Gegevensconnectorproviders begrijpen
Microsoft Defender XDR
De Microsoft Defender XDR-gegevensconnector biedt waarschuwingen, incidenten en onbewerkte gegevens van de Microsoft Defender XDR-producten, waaronder (maar zijn niet beperkt tot):
Microsoft Defender voor Eindpunten
Microsoft Defender for Identity
Microsoft Defender for Office 365
Microsoft Defender for Cloud Apps
Microsoft Azure-services
De connectors voor Microsoft- en Azure-gerelateerde services omvatten (maar zijn niet beperkt tot):
Microsoft Entra ID
Azure-activiteit
Microsoft Entra ID-beveiliging
Azure DDoS-beveiliging
Microsoft Defender for IoT
Azure Information Protection
Azure Firewall
Microsoft Defender for Cloud
Azure Web Application Firewall (WAF) (voorheen Microsoft WAF)
Domeinnaamserver
Office 365
Windows Firewall
Beveiligingsevenementen
Leveranciersconnectors
Microsoft Sentinel biedt een steeds groeiende lijst met leverancierspecifieke gegevensconnectors. Deze connectors maken voornamelijk gebruik van de CEF- en Syslog-connector als basis.
Tip
Vergeet niet om de connectorpagina te controleren om het gegevenstype (tabel) te zien waarnaar de connector schrijft.
Aangepaste connectors met behulp van de Log Analytics-API
U kunt de Log Analytics Data Collector-API gebruiken om logboekgegevens te verzenden naar de Microsoft Sentinel Log Analytics-werkruimte.
Logstash-invoegtoepassing
Met behulp van de uitvoerinvoegtoepassing van Microsoft Sentinel voor de Logstash-gegevensverzamelingsengine kunt u elk gewenst logboek rechtstreeks via Logstash verzenden naar uw Log Analytics-werkruimte in Microsoft Sentinel. De logboeken worden geschreven naar een aangepaste tabel die u definieert met behulp van de uitvoerinvoegtoepassing.
Common Event Format en Syslog-connector
Als er geen door de leverancier geleverde connector is, kunt u de algemene CEF(Common Event Format) of Syslog Verbinding maken or gebruiken.
Syslog is een protocol voor logboekregistratie van gebeurtenissen dat gebruikelijk is voor Linux. Toepassingen verzenden berichten die kunnen worden opgeslagen op de lokale computer of worden bezorgd bij een Syslog-collector.
Common Event Format (CEF) is een industriestandaardindeling boven op Syslog-berichten, die door veel beveiligingsleveranciers wordt gebruikt om interoperabiliteit van gebeurtenissen tussen verschillende platforms mogelijk te maken.
Syslog versus Common Event Format
CEF is altijd een uitstekende keuze omdat de logboekgegevens worden geparseerd in vooraf gedefinieerde velden in de commonSecurityLog-tabel. Syslog biedt koptekstvelden, maar het onbewerkte logboekbericht wordt opgeslagen in een veld met de naam SyslogMessage in de Syslog-tabel. Als u query's wilt uitvoeren op de Syslog-gegevens, moet u een parser schrijven om de specifieke velden te extraheren. Het proces voor het maken van een Parser voor een Syslog-bericht wordt in een latere module gedemonstreerd.
opties voor Verbinding maken orarchitectuur
Als u de CEF of Syslog Collector wilt verbinden met Microsoft Sentinel, moet de agent worden geïmplementeerd op een toegewezen virtuele Azure-machine (VM) of een on-premises systeem ter ondersteuning van de communicatie van het apparaat met Microsoft Sentinel. U kunt de agent automatisch of handmatig implementeren. Automatische implementatie is alleen beschikbaar als uw toegewezen machine is verbonden met Azure Arc of een virtuele machine in Azure is.
Het volgende diagram illustreert on-premises systemen die Syslog-gegevens verzenden naar een toegewezen Azure-VM waarop de Microsoft Sentinel-agent wordt uitgevoerd.
U kunt de agent ook handmatig implementeren op een bestaande Azure-VM, op een VIRTUELE machine in een andere cloud of op een on-premises machine. Het volgende diagram illustreert on-premises systemen die Syslog-gegevens verzenden naar een toegewezen on-premises systeem waarop de Microsoft Sentinel-agent wordt uitgevoerd.
