Configurare i connettori dati in Microsoft Sentinel
Dopo aver eseguito l'onboarding di Microsoft Sentinel nell'area di lavoro, usare i connettori dati per avviare l'inserimento dei dati in Microsoft Sentinel. Microsoft Sentinel include molti connettori predefiniti per i servizi Microsoft, che si integrano in tempo reale. Ad esempio, il connettore Microsoft 365 Defender è un connettore da servizio a servizio che integra i dati di Office 365, Microsoft Entra ID, Microsoft Defender per identità e Microsoft Defender for Cloud Apps.
I connettori predefiniti consentono la connessione all'ecosistema di sicurezza più ampio per i prodotti non Microsoft. Ad esempio, usare Syslog, Common Event Format (CEF) o le API REST per connettere le origini dati a Microsoft Sentinel.
La pagina Connettori dati di Microsoft Sentinel mostra l'elenco completo dei connettori e il relativo stato per l'area di lavoro. Presto questa pagina mostrerà solo l'elenco dei connettori dati in uso.
Nota
Per aggiungere altri connettori dati, installare la soluzione associata al connettore dati dall'hub contenuto.
Abilitare un connettore dati
Nella pagina Connettori dati selezionare il connettore attivo o personalizzato che si vuole connettere e quindi selezionare Apri pagina connettore. Se non viene visualizzato il connettore dati desiderato, installare la soluzione associata dall'hub contenuto.
Dopo aver soddisfatto tutti i prerequisiti elencati nella scheda Istruzioni, la pagina del connettore descrive come inserire i dati in Microsoft Sentinel. L'arrivo dei dati potrebbe richiedere del tempo.
Dopo la connessione, viene visualizzato un riepilogo dei dati nel grafico Dati ricevuti e lo stato di connettività dei tipi di dati.
Integrazione dell'API REST per i connettori dati
Molte tecnologie di sicurezza forniscono un set di API per il recupero dei file di log e alcune origini dati possono usare tali API per connettersi a Microsoft Sentinel.
I connettori dati che usano le API si integrano dal lato provider o si integrano con Funzioni di Azure, come descritto nelle sezioni seguenti.
Integrazione dell'API REST sul lato provider
Un'integrazione API compilata dal provider si connette con le origini dati del provider ed esegue il push dei dati nelle tabelle di log personalizzate di Microsoft Sentinel usando l'API agente di raccolta dati di Monitoraggio di Azure.
Integrazione dell'API REST con Funzioni di Azure
Le integrazioni che usano Funzioni di Azure per connettersi con un'API del provider formattano prima i dati e quindi la inviano alle tabelle di log personalizzate di Microsoft Sentinel usando l'API dell'agente di raccolta dati di Monitoraggio di Azure.
Integrazione basata su agente per i connettori dati
Microsoft Sentinel può usare il protocollo Syslog per connettere un agente a qualsiasi origine dati in grado di eseguire flussi di log in tempo reale. Ad esempio, la maggior parte delle origini dati locali si connette usando l'integrazione basata su agente.
Le sezioni seguenti descrivono i diversi tipi di connettori dati basati sull'agente di Microsoft Sentinel. Seguire la procedura descritta in ogni pagina del connettore dati di Microsoft Sentinel per configurare le connessioni usando meccanismi basati su agenti.
syslog
È possibile trasmettere eventi da dispositivi basati su Linux e di supporto di Syslog in Microsoft Sentinel usando l'agente di Monitoraggio di Azure. A seconda del tipo di dispositivo, l'agente viene installato direttamente nel dispositivo o in un server d'inoltro dei log basato su Linux dedicato. L'AMA riceve eventi dal daemon Syslog su UDP. Il daemon Syslog inoltra gli eventi all'agente internamente, comunicando tramite UDS (Unix Domain Sockets). L'AMA trasmette quindi questi eventi all'area di lavoro di Microsoft Sentinel.
Ecco un flusso semplice che mostra come Microsoft Sentinel trasmette i dati Syslog.
- Il daemon Syslog predefinito del dispositivo raccoglie gli eventi locali dei tipi specificati e inoltra gli eventi localmente all'agente.
- L'agente trasmette gli eventi all'area di lavoro Log Analytics.
- Dopo aver completato la configurazione, i dati sono visualizzati nella tabella Syslog di Log Analytics.
Common Event Format (CEF)
I formati di log variano, ma molte origini supportano la formattazione basata su CEF. L'agente di Microsoft Sentinel, che è in realtà l'agente di Log Analytics, converte i log in formato CEF in un formato inseribile da Log Analytics.
Per le origini dati che generano dati in CEF, configurare l'agente Syslog e quindi configurare il flusso di dati CEF. Dopo aver completato la configurazione, i dati sono visualizzati nella tabella CommonSecurityLog.
Log personalizzati
Per alcune origini dati, è possibile raccogliere i log come file in computer Windows o Linux usando l'agente di raccolta log personalizzato di Log Analytics.
Seguire la procedura descritta in ogni pagina del connettore dati di Microsoft Sentinel per connettersi usando l'agente di raccolta log personalizzato di Log Analytics. Dopo aver completato la configurazione, i dati sono visualizzati nelle tabelle personalizzate.
Integrazione da servizio a servizio per i connettori dati
Microsoft Sentinel usa la base di Azure per fornire supporto predefinito da servizio a servizio per i servizi Microsoft e Amazon Web Services.
Distribuire connettori dati come parte di una soluzione
Le soluzioni di Microsoft Sentinel offrono pacchetti di contenuto di sicurezza, inclusi connettori dati, cartelle di lavoro, regole di analisi, playbook e altro ancora. Quando si distribuisce una soluzione con un connettore dati, si ottiene il connettore dati insieme al contenuto correlato nella stessa distribuzione.
Supporto del connettore dati
Microsoft e altre organizzazioni creano connettori dati di Microsoft Sentinel. Ogni connettore dati ha uno di questi tipi di supporto:
| Tipo di supporto | Descrizione |
|---|---|
| Supportata da Microsoft | Si applica ai connettori dati per le origini dati in cui Microsoft è il provider di dati e l'autore. Alcuni connettori dati creati da Microsoft per origini dati non Microsoft. Microsoft supporta e gestisce i connettori dati in questa categoria in base ai piani di supporto di Microsoft Azure. I partner o la community supportano i connettori dati creati da qualsiasi parte diversa da Microsoft. |
| Partner supportato | Si applica ai connettori dati creati da parti diverse da Microsoft. L'azienda partner fornisce supporto o manutenzione per questi connettori dati. La società partner può essere un fornitore di software indipendente, un provider di servizi gestiti, un integratore di sistemi o qualsiasi organizzazione le cui informazioni di contatto sono fornite nella pagina di Microsoft Sentinel per tale connettore dati. Per eventuali problemi con un connettore dati supportato dal partner, contattare il contatto di supporto del connettore dati specificato. |
| Community supportata | Si applica ai connettori dati creati da Microsoft o dagli sviluppatori partner che non hanno elencato i contatti per il supporto e la manutenzione del connettore dati nella pagina del connettore dati specificata in Microsoft Sentinel. |