Łączenie usługi Microsoft Sentinel z innymi usługi firmy Microsoft za pomocą łącznika danych opartego na interfejsie API
W tym artykule opisano sposób tworzenia połączeń opartych na interfejsie API z usługą Microsoft Sentinel. Usługa Microsoft Sentinel korzysta z podstaw platformy Azure, aby zapewnić wbudowaną obsługę usług do obsługi pozyskiwania danych z wielu usług platformy Azure i platformy Microsoft 365, usług Amazon Web Services i różnych usług systemu Windows Server. Istnieje kilka różnych metod, za pomocą których te połączenia są wykonywane.
W tym artykule przedstawiono informacje wspólne dla grupy łączników danych opartych na interfejsie API.
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.
Wymagania wstępne
Musisz mieć uprawnienia do odczytu i zapisu w obszarze roboczym usługi Log Analytics.
Musisz mieć rolę administratora zabezpieczeń w dzierżawie obszaru roboczego usługi Microsoft Sentinel lub równoważnych uprawnieniach.
Wymagania specyficzne dla łącznika danych:
Łącznik danych Licencjonowanie, koszty i inne wymagania wstępne Microsoft Entra ID — ochrona - Subskrypcja microsoft Entra ID P2
- Mogą obowiązywać inne opłatyDynamics 365 - Licencja produkcyjna firmy Microsoft Dynamics 365. Niedostępne dla środowisk piaskownicy.
— Co najmniej jeden użytkownik przypisał licencję microsoft/Office 365 E1 lub nowszą .
— Rejestrowanie inspekcji włączone w usłudze Microsoft Purview. Zobacz Włączanie lub wyłączanie inspekcji.
— Rejestrowanie inspekcji włączone w środowisku microsoft Dataverse. Zobacz Rejestrowanie aktywności aplikacji opartych na modelu i usługi Microsoft Dataverse.
- Mogą obowiązywać inne opłaty.Microsoft Defender for Cloud Apps W przypadku dzienników rozwiązania Cloud Discovery włącz usługę Microsoft Sentinel jako rozwiązanie SIEM w usłudze Microsoft Defender dla Chmury Apps Usługa Microsoft Defender dla punktu końcowego Ważna licencja na wdrożenie Ochrona punktu końcowego w usłudze Microsoft Defender Microsoft Defender dla usługi Office 365 Ważna licencja usługi Office 365 ATP (plan 2) Usługa Microsoft Office 365 — Wdrożenie usługi Office 365 musi znajdować się w tej samej dzierżawie co obszar roboczy usługi Microsoft Sentinel.
- Mogą obowiązywać inne opłaty.Microsoft Power BI — Wdrożenie usługi Office 365 musi znajdować się w tej samej dzierżawie co obszar roboczy usługi Microsoft Sentinel.
- Mogą obowiązywać inne opłaty.Microsoft Purview Information Protection — Wdrożenie usługi Office 365 musi znajdować się w tej samej dzierżawie co obszar roboczy usługi Microsoft Sentinel.
- Mogą obowiązywać inne opłaty.Zarządzanie ryzykiem wewnętrznym w Microsoft Purview (IRM) — Prawidłowa subskrypcja platformy Microsoft 365 E5/A5/G5 lub towarzyszących im dodatków Compliance lub IRM.
- Zarządzanie ryzykiem wewnętrznym w Microsoft Purview w pełni dołączone, a zasady usługi IRM zdefiniowane i generujące alerty.
- Usługa IRM platformy Microsoft 365 skonfigurowana do włączania eksportowania alertów usługi IRM do interfejsu API działań zarządzania usługi Office 365 w celu odbierania alertów za pośrednictwem łącznika usługi Microsoft Sentinel.
Instrukcje
Z menu nawigacji usługi Microsoft Sentinel wybierz pozycję Łączniki danych.
Wybierz swoją usługę z galerii łączników danych, a następnie wybierz pozycję Otwórz stronę łącznika w okienku podglądu.
Wybierz pozycję Połącz, aby rozpocząć przesyłanie strumieniowe zdarzeń i/lub alertów z usługi do usługi Microsoft Sentinel.
Jeśli na stronie łącznika znajduje się sekcja Zatytułowana Tworzenie zdarzeń — zalecane!, wybierz pozycję Włącz , jeśli chcesz automatycznie tworzyć zdarzenia na podstawie alertów.
Dane dla każdej usługi można znaleźć i wykonać względem nich zapytania, korzystając z nazw tabel wyświetlanych w sekcji łącznika usługi na stronie dokumentacji łączników danych.
Następne kroki
Aby uzyskać więcej informacji, zobacz: