łączniki danych Microsoft Sentinel

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Po dołączeniu Microsoft Sentinel do obszaru roboczego użyj łączników danych, aby rozpocząć pozyskiwanie danych do Microsoft Sentinel. Microsoft Sentinel zawiera wiele wbudowanych łączników dla usług firmy Microsoft, które integrują się w czasie rzeczywistym. Na przykład łącznik Microsoft Defender XDR to łącznik service-to-service, który integruje dane z Office 365, Microsoft Entra ID, Microsoft Defender for Identity i Microsoft Defender for Cloud Apps.

Wbudowane łączniki umożliwiają połączenie z szerszym ekosystemem zabezpieczeń dla produktów innych niż Microsoft. Na przykład użyj protokołu Syslog, common event format (CEF) lub interfejsów API REST, aby połączyć źródła danych z Microsoft Sentinel.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów rządowych USA.

Ważna

Zgodnie z ogłoszeniem z 2024 r. po 14 września 2026 r. starszy interfejs API modułu zbierającego dane HTTP nie będzie już obsługiwany. Źródła danych, integracje niestandardowe lub łączniki korzystające z interfejsu API modułu zbierającego dane HTTP powinny zostać przeniesione do obsługiwanej alternatywy, aby uniknąć potencjalnych przerw w pozyskiwaniu danych po tej dacie.

Jeśli obecnie używasz interfejsu API modułu zbierającego dane HTTP, zalecamy rozpoczęcie planowania migracji do interfejsu API pozyskiwania dzienników lub platformy CCF (Codeless Connector Framework), aby zapewnić nieprzerwane pozyskiwanie danych, lepszą niezawodność, skalowalność i długoterminową obsługę.

Zagadnienia dotyczące zarządzania danymi dla usługi data lake Microsoft Sentinel

W planowaniu zgodności i zarządzania danymi należy uwzględnić następujące kwestie:

  • RODO i przechowywanie danych

    • Administratorzy dzierżawy mogą korzystać z praw RODO przy użyciu funkcji przeczyszczania dla warstwy analizy. Nie ma to wpływu na warstwę usługi Data Lake.
    • Nie można oczyścić określonych rekordów z usługi Sentinel data lake. Usługa Data Lake zachowuje pozyskane dane dla zdefiniowanego okresu przechowywania, nawet jeśli dane zostaną usunięte w źródle lub w warstwie analizy.

  • Integracja usługi Purview. Zmiany ustawień usługi Purview nie mają żadnego wpływu na dane przechowywane w Sentinel data lake.

  • Lokalizacja magazynu Sentinel lokalizacje magazynu usługi Data Lake są wybierane przez administratora dzierżawy i mogą różnić się od podstawowej lokalizacji magazynu usług źródłowych.

Ważna

Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.

Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.

Łączniki danych dostarczane z rozwiązaniami

rozwiązania Microsoft Sentinel zapewniają spakowane zawartość zabezpieczeń, w tym łączniki danych, skoroszyty, reguły analizy, podręczniki i nie tylko. Podczas wdrażania rozwiązania za pomocą łącznika danych uzyskujesz łącznik danych wraz z powiązaną zawartością w tym samym wdrożeniu.

Strona łączników danych Microsoft Sentinel zawiera listę zainstalowanych lub używanych łączników danych.

Aby dodać więcej łączników danych, zainstaluj rozwiązanie skojarzone z łącznikiem danych z centrum zawartości. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

Tworzenie łączników niestandardowych

Jeśli nie możesz połączyć źródła danych z Microsoft Sentinel przy użyciu dowolnego z dostępnych rozwiązań, rozważ utworzenie własnego łącznika źródła danych. Na przykład wiele rozwiązań zabezpieczeń udostępnia zestaw interfejsów API do pobierania plików dziennika i innych danych zabezpieczeń z produktu lub usługi. Te interfejsy API łączą się z Microsoft Sentinel przy użyciu jednej z następujących metod:

  • Interfejsy API źródła danych są konfigurowane przy użyciu struktury łączników bez kodu.
  • Łącznik danych używa interfejsu API pozyskiwania dzienników dla usługi Azure Monitor w ramach funkcji Azure lub aplikacji logiki.

Do utworzenia łącznika niestandardowego można również użyć programu Azure Monitor Agent bezpośrednio lub usługi Logstash. Aby uzyskać więcej informacji, zobacz Zasoby do tworzenia łączników niestandardowych Microsoft Sentinel.

Integracja oparta na agentach dla łączników danych

Microsoft Sentinel może używać agentów udostępnianych przez usługę Azure Monitor (na której opiera się Microsoft Sentinel) do zbierania danych z dowolnego źródła danych, które może wykonywać przesyłanie strumieniowe dzienników w czasie rzeczywistym. Na przykład większość lokalnych źródeł danych łączy się przy użyciu integracji opartej na agentach.

W poniższych sekcjach opisano różne typy Microsoft Sentinel łączników danych opartych na agentach. Aby skonfigurować połączenia przy użyciu mechanizmów opartych na agentach, wykonaj kroki opisane na każdej stronie łącznika danych Microsoft Sentinel.

