Microsoft Sentinel-gegevensconnectors
Nadat u Microsoft Sentinel in uw werkruimte hebt toegevoegd, gebruikt u gegevensconnectors om uw gegevens op te nemen in Microsoft Sentinel. Microsoft Sentinel wordt geleverd met veel out-of-the-box-connectors voor Microsoft-services, die in realtime worden geïntegreerd. De Microsoft Defender XDR-connector is bijvoorbeeld een service-naar-service-connector die gegevens van Office 365, Microsoft Entra ID, Microsoft Defender for Identity en Microsoft Defender voor Cloud-apps integreert.
Ingebouwde connectors maken verbinding met het bredere beveiligingsecosysteem mogelijk voor niet-Microsoft-producten. Gebruik bijvoorbeeld Syslog, Common Event Format (CEF) of REST API's om uw gegevensbronnen te verbinden met Microsoft Sentinel.
Notitie
Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Microsoft Sentinel in de Defender-portal wordt nu ondersteund voor productiegebruik. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Gegevensconnectors die worden geleverd met oplossingen
Microsoft Sentinel-oplossingen bieden verpakte beveiligingsinhoud, waaronder gegevensconnectors, werkmappen, analyseregels, playbooks en meer. Wanneer u een oplossing met een gegevensconnector implementeert, krijgt u de gegevensconnector samen met gerelateerde inhoud in dezelfde implementatie.
Op de pagina Microsoft Sentinel-gegevensconnectors worden de geïnstalleerde of ingebruikte gegevensconnectors weergegeven.
Als u meer gegevensconnectors wilt toevoegen, installeert u de oplossing die is gekoppeld aan de gegevensconnector vanuit de Content Hub. Raadpleeg voor meer informatie de volgende artikelen:
- Uw Microsoft Sentinel-gegevensconnector zoeken
- Over Microsoft Sentinel-inhoud en -oplossingen
- Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren
- Microsoft Sentinel-inhoudshubcatalogus
- Op ASIM (Advanced Security Information Model) gebaseerde domeinoplossingen voor Microsoft Sentinel
REST API-integratie voor gegevensconnectors
Veel beveiligingstechnologieën bieden een set API's voor het ophalen van logboekbestanden. Sommige gegevensbronnen kunnen deze API's gebruiken om verbinding te maken met Microsoft Sentinel.
Gegevensconnectors die gebruikmaken van API's kunnen worden geïntegreerd vanuit de provider of integreren met behulp van Azure Functions, zoals beschreven in de volgende secties.
Integratie aan de providerzijde
Een API-integratie die door de provider is gebouwd, maakt verbinding met de gegevensbronnen van de provider en pusht gegevens naar aangepaste logboektabellen van Microsoft Sentinel met behulp van de Azure Monitor Data Collector-API. Zie Logboekgegevens verzenden naar Azure Monitor met behulp van de HTTP Data Collector-API voor meer informatie.
Lees de documentatie van uw provider en verbind uw gegevensbron met de REST-API van Microsoft Sentinel om gegevens op te nemen voor meer informatie over REST API-integratie.
Integratie met Behulp van Azure Functions
Integraties die Gebruikmaken van Azure Functions om eerst verbinding te maken met een provider-API, formatteren de gegevens en deze vervolgens verzenden naar aangepaste logboektabellen van Microsoft Sentinel met behulp van de Azure Monitor Data Collector-API.
Zie voor meer informatie:
- Logboekgegevens verzenden naar Azure Monitor met behulp van de HTTP Data Collector-API
- Azure Functions gebruiken om uw gegevensbron te verbinden met Microsoft Sentinel
- Documentatie van Azure Functions
Integraties die gebruikmaken van Azure Functions kunnen extra kosten voor gegevensopname hebben, omdat u Azure Functions in uw Azure-organisatie host. Meer informatie over prijzen van Azure Functions.
Integratie op basis van agents voor gegevensconnectors
Microsoft Sentinel kan agents gebruiken die worden geleverd door de Azure Monitor-service (waarop Microsoft Sentinel is gebaseerd) om gegevens te verzamelen uit elke gegevensbron die realtime logboekstreaming kan uitvoeren. De meeste on-premises gegevensbronnen maken bijvoorbeeld verbinding met behulp van integratie op basis van agents.
In de volgende secties worden de verschillende typen gegevensconnectors op basis van een Microsoft Sentinel-agent beschreven. Als u verbindingen wilt configureren met behulp van mechanismen op basis van agents, volgt u de stappen op elke microsoft Sentinel-gegevensconnectorpagina.
Belangrijk
De Log Analytics-agent wordt op 31 augustus 2024 buiten gebruik gesteld en is geslaagd door de Azure Monitor-agent (AMA). Als u de Log Analytics-agent in uw Microsoft Sentinel-implementatie gebruikt, raden we u aan uw migratie naar de AMA te plannen. Zie AMA-migratie voor Microsoft Sentinel voor meer informatie.
Syslog en Common Event Format (CEF)
U kunt gebeurtenissen streamen van op Linux gebaseerde, Syslog-ondersteunende apparaten naar Microsoft Sentinel met behulp van de Azure Monitor-agent (AMA). Logboekindelingen variëren, maar veel bronnen bieden ondersteuning voor CEF-opmaak. Afhankelijk van het apparaattype wordt de agent rechtstreeks op het apparaat geïnstalleerd of op een toegewezen doorstuurserver voor Linux-logboeken. De AMA ontvangt gewone Syslog- of CEF-gebeurtenisberichten van de Syslog-daemon via UDP. De Syslog-daemon stuurt gebeurtenissen intern door naar de agent en communiceert via TCP of UDS (Unix Domain Sockets), afhankelijk van de versie. De AMA verzendt deze gebeurtenissen vervolgens naar de Microsoft Sentinel-werkruimte.
Hier volgt een eenvoudige stroom die laat zien hoe Microsoft Sentinel Syslog-gegevens streamt.
- De ingebouwde Syslog-daemon van het apparaat verzamelt lokale gebeurtenissen van de opgegeven typen en stuurt de gebeurtenissen lokaal door naar de agent.
- De agent streamt de gebeurtenissen naar uw Log Analytics-werkruimte.
- Na een geslaagde configuratie worden Syslog-berichten weergegeven in de Tabel Log Analytics Syslog en CEF-berichten in de CommonSecurityLog-tabel .
Zie Syslog en Common Event Format (CEF) via AMA-connectors voor Microsoft Sentinel voor meer informatie.
Aangepaste logboeken
Voor sommige gegevensbronnen kunt u logboeken verzamelen als bestanden op Windows- of Linux-computers met behulp van de aangepaste Log Analytics-logboekverzamelingsagent.
Als u verbinding wilt maken met behulp van de aangepaste Log Analytics-agent voor logboekverzameling, volgt u de stappen op elke microsoft Sentinel-gegevensconnectorpagina. Na een geslaagde configuratie worden de gegevens weergegeven in aangepaste tabellen.
Zie Gegevens verzamelen in aangepaste logboekindelingen naar Microsoft Sentinel met de Log Analytics-agent voor meer informatie.
Service-naar-service-integratie voor gegevensconnectors
Microsoft Sentinel maakt gebruik van de Azure-basis om out-of-the-box service-to-service-ondersteuning te bieden voor Microsoft-services en Amazon Web Services.
Raadpleeg voor meer informatie de volgende artikelen:
- Microsoft Sentinel verbinden met Azure-, Windows-, Microsoft- en Amazon-services
- Uw Microsoft Sentinel-gegevensconnector zoeken
Ondersteuning voor gegevensconnector
Zowel Microsoft als andere organisaties schrijven Microsoft Sentinel-gegevensconnectors. Elke gegevensconnector heeft een van de volgende ondersteuningstypen die worden vermeld op de pagina gegevensconnector in Microsoft Sentinel.
Ondersteuningstype | Beschrijving |
---|---|
Door Microsoft ondersteund | Van toepassing op:
Partners of de Community ondersteunen gegevensconnectors die zijn gemaakt door een andere partij dan Microsoft. |
Partner ondersteund | Van toepassing op gegevensconnectors die zijn gemaakt door andere partijen dan Microsoft. Het partnerbedrijf biedt ondersteuning of onderhoud voor deze gegevensconnectors. Het partnerbedrijf kan een onafhankelijke softwareleverancier, een managed serviceprovider (MSP/MSSP), een systeemintegrator (SI) of een organisatie zijn waarvan de contactgegevens worden opgegeven op de pagina Microsoft Sentinel voor die gegevensconnector. Neem contact op met de opgegeven ondersteuningsmedewerker voor gegevensconnector voor eventuele problemen met een gegevensconnector die door een partner wordt ondersteund. |
Community ondersteund | Van toepassing op gegevensconnectors die zijn gemaakt door Microsoft- of partnerontwikkelaars die geen contactpersonen hebben vermeld voor ondersteuning en onderhoud van de gegevensconnector op de pagina van de gegevensconnector in Microsoft Sentinel. Voor vragen of problemen met deze gegevensconnectors kunt u een probleem indienen in de GitHub-community van Microsoft Sentinel. |
Zie Ondersteuning zoeken voor een gegevensconnector voor meer informatie.
Volgende stappen
Zie de volgende artikelen voor meer informatie over gegevensconnectors.
- Uw gegevensbronnen verbinden met Microsoft Sentinel met behulp van gegevensconnectors
- Uw Microsoft Sentinel-gegevensconnector zoeken
- Resources voor het maken van aangepaste Microsoft Sentinel-connectors
Zie de IaC-referentie voor Microsoft Sentinel-gegevensconnector voor een basisreferentie van Bicep, Azure Resource Manager en Terraform voor het implementeren van gegevensconnectors in Microsoft Sentinel.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor