Connettori dati di Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Dopo aver eseguito l'onboarding di Microsoft Sentinel nell'area di lavoro, usare i connettori dati per avviare l'inserimento dei dati in Microsoft Sentinel. Microsoft Sentinel include molti connettori predefiniti per servizi Microsoft, che si integrano in tempo reale. Ad esempio, il connettore Microsoft Defender XDR è un connettore da servizio a servizio che integra i dati da Office 365, Microsoft Entra ID, Microsoft Defender per identità e Microsoft Defender per il cloud Apps.

I connettori predefiniti consentono la connessione all'ecosistema di sicurezza più ampio per i prodotti non Microsoft. Ad esempio, usare Syslog, Common Event Format (CEF) o le API REST per connettere le origini dati a Microsoft Sentinel.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Connettori dati forniti con soluzioni

Le soluzioni di Microsoft Sentinel offrono contenuto di sicurezza in pacchetto, inclusi connettori dati, cartelle di lavoro, regole di analisi, playbook e altro ancora. Quando si distribuisce una soluzione con un connettore dati, si ottiene il connettore dati insieme al contenuto correlato nella stessa distribuzione.

Nella pagina Connettori dati di Microsoft Sentinel sono elencati i connettori dati installati o in uso.

Azure portal

Portale di Defender

Per aggiungere altri connettori dati, installare la soluzione associata al connettore dati dall'hub contenuto. Per altre informazioni, vedere gli articoli seguenti:

• Trovare il connettore dati di Microsoft Sentinel
• Informazioni sui contenuti e le soluzioni di Microsoft Sentinel
• Scoprire e gestire contenuti predefiniti di Microsoft Sentinel
• Catalogo dell'hub del contenuto di Microsoft Sentinel
• Soluzioni di dominio basate su Advanced Security Information Model (ASIM) per Microsoft Sentinel

Integrazione dell'API REST per i connettori dati

Molte tecnologie di sicurezza offrono un set di API per il recupero dei file di log. Alcune origini dati possono usare queste API per connettersi a Microsoft Sentinel.

I connettori dati che usano le API si integrano dal lato provider o si integrano usando Funzioni di Azure, come descritto nelle sezioni seguenti.

Integrazione sul lato provider

Un'integrazione api creata dal provider si connette con le origini dati del provider ed esegue il push dei dati nelle tabelle di log personalizzate di Microsoft Sentinel usando l'API agente di raccolta dati di Monitoraggio di Azure. Per altre informazioni, vedere Inviare dati di log a Monitoraggio di Azure usando l'API dell'agente di raccolta dati HTTP.

Per informazioni sull'integrazione dell'API REST, leggere la documentazione del provider e Connessione'origine dati all'API REST di Microsoft Sentinel per inserire i dati.

Integrazione con Funzioni di Azure

Le integrazioni che usano Funzioni di Azure per connettersi con un'API del provider formattano prima i dati e quindi la inviano alle tabelle di log personalizzate di Microsoft Sentinel usando l'API dell'agente di raccolta dati di Monitoraggio di Azure.

Per altre informazioni, vedi:

• Inviare dati di log a Monitoraggio di Azure usando l'API dell'agente di raccolta dati HTTP
• Usare Funzioni di Azure per connettere l'origine dati a Microsoft Sentinel
• Documentazione di Funzioni di Azure

Le integrazioni che usano Funzioni di Azure potrebbero avere costi aggiuntivi per l'inserimento dei dati, perché si ospitano Funzioni di Azure nell'organizzazione di Azure. Altre informazioni sui prezzi di Funzioni di Azure.

Integrazione basata su agente per i connettori dati

Microsoft Sentinel può usare il protocollo Syslog per connettere un agente a qualsiasi origine dati in grado di eseguire flussi di log in tempo reale. Ad esempio, la maggior parte delle origini dati locali si connette usando l'integrazione basata su agente.

Le sezioni seguenti descrivono i diversi tipi di connettori dati basati sull'agente di Microsoft Sentinel. Per configurare le connessioni tramite meccanismi basati su agente, seguire la procedura descritta in ogni pagina del connettore dati di Microsoft Sentinel.

syslog

È possibile trasmettere eventi da dispositivi basati su Linux e di supporto syslog in Microsoft Sentinel usando l'agente di Monitoraggio di Azure. A seconda del tipo di dispositivo, l'agente viene installato direttamente nel dispositivo o in un server d'inoltro dei log basato su Linux dedicato. L'ama riceve eventi dal daemon Syslog su UDP. Il daemon Syslog inoltra gli eventi all'agente internamente, comunicando tramite UDS (Unix Domain Sockets). L'ama trasmette quindi questi eventi all'area di lavoro di Microsoft Sentinel.

Ecco un flusso semplice che mostra come Microsoft Sentinel trasmette i dati Syslog.

1. Il daemon Syslog predefinito del dispositivo raccoglie gli eventi locali dei tipi specificati e inoltra gli eventi localmente all'agente.
2. L'agente trasmette gli eventi all'area di lavoro Log Analytics.
3. Dopo aver completato la configurazione, i dati sono visualizzati nella tabella Syslog di Log Analytics.

Per altre informazioni, vedere Esercitazione: Inoltrare i dati Syslog a un'area di lavoro Log Analytics con Microsoft Sentinel usando l'agente di Monitoraggio di Azure.

Common Event Format (CEF)

I formati di log variano, ma molte origini supportano la formattazione basata su CEF. L'agente di Microsoft Sentinel, che in realtà è l'agente di Log Analytics, converte i log in formato CEF in un formato che Log Analytics può inserire.

Per le origini dati che generano dati in CEF, configurare l'agente Syslog e quindi configurare il flusso di dati CEF. Dopo aver completato la configurazione, i dati sono visualizzati nella tabella CommonSecurityLog .

Per altre informazioni, vedere Ottenere log in formato CEF dal dispositivo o dall'appliance in Microsoft Sentinel.

Log personalizzati

Per alcune origini dati, è possibile raccogliere i log come file in computer Windows o Linux usando l'agente di raccolta log personalizzato di Log Analytics.

Per connettersi usando l'agente di raccolta log personalizzato di Log Analytics, seguire la procedura descritta in ogni pagina del connettore dati di Microsoft Sentinel. Dopo aver completato la configurazione, i dati sono visualizzati nelle tabelle personalizzate.

Per altre informazioni, vedere Raccogliere dati in formati di log personalizzati in Microsoft Sentinel con l'agente di Log Analytics.

Integrazione da servizio a servizio per i connettori dati

Microsoft Sentinel usa le basi di Azure per fornire supporto predefinito da servizio a servizio per servizi Microsoft e Amazon Web Services.

Per altre informazioni, vedere gli articoli seguenti:

• Connessione Microsoft Sentinel ai servizi Azure, Windows, Microsoft e Amazon
• Trovare il connettore dati di Microsoft Sentinel

Supporto del connettore dati

Microsoft e altre organizzazioni creano connettori dati di Microsoft Sentinel. Ogni connettore dati include uno dei tipi di supporto seguenti elencati nella pagina del connettore dati in Microsoft Sentinel.

Tipo di supporto	Descrizione
Microsoft supportato	Si applica a: Connettori dati per le origini dati in cui Microsoft è il provider di dati e l'autore. Alcuni connettori dati creati da Microsoft per origini dati non Microsoft. Microsoft supporta e gestisce i connettori dati in questa categoria in base ai piani di supporto di Microsoft Azure. I partner o i connettori dati supportati dalla community creati da qualsiasi parte diversa da Microsoft.
Supporto per i partner	Si applica ai connettori dati creati da parti diverse da Microsoft. L'azienda partner fornisce supporto o manutenzione per questi connettori dati. La società partner può essere un fornitore di software indipendente, un provider di servizi gestiti (MSP/MSSP), un integratore di sistemi (SI) o qualsiasi organizzazione le cui informazioni di contatto vengono fornite nella pagina di Microsoft Sentinel per tale connettore dati. Per eventuali problemi con un connettore dati supportato dal partner, contattare il contatto di supporto del connettore dati specificato.
Supportato dalla community	Si applica ai connettori dati creati da Microsoft o dagli sviluppatori partner che non hanno elencato i contatti per il supporto e la manutenzione del connettore dati nella pagina del connettore dati in Microsoft Sentinel. Per domande o problemi con questi connettori dati, è possibile segnalare un problema nella community GitHub di Microsoft Sentinel.

Per altre informazioni, vedere Trovare il supporto per un connettore dati.

Passaggi successivi

Per altre informazioni sui connettori dati, vedere gli articoli seguenti.

• Connessione le origini dati in Microsoft Sentinel usando i connettori dati
• Trovare il connettore dati di Microsoft Sentinel
• Risorse per la creazione di connettori personalizzati di Microsoft Sentinel

Per informazioni di riferimento di base su Infrastruttura distribuita come codice (IaC) di Bicep, Azure Resource Manager e Terraform per distribuire connettori dati in Microsoft Sentinel, vedere Informazioni di riferimento sul connettore dati di Microsoft Sentinel.