Dziennik systemowy i wspólny format zdarzeń (CEF)

Zdarzenia oparte na Linux urządzeniach obsługujących protokół Syslog można przesyłać strumieniowo do Microsoft Sentinel przy użyciu agenta Azure Monitor (AMA). Formaty dzienników są różne, ale wiele źródeł obsługuje formatowanie oparte na formacie CEF. W zależności od typu urządzenia agent jest instalowany bezpośrednio na urządzeniu lub w dedykowanym usłudze przesyłania dalej dzienników opartej na Linux. Usługa AMA odbiera zwykłe komunikaty zdarzeń protokołu Syslog lub CEF z demona Syslog za pośrednictwem protokołu UDP. Demon dziennika systemowego przekazuje zdarzenia do agenta wewnętrznie, komunikując się za pośrednictwem protokołu TCP lub UDS (Unix Domain Sockets), w zależności od wersji. Następnie usługa AMA przesyła te zdarzenia do obszaru roboczego Microsoft Sentinel.

Oto prosty przepływ, który pokazuje, jak Microsoft Sentinel przesyła strumieniowo dane dziennika systemowego.

  1. Wbudowany demon dziennika Syslog urządzenia zbiera lokalne zdarzenia określonych typów i przekazuje zdarzenia lokalnie do agenta.
  2. Agent przesyła strumieniowo zdarzenia do obszaru roboczego usługi Log Analytics.
  3. Po pomyślnej konfiguracji komunikaty dziennika systemu są wyświetlane w tabeli Dziennika systemowego usługi Log Analytics i komunikaty CEF w tabeli CommonSecurityLog .

Aby uzyskać więcej informacji, zobacz Syslog and Common Event Format (CEF) via AMA connectors for Microsoft Sentinel (Dziennik systemowy i wspólny format zdarzeń (CEF) za pośrednictwem łączników ama dla Microsoft Sentinel.

Dzienniki niestandardowe

W przypadku niektórych źródeł danych dzienniki można zbierać jako pliki na komputerach z systemem Windows lub Linux przy użyciu niestandardowego agenta zbierania dzienników usługi Log Analytics.

Aby nawiązać połączenie przy użyciu niestandardowego agenta zbierania dzienników usługi Log Analytics, wykonaj kroki opisane na każdej stronie łącznika Microsoft Sentinel danych. Po pomyślnej konfiguracji dane są wyświetlane w tabelach niestandardowych.

Aby uzyskać więcej informacji, zobacz Custom Logs via AMA data connector — Configure data ingestion to Microsoft Sentinel from specific applications (Dzienniki niestandardowe za pośrednictwem łącznika danych ama — konfigurowanie pozyskiwania danych w celu Microsoft Sentinel z określonych aplikacji).

Integracja typu service-to-service dla łączników danych

Microsoft Sentinel korzysta z Azure foundation, aby zapewnić wbudowaną obsługę usług firmy Microsoft i usług Amazon Web Services.

Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:

Obsługa łącznika danych

Zarówno firma Microsoft, jak i inne organizacje tworzyć Microsoft Sentinel łączniki danych. Każdy łącznik danych ma jeden z następujących typów obsługi wymienionych na stronie łącznika danych w Microsoft Sentinel.

Typ pomocy technicznej Opis
Obsługiwane przez firmę Microsoft Dotyczy:
  • Łączniki danych dla źródeł danych, w których firma Microsoft jest dostawcą danych i autorem.
  • Niektóre łączniki danych utworzone przez firmę Microsoft dla źródeł danych innych niż Microsoft.
Firma Microsoft obsługuje i utrzymuje łączniki danych w tej kategorii zgodnie z planami pomocy technicznej firmy Microsoft Azure.

Partnerzy lub community support data connectors authored by any party other than Microsoft (Partnerzy lub community support data connectors authored by any party other than Microsoft).
Obsługiwane przez partnerów Dotyczy łączników danych utworzonych przez strony inne niż Microsoft.

Firma partnerska zapewnia pomoc techniczną lub konserwację tych łączników danych. Firma partnerska może być niezależnym dostawcą oprogramowania, dostawcą usług zarządzanych (MSP/MSSP), integratorem systemów (SI) lub dowolną organizacją, której informacje kontaktowe są udostępniane na stronie Microsoft Sentinel dla tego łącznika danych.

W przypadku wszelkich problemów z łącznikiem danych obsługiwanym przez partnera skontaktuj się z określonym kontaktem pomocy technicznej łącznika danych.
Obsługiwane przez społeczność Dotyczy łączników danych utworzonych przez firmę Microsoft lub deweloperów partnerów, którzy nie mają list kontaktów dotyczących obsługi i konserwacji łącznika danych na stronie łącznika danych w Microsoft Sentinel.

W przypadku pytań lub problemów dotyczących tych łączników danych możesz złożyć problem w Microsoft Sentinel społeczności usługi GitHub.

Aby uzyskać więcej informacji, zobacz Znajdowanie obsługi łącznika danych.

Następne kroki

Aby uzyskać więcej informacji na temat łączników danych, zobacz następujące artykuły.

Aby zapoznać się z podstawowym odwołaniem infrastruktury jako kodu (IaC) bicep, Azure Resource Manager i terraform do wdrażania łączników danych w Microsoft Sentinel, zobacz dokumentację IaC łącznika danych Microsoft Sentinel.

  • Last updated on