Condividi tramite

Connessione Microsoft Sentinel ad altri servizi Microsoft con un connettore dati basato su API

  • Articolo

Questo articolo descrive come stabilire connessioni basate su API a Microsoft Sentinel. Microsoft Sentinel usa la base di Azure per fornire supporto predefinito da servizio a servizio per l'inserimento di dati da molti servizi di Azure e Microsoft 365, Amazon Web Services e vari servizi Windows Server. Esistono alcuni metodi diversi tramite cui vengono effettuate queste connessioni.

Questo articolo presenta informazioni comuni al gruppo di connettori dati basati su API.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Prerequisiti

  • È necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro Log Analytics.

  • È necessario avere il ruolo di amministratore globale o amministratore della sicurezza nel tenant dell'area di lavoro di Microsoft Sentinel.

  • Requisiti specifici del connettore dati:

    Connettore dati Licenze, costi e altri prerequisiti
    Microsoft Entra ID Protection - Sottoscrizione di Microsoft Entra ID P2
    - Possono essere applicati altri addebiti
    Dynamics 365 - Licenza di produzione di Microsoft Dynamics 365. Non disponibile per gli ambienti sandbox.
    - Almeno un utente ha assegnato una licenza Microsoft/Office 365 E1 o successiva .
    - Registrazione di controllo abilitata in Microsoft Purview. Vedere Attivare o disattivare il controllo.
    - Registrazione di controllo abilitata nell'ambiente Microsoft Dataverse. Vedere Registrazione delle attività delle app basate su modello e Microsoft Dataverse.
    - Possono essere applicati altri addebiti.
    Microsoft Defender for Cloud Apps Per i log di Cloud Discovery, abilitare Microsoft Sentinel come siem nelle app di Microsoft Defender per il cloud
    Microsoft Defender for Endpoint Licenza valida per la distribuzione di Microsoft Defender per endpoint
    Microsoft Defender per Office 365 Licenza valida per Office 365 ATP Piano 2
    Microsoft Office 365 - La distribuzione di Office 365 deve trovarsi nello stesso tenant dell'area di lavoro di Microsoft Sentinel.
    - Possono essere applicati altri addebiti.
    Microsoft Power BI - La distribuzione di Office 365 deve trovarsi nello stesso tenant dell'area di lavoro di Microsoft Sentinel.
    - Possono essere applicati altri addebiti.
    Microsoft Purview Information Protection - La distribuzione di Office 365 deve trovarsi nello stesso tenant dell'area di lavoro di Microsoft Sentinel.
    - Possono essere applicati altri addebiti.
    Gestione dei rischi Insider di Microsoft Purview - Sottoscrizione valida per Microsoft 365 E5/A5/G5 o i relativi componenti aggiuntivi IRM o conformità.
    - Gestione dei rischi Insider Microsoft Purview l'onboarding completo e i criteri IRM definiti e generati avvisi.
    - Microsoft 365 IRM configurato per abilitare l'esportazione degli avvisi IRM nell'API Office 365 Management Activity per ricevere gli avvisi tramite il connettore Microsoft Sentinel.

Istruzioni

  1. Dal menu di spostamento di Microsoft Sentinel selezionare Connettori dati.

  2. Selezionare il servizio dalla raccolta di connettori dati e quindi selezionare Apri pagina Connessione or nel riquadro di anteprima.

  3. Selezionare Connessione per avviare lo streaming di eventi e/o avvisi dal servizio in Microsoft Sentinel.

  4. Se nella pagina del connettore è presente una sezione intitolata Crea eventi imprevisti - scelta consigliata!, selezionare Abilita se si desidera creare automaticamente eventi imprevisti dagli avvisi.

È possibile trovare ed eseguire query sui dati per ogni servizio usando i nomi di tabella visualizzati nella sezione relativa al connettore del servizio nella pagina di riferimento Connettori dati.

Passaggi successivi

Per altre informazioni, vedere: