Connettori dati di Microsoft Sentinel
Dopo aver eseguito l'onboarding di Microsoft Sentinel nell'area di lavoro, usare i connettori dati per avviare l'inserimento dei dati in Microsoft Sentinel. Microsoft Sentinel include molti connettori predefiniti per i servizi Microsoft, che si integrano in tempo reale. Ad esempio, il connettore Microsoft Defender XDR è un connettore da servizio a servizio che integra i dati di Office 365, Microsoft Entra ID, Microsoft Defender per identità e Microsoft Defender for Cloud Apps.
I connettori predefiniti consentono la connessione all'ecosistema di sicurezza più ampio per i prodotti non Microsoft. Ad esempio, usare Syslog, Common Event Format (CEF) o le API REST per connettere le origini dati a Microsoft Sentinel.
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Connettori dati forniti con soluzioni
Le soluzioni di Microsoft Sentinel offrono contenuti di sicurezza racchiusi in pacchetti, inclusi connettori dati, cartelle di lavoro, regole di analisi, playbook e altro ancora. Quando si distribuisce una soluzione con un connettore dati, si ottiene il connettore dati insieme al contenuto correlato nella stessa distribuzione.
La pagina Connettori dati di Microsoft Sentinel elenca i connettori dati installati o in uso.
Per aggiungere altri connettori dati, installare la soluzione associata al connettore dati dall'hub contenuto. Per altre informazioni, vedere gli articoli seguenti:
- Trovare il connettore dati di Microsoft Sentinel
- Informazioni sui contenuti e le soluzioni di Microsoft Sentinel
- Scoprire e gestire contenuti predefiniti di Microsoft Sentinel
- catalogo dell'hub dei contenuti di Microsoft Sentinel
- Soluzioni di dominio basate su Advanced Security Information Model (ASIM) per Microsoft Sentinel
Integrazione dell'API REST per i connettori dati
Molte soluzioni di sicurezza offrono un set di API per il recupero di file di log e altri dati di sicurezza dal prodotto o dal servizio. Queste API si connettono a Microsoft Sentinel con uno dei metodi seguenti:
- Le API dell'origine dati sono configurate con la piattaforma del connettore Codeless.
- Il connettore dati usa l'API di inserimento log per Monitoraggio di Azure come parte di una funzione di Azure o di un'app per la logica.
Per altre informazioni sulla connessione con Funzioni di Azure, vedere gli articoli seguenti:
- Usare Funzioni di Azure per connettere l'origine dati a Microsoft Sentinel
- Documentazione di Funzioni di Azure
- Prezzi di Funzioni di Azure
Per altre informazioni sulla connessione con App per la logica, vedere Connettersi con App per la logica.
Integrazione basata su agente per i connettori dati
Microsoft Sentinel può usare gli agenti forniti dal servizio Monitoraggio di Azure (su cui è basato Microsoft Sentinel) per raccogliere dati da qualsiasi origine dati in grado di eseguire lo streaming dei log in tempo reale. Ad esempio, la maggior parte delle origini dati locali si connette usando l'integrazione basata su agente.
Le sezioni seguenti descrivono i diversi tipi di connettori dati basati sull'agente di Microsoft Sentinel. Per configurare le connessioni tramite meccanismi basati su agente, seguire la procedura descritta in ogni pagina del connettore dati di Microsoft Sentinel.
Syslog e Common Event Format (CEF)
È possibile trasmettere eventi da dispositivi basati su Linux e con supporto di Syslog in Microsoft Sentinel usando l'agente di Monitoraggio di Azure (AMA). I formati di log variano, ma molte origini supportano la formattazione basata su CEF. A seconda del tipo di dispositivo, l'agente viene installato direttamente nel dispositivo o in un server d'inoltro dei log basato su Linux dedicato. AMA riceve messaggi di evento CEF o Syslog semplici dal daemon Syslog su UDP. Il daemon Syslog inoltra gli eventi all'agente internamente, comunicando tramite TCP o UDS (Unix Domain Sockets), a seconda della versione. L'AMA trasmette quindi questi eventi all'area di lavoro di Microsoft Sentinel.
Ecco un flusso semplice che mostra come Microsoft Sentinel trasmette i dati Syslog.
- Il daemon Syslog predefinito del dispositivo raccoglie gli eventi locali dei tipi specificati e inoltra gli eventi localmente all'agente.
- L'agente trasmette gli eventi all'area di lavoro Log Analytics.
- Dopo aver completato la configurazione, i messaggi Syslog vengono visualizzati nella tabella Syslog di Log Analytics e i messaggi CEF nella tabella CommonSecurityLog.
Per altre informazioni, vedere Syslog e Common Event Format (CEF) tramite connettori AMA per Microsoft Sentinel.
Log personalizzati
Per alcune origini dati, è possibile raccogliere i log come file in computer Windows o Linux usando l'agente di raccolta log personalizzato di Log Analytics.
Per connettersi usando l'agente di raccolta log personalizzato di Log Analytics, seguire la procedura descritta in ogni pagina del connettore dati di Microsoft Sentinel. Dopo aver completato la configurazione, i dati sono visualizzati nelle tabelle personalizzate.
Per altre informazioni, vedere Log personalizzati tramite il connettore dati AMA - Configurare l'inserimento dati in Microsoft Sentinel da applicazioni specifiche.
Integrazione da servizio a servizio per i connettori dati
Microsoft Sentinel usa le basi di Azure per fornire supporto predefinito da servizio a servizio per i servizi Microsoft e Amazon Web Services.
Per altre informazioni, vedere gli articoli seguenti:
- Connettere Microsoft Sentinel ai servizi Azure, Windows, Microsoft e Amazon
- Trovare il connettore dati di Microsoft Sentinel
Supporto del connettore dati
Microsoft e altre organizzazioni creano connettori dati di Microsoft Sentinel. Ogni connettore dati include uno dei tipi di supporto seguenti elencati nella pagina del connettore dati in Microsoft Sentinel.
Tipo di supporto | Descrizione |
---|---|
Supporto di Microsoft | Si applica a:
Connettori dati di supporto della community o dei partner creati da qualsiasi parte diversa da Microsoft. |
Supporto dei partner | Si applica ai connettori dati creati da parti diverse da Microsoft. L'azienda partner fornisce supporto o manutenzione per questi connettori dati. La società partner può essere un fornitore di software indipendente, un provider di servizi gestiti (MSP/MSSP), un integratore di sistemi (SI) o qualsiasi organizzazione le cui informazioni di contatto vengono fornite nella pagina di Microsoft Sentinel per il connettore dati selezionato. Per eventuali problemi relativi a un connettore dati supportato dal partner, contattare il contatto di supporto del connettore dati specificato. |
Supporto della community | Si applica ai connettori dati creati da Microsoft o dagli sviluppatori partner che non hanno elencato i contatti per il supporto e la manutenzione del connettore dati nella pagina del connettore dati in Microsoft Sentinel. Per domande o problemi con questi connettori dati, è possibile segnalare un problema nella community GitHub di Microsoft Sentinel. |
Per altre informazioni, vedere Trovare il supporto per un connettore dati.
Passaggi successivi
Per altre informazioni sui connettori dati, vedere gli articoli seguenti.
- Connettere le origini dati a Microsoft Sentinel usando i connettori dati
- Trovare il connettore dati di Microsoft Sentinel
- Risorse per la creazione di connettori personalizzati di Microsoft Sentinel
Per informazioni di riferimento di base sull'infrastruttura come codice (IaC) di Bicep, Azure Resource Manager e Terraform per distribuire connettori dati in Microsoft Sentinel, vedere Informazioni di riferimento sul connettore dati IaC di Microsoft Sentinel.