Microsoft Sentinel-gegevensconnectors

Nadat u Microsoft Sentinel in uw werkruimte hebt toegevoegd, gebruikt u gegevensconnectors om uw gegevens op te nemen in Microsoft Sentinel. Microsoft Sentinel wordt geleverd met veel out-of-the-box-connectors voor Microsoft-services, die in realtime worden geïntegreerd. De Microsoft Defender XDR-connector is bijvoorbeeld een service-naar-service-connector waarmee gegevens uit Office 365, Microsoft Entra ID, Microsoft Defender for Identity en Microsoft Defender voor Cloud-apps worden geïntegreerd.

Ingebouwde connectors maken verbinding met het bredere beveiligingsecosysteem mogelijk voor niet-Microsoft-producten. Gebruik bijvoorbeeld Syslog, Common Event Format (CEF) of REST API's om uw gegevensbronnen te verbinden met Microsoft Sentinel.

Meer informatie over typen Microsoft Sentinel-gegevensconnectors of meer informatie over de catalogus met Microsoft Sentinel-oplossingen.

Op de pagina Microsoft Sentinel-gegevensconnectors ziet u de volledige lijst met connectors en hun status voor uw werkruimte. Binnenkort wordt op deze pagina alleen de lijst met in-use gegevensconnectors weergegeven. Zie Out-of-the-Box-inhouds centralisatiewijzigingen voor meer informatie over deze aanstaande wijziging

Screenshot of the data connectors gallery.

Als u meer gegevensconnectors wilt toevoegen, installeert u de oplossing die is gekoppeld aan de gegevensconnector vanuit de Content Hub. Raadpleeg voor meer informatie de volgende artikelen:

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Een gegevensconnector inschakelen

Selecteer op de pagina Gegevensconnectors de actieve of aangepaste connector die u wilt verbinden en selecteer vervolgens de pagina Connector openen. Als u de gewenste gegevensconnector niet ziet, installeert u de oplossing die eraan is gekoppeld vanuit de Content Hub.

  • Zodra u aan alle vereisten voldoet die worden vermeld op het tabblad Instructies , wordt op de connectorpagina beschreven hoe u de gegevens opneemt in Microsoft Sentinel. Het kan enige tijd duren voordat gegevens binnenkomen.

  • Nadat u verbinding hebt gemaakt, ziet u een samenvatting van de gegevens in de grafiek Ontvangen gegevens en de connectiviteitsstatus van de gegevenstypen.

    Screenshot showing how to configure data connectors.

Meer informatie over uw specifieke gegevensconnector in de naslaginformatie over gegevensconnectors.

REST API-integratie voor gegevensconnectors

Veel beveiligingstechnologieën bieden een set API's voor het ophalen van logboekbestanden en sommige gegevensbronnen kunnen deze API's gebruiken om verbinding te maken met Microsoft Sentinel.

Gegevensconnectors die gebruikmaken van API's kunnen worden geïntegreerd vanuit de provider of integreren met behulp van Azure Functions, zoals beschreven in de volgende secties.

Meer informatie over gegevensconnectors vindt u in de naslaginformatie over gegevensconnectors.

REST API-integratie aan de providerzijde

Een API-integratie die door de provider is gebouwd, maakt verbinding met de gegevensbronnen van de provider en pusht gegevens naar aangepaste logboektabellen van Microsoft Sentinel met behulp van de Azure Monitor Data Collector-API.

Lees de documentatie van uw provider en Verbinding maken uw gegevensbron naar de REST-API van Microsoft Sentinel om gegevens op te nemen voor meer informatie over REST API-integratie.

REST API-integratie met Behulp van Azure Functions

Integraties die Gebruikmaken van Azure Functions om eerst verbinding te maken met een provider-API, formatteren de gegevens en deze vervolgens verzenden naar aangepaste logboektabellen van Microsoft Sentinel met behulp van de Azure Monitor Data Collector-API. Meer informatie over het gebruik van Azure Functions om uw gegevensbron te verbinden met Microsoft Sentinel.

Belangrijk

Integraties die gebruikmaken van Azure Functions kunnen extra kosten voor gegevensopname hebben, omdat u Azure Functions op uw Azure-tenant host. Meer informatie over prijzen van Azure Functions.

Integratie op basis van agents voor gegevensconnectors

Microsoft Sentinel kan het Syslog-protocol gebruiken om een agent te verbinden met elke gegevensbron die realtime logboekstreaming kan uitvoeren. De meeste on-premises gegevensbronnen maken bijvoorbeeld verbinding met behulp van integratie op basis van agents.

In de volgende secties worden de verschillende typen gegevensconnectors op basis van een Microsoft Sentinel-agent beschreven. Volg de stappen op elke microsoft Sentinel-gegevensconnectorpagina om verbindingen te configureren met behulp van mechanismen op basis van agents.

Meer informatie over welke firewalls, proxy's en eindpunten verbinding maken met Microsoft Sentinel via CEF of Syslog in de naslaginformatie over gegevensconnectors.

Syslog

U kunt gebeurtenissen streamen van op Linux gebaseerde Syslog-ondersteunende apparaten naar Microsoft Sentinel met behulp van de Azure Monitor-agent (AMA). Afhankelijk van het apparaattype wordt de agent rechtstreeks op het apparaat geïnstalleerd of op een toegewezen doorstuurserver voor Linux-logboeken. De AMA ontvangt gebeurtenissen van de Syslog-daemon via UDP. De Syslog-daemon stuurt gebeurtenissen intern door naar de agent en communiceert via UDS (Unix Domain Sockets). De AMA verzendt deze gebeurtenissen vervolgens naar de Microsoft Sentinel-werkruimte.

Hier volgt een eenvoudige stroom die laat zien hoe Microsoft Sentinel Syslog-gegevens streamt.

  1. De ingebouwde Syslog-daemon van het apparaat verzamelt lokale gebeurtenissen van de opgegeven typen en stuurt de gebeurtenissen lokaal door naar de agent.
  2. De agent streamt de gebeurtenissen naar uw Log Analytics-werkruimte.
  3. Na een geslaagde configuratie worden de gegevens weergegeven in de Tabel Log Analytics Syslog.

Common Event Format (CEF)

Logboekindelingen variëren, maar veel bronnen bieden ondersteuning voor CEF-opmaak. De Microsoft Sentinel-agent, die in feite de Log Analytics-agent is, converteert cef-opgemaakte logboeken naar een indeling die Log Analytics kan opnemen.

Voor gegevensbronnen die gegevens verzenden in CEF, stelt u de Syslog-agent in en configureert u vervolgens de CEF-gegevensstroom. Na een geslaagde configuratie worden de gegevens weergegeven in de commonSecurityLog-tabel .

Meer informatie over het verbinden van CEF-apparaten met Microsoft Sentinel.

Aangepaste logboeken

Voor sommige gegevensbronnen kunt u logboeken verzamelen als bestanden op Windows- of Linux-computers met behulp van de aangepaste Log Analytics-logboekverzamelingsagent.

Volg de stappen op elke microsoft Sentinel-gegevensconnectorpagina om verbinding te maken met behulp van de aangepaste logverzamelingsagent van Log Analytics. Na een geslaagde configuratie worden de gegevens weergegeven in aangepaste tabellen.

Informatie over het verzamelen van gegevens in aangepaste logboekindelingen naar Microsoft Sentinel met de Log Analytics-agent.

Service-naar-service-integratie voor gegevensconnectors

Microsoft Sentinel maakt gebruik van de Azure-basis om standaard service-naar-service-ondersteuning te bieden voor Microsoft-services en Amazon Web Services.

Meer informatie over het maken van verbinding met Azure-, Windows-, Microsoft- en Amazon-services of meer informatie over gegevensconnectorstypen in de naslaginformatie over gegevensconnectors.

Gegevensconnectors implementeren als onderdeel van een oplossing

Microsoft Sentinel-oplossingen bieden pakketten met beveiligingsinhoud, waaronder gegevensconnectors, werkmappen, analyseregels, playbooks en meer. Wanneer u een oplossing met een gegevensconnector implementeert, krijgt u de gegevensconnector samen met gerelateerde inhoud in dezelfde implementatie.

Meer informatie over het centraal detecteren en implementeren van Out-Of-The-Box-inhoud en -oplossingen van Microsoft Sentinel of meer informatie over de catalogus met Microsoft Sentinel-oplossingen.

Ondersteuning voor gegevensconnector

Zowel Microsoft als andere organisaties schrijven Microsoft Sentinel-gegevensconnectors. Elke gegevensconnector heeft een van deze ondersteuningstypen:

Ondersteuningstype Beschrijving
Door Microsoft ondersteund Van toepassing op:
  • Gegevensconnectors voor gegevensbronnen waar Microsoft de gegevensprovider en auteur is.
  • Sommige door Microsoft geschreven gegevensconnectors voor niet-Microsoft-gegevensbronnen.
Microsoft ondersteunt en onderhoudt gegevensconnectors in deze categorie volgens de Microsoft Azure-ondersteuningsplannen.

Partners of de Community ondersteunen gegevensconnectors die zijn geschreven door een andere partij dan Microsoft.
Partner ondersteund Van toepassing op gegevensconnectors die zijn gemaakt door andere partijen dan Microsoft.

Het partnerbedrijf biedt ondersteuning of onderhoud voor deze gegevensconnectors. Het partnerbedrijf kan een onafhankelijke softwareleverancier, een managed serviceprovider (MSP/MSSP), een systeemintegrator (SI) of een organisatie zijn waarvan de contactgegevens worden opgegeven op de pagina Microsoft Sentinel voor die gegevensconnector.

Neem contact op met de opgegeven ondersteuningsmedewerker voor gegevensconnector voor eventuele problemen met een gegevensconnector die door een partner wordt ondersteund.
Community ondersteund Van toepassing op gegevensconnectors die zijn gemaakt door Microsoft- of partnerontwikkelaars die geen contactpersonen hebben vermeld voor ondersteuning en onderhoud van de gegevensconnector op de opgegeven gegevensconnectorpagina in Microsoft Sentinel.

Voor vragen of problemen met deze gegevensconnectors kunt u een probleem indienen in de GitHub-community van Microsoft Sentinel.

De ondersteuningsmedewerker voor een gegevensconnector zoeken

  1. Selecteer de relevante connector op de pagina Microsoft Sentinel-gegevensconnectors.
  2. Als u toegang wilt krijgen tot ondersteuning en onderhoud voor de connector, gebruikt u de koppeling voor ondersteuningscontactpersoon in het veld Ondersteund door in het zijpaneel voor de verbindingsfunctie.

Screenshot showing the Supported by field for a data connector in Microsoft Sentinel.

Volgende stappen