informazioni, vedere Trovare il supporto per un connettore dati.

Passaggi successivi

Per altre informazioni sui connettori dati, vedere gli articoli seguenti.

Per informazioni di riferimento di base sull'infrastruttura come codice (IaC) di Bicep, Azure Resource Manager e Terraform per distribuire connettori dati in Microsoft Sentinel, vedere Informazioni di riferimento sul connettore dati IaC di Microsoft Sentinel.