Подключение источника данных к API сборщика данных Microsoft Sentinel для приема данных
Интеграции API, созданные сторонними поставщиками, извлекают данные из источников данных своих продуктов и подключаются к API сборщика данных Azure Monitor в Microsoft Sentinel, чтобы помещать данные в пользовательские таблицы журналов в рабочей области Microsoft Sentinel.
В большинстве случаев можно найти всю информацию, необходимую для настройки этих источников данных для подключения к Microsoft Sentinel, в документации каждого поставщика.
Проверьте раздел вашего продукта на странице справки по соединителям данных, чтобы найти дополнительные инструкции, которые могут там появиться, а также ссылки на инструкции поставщика.
Данные будут храниться в географическом расположении рабочей области, в которой выполняется Microsoft Sentinel.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.
Необходимые компоненты
У вас должны быть разрешения на чтение и запись в рабочей области Microsoft Sentinel.
У вас должны быть разрешения на чтение общих ключей для рабочей области. Дополнительные сведения о ключах рабочей области.
Установите решение продукта из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".
Настройка и подключение источника данных
На портале Microsoft Sentinel в меню навигации выберите Соединители данных.
Выберите запись своего продукте в галерее соединителей данных, а затем нажмите кнопку Открыть страницу соединителей.
Выполните все шаги, которые появляются на странице соединителя, или используйте любые ссылки на инструкции поставщика, которые там содержатся.
При запросе ввода идентификатора рабочей области и первичного ключа скопируйте их со страницы соединителя данных и вставьте в конфигурацию в соответствии с инструкциями поставщика. См. пример ниже.
Поиск данных
После успешного установления соединения данные появятся в области Журналы в разделе CustomLogs. Найдите страницу продукта из ссылки на соединители данных для имен таблиц.
Чтобы запросить данные из продукта, используйте эти имена таблиц в запросе.
Прежде чем ваши журналы начнут отображаться в Log Analytics, может пройти до 20 минут.
Следующие шаги
В этом документе вы узнали, как подключить внешние источники данных к API сборщика данных Microsoft Sentinel.
Ознакомьтесь с дополнительными сведениями о Microsoft Sentinel в следующих статьях:
- Узнайте, как отслеживать свои данные и потенциальные угрозы.
- Узнайте, как приступить к обнаружению угроз с помощью Microsoft Sentinel.
- Используйте книги для мониторинга данных.