Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come stabilire connessioni basate su API a Microsoft Sentinel. Microsoft Sentinel usa la base Azure per fornire supporto predefinito da servizio a servizio per l'inserimento di dati da molti servizi di Azure e Microsoft 365, Amazon Web Services e vari servizi di Windows Server. Esistono alcuni metodi diversi tramite i quali vengono effettuate queste connessioni.
Questo articolo presenta informazioni comuni al gruppo di connettori dati basati su API.
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud del governo degli Stati Uniti, vedere le tabelle Microsoft Sentinel in Disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.
Prerequisiti
È necessario disporre delle autorizzazioni di lettura e scrittura nell'area di lavoro Log Analytics.
È necessario avere un ruolo di amministratore della sicurezza nel tenant dell'area di lavoro di Microsoft Sentinel o le autorizzazioni equivalenti.
Requisiti specifici del connettore dati:
Connettore dati Licenze, costi e altri prerequisiti Microsoft Entra ID Protection - sottoscrizione di Microsoft Entra ID P2
- Potrebbero essere applicati altri addebitiDynamics 365 - Microsoft Dynamics 365 licenza di produzione. Non disponibile per gli ambienti sandbox.
- Almeno un utente ha assegnato una licenza Microsoft/Office 365 E1 o successiva.
- Registrazione di controllo abilitata in Microsoft Purview. Vedere Attivare o disattivare il controllo.
- Registrazione di controllo abilitata nell'ambiente Microsoft Dataverse. Vedere Registrazione delle attività di Microsoft Dataverse e delle app basate su modello.
- Potrebbero essere applicati altri addebiti.Microsoft Defender for Cloud Apps Per i log di Cloud Discovery, abilitare Microsoft Sentinel come SIEM in Microsoft Defender for Cloud Apps Microsoft Defender per endpoint Licenza valida per la distribuzione Microsoft Defender per endpoint Microsoft Defender per Office 365 Licenza valida per Office 365 piano ATP 2 Microsoft 365 - La distribuzione di Microsoft 365 deve trovarsi nello stesso tenant dell'area di lavoro Microsoft Sentinel.
- Potrebbero essere applicati altri addebiti.Microsoft Power BI - La distribuzione Office 365 deve trovarsi nello stesso tenant dell'area di lavoro Microsoft Sentinel.
- Potrebbero essere applicati altri addebiti.Microsoft Purview Information Protection - La distribuzione Office 365 deve trovarsi nello stesso tenant dell'area di lavoro Microsoft Sentinel.
- Potrebbero essere applicati altri addebiti.Gestione dei rischi Insider Microsoft Purview (IRM) - Sottoscrizione valida per Microsoft 365 E5/A5/G5 o i relativi componenti aggiuntivi Conformità o IRM.
- Gestione dei rischi Insider Microsoft Purview completamente onboarding e i criteri IRM hanno definito e generato avvisi.
- Microsoft 365 IRM configurato per abilitare l'esportazione di avvisi IRM nell'API attività di gestione Office 365 per ricevere gli avvisi tramite il connettore Microsoft Sentinel.
Connettersi ai servizi Microsoft tramite connettori basati su API
Dal menu di spostamento Microsoft Sentinel selezionare Connettori dati.
Selezionare il servizio dalla raccolta di connettori dati e quindi selezionare Open Connector Page (Apri pagina connettore) nel riquadro di anteprima.
Selezionare Connetti per avviare lo streaming di eventi e/o avvisi dal servizio in Microsoft Sentinel.
Se nella pagina del connettore è presente una sezione intitolata Creare eventi imprevisti - consigliati!, selezionare Abilita se si vuole creare automaticamente eventi imprevisti dagli avvisi.
È possibile trovare ed eseguire query sui dati per ogni servizio usando i nomi di tabella visualizzati nella sezione relativa al connettore del servizio nella pagina di riferimento Connettori dati .
Contenuto correlato
Per altre informazioni, vedere: