Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule wymieniono wszystkie obsługiwane, wbudowane łączniki danych i linki do kroków wdrażania każdego łącznika.
Ważna
- Pamiętaj, że łączniki danych Microsoft Sentinel są obecnie w wersji zapoznawczej. Dodatkowe warunki Azure (wersja zapoznawcza) obejmują dodatkowe warunki prawne, które mają zastosowanie do funkcji Azure, które są w wersji beta, wersji zapoznawczej lub w inny sposób nie zostały jeszcze udostępnione do ogólnej dostępności.
- Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowowanych do portalu usługi Defender. Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Czas na przeniesienie: wycofanie Azure Portal Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Łączniki danych są dostępne w ramach następujących ofert:
Rozwiązania: Wiele łączników danych jest wdrażanych w ramach rozwiązania Microsoft Sentinel wraz z powiązaną zawartością, taką jak reguły analizy, skoroszyty i podręczniki. Aby uzyskać więcej informacji, zobacz katalog rozwiązań Microsoft Sentinel.
Łączniki społeczności: społeczność Microsoft Sentinel udostępnia więcej łączników danych i można je znaleźć w witrynie Azure Marketplace. Dokumentacja łączników danych społeczności jest odpowiedzialna za organizację, która utworzyła łącznik.
Łączniki niestandardowe: jeśli masz źródło danych, które nie jest wymienione lub obecnie obsługiwane, możesz również utworzyć własny łącznik niestandardowy. Aby uzyskać więcej informacji, zobacz Zasoby do tworzenia łączników niestandardowych Microsoft Sentinel.
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów rządowych USA.
Wymagania wstępne dotyczące łącznika danych
Każdy łącznik danych ma własny zestaw wymagań wstępnych. Wymagania wstępne mogą obejmować konieczność posiadania określonych uprawnień do Azure obszaru roboczego, subskrypcji lub zasad. Możesz też spełnić inne wymagania dotyczące źródła danych partnera, z którym nawiązujesz połączenie.
Wymagania wstępne dla każdego łącznika danych są wymienione na odpowiedniej stronie łącznika danych w Microsoft Sentinel.
Azure monitoruj łączniki danych oparte na agencie (AMA) wymagają połączenia internetowego z systemu, w którym jest zainstalowany agent. Włącz port 443 wychodzący, aby zezwolić na połączenie między systemem, w którym jest zainstalowany agent, a Microsoft Sentinel.
Łączniki Syslog i Common Event Format (CEF)
Zbieranie dzienników z wielu urządzeń i urządzeń zabezpieczeń jest obsługiwane przez dziennik Syslog łączników danych za pośrednictwem usługi AMA lub common event format (CEF) za pośrednictwem usługi AMA w Microsoft Sentinel. Aby przekazać dane do obszaru roboczego usługi Log Analytics dla Microsoft Sentinel, wykonaj kroki w temacie Pozyskiwanie dzienników i komunikatów CEF, aby Microsoft Sentinel za pomocą agenta Azure Monitor. Te kroki obejmują instalowanie rozwiązania Microsoft Sentinel dla urządzenia zabezpieczeń lub urządzenia z centrum zawartości w Microsoft Sentinel. Następnie skonfiguruj dziennik Syslog za pośrednictwem rozwiązania AMA lub Common Event Format (CEF) za pośrednictwem łącznika danych AMA, który jest odpowiedni dla zainstalowanego rozwiązania Microsoft Sentinel. Zakończ konfigurację, konfigurując urządzenie lub urządzenie zabezpieczające. Instrukcje dotyczące konfigurowania urządzenia lub urządzenia zabezpieczającego znajdują się w jednym z następujących artykułów:
- CEF za pośrednictwem łącznika danych AMA — konfigurowanie określonego urządzenia na potrzeby pozyskiwania danych Microsoft Sentinel
- Dziennik systemowy za pośrednictwem łącznika danych ama — konfigurowanie określonego urządzenia lub urządzenia do Microsoft Sentinel pozyskiwania danych
Skontaktuj się z dostawcą rozwiązania, aby uzyskać więcej informacji lub gdzie informacje są niedostępne dla urządzenia lub urządzenia.
Dzienniki niestandardowe za pośrednictwem łącznika ama
Filtruj i pozyskuj dzienniki w formacie pliku tekstowego z aplikacji sieciowych lub zabezpieczeń zainstalowanych na maszynach z systemem Windows lub Linux przy użyciu dzienników niestandardowych za pośrednictwem łącznika ama w Microsoft Sentinel. Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:
- Zbieranie dzienników z plików tekstowych za pomocą agenta Azure Monitor i pozyskiwanie w celu Microsoft Sentinel
- Dzienniki niestandardowe za pośrednictwem łącznika danych ama — konfigurowanie pozyskiwania danych w celu Microsoft Sentinel z określonych aplikacji
łączniki danych Sentinel
Uwaga
W poniższej tabeli wymieniono łączniki danych dostępne w centrum zawartości Microsoft Sentinel. Łączniki są obsługiwane przez dostawcę produktu. Aby uzyskać pomoc techniczną, zobacz link Obsługiwane przez .
Porada
Aby uzyskać listę tabel pozyskanych do Microsoft Sentinel i łączników, które je pozyskują, zobacz Microsoft Sentinel tabele i skojarzone łączniki.
1Password (bezserwerowy)
Obsługiwane przez:1Password
Łącznik 1Password CCF umożliwia użytkownikowi pozyskiwanie zdarzeń inspekcji 1Password, signin & itemUsage do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
OnePasswordEventLogs_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Token interfejsu API 1Password: wymagany jest token interfejsu API 1Password. Zapoznaj się z dokumentacją 1Password dotyczącą sposobu tworzenia tokenu interfejsu API.
1Password (przy użyciu Azure Functions)
Obsługiwane przez:1Password
Rozwiązanie 1Password dla Microsoft Sentinel umożliwia pozyskiwanie prób logowania, użycia elementów i zdarzeń inspekcji z konta 1Password Business przy użyciu interfejsu API raportowania zdarzeń 1Password. Umożliwia to monitorowanie i badanie zdarzeń w aplikacji 1Password w Microsoft Sentinel wraz z innymi aplikacjami i usługami używanymi przez organizację.
Używane podstawowe technologie firmy Microsoft:
To rozwiązanie zależy od następujących technologii, a niektóre z nich mogą być w stanie wersja zapoznawcza lub mogą ponieść dodatkowe pozyskiwanie lub koszty operacyjne:
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
OnePasswordEventLogs_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- Token interfejsu API zdarzeń 1Password: wymagany jest token interfejsu API zdarzeń 1Password. Aby uzyskać więcej informacji, zobacz interfejs API 1Password.
Uwaga: Wymagane jest konto 1Password Business
Obserwowanie A365
Obsługiwane przez:Microsoft Corporation
Łącznik danych usługi A365 Observability zapewnia bogatszy wgląd w działanie agenta sztucznej inteligencji, wprowadzając dane telemetryczne agenta sztucznej inteligencji z usług A365, AI Foundry i Copilot w Microsoft Sentinel data lake w celu zbadania zachowania agenta, użycia narzędzi i wykonywania przy użyciu przepływów pracy wyszukiwania zagrożeń, wykresów i mcp. Dane z tego łącznika służą do badania zachowania agenta sztucznej inteligencji, użycia narzędzi i wykonywania w Microsoft Sentinel. Jeśli te przepływy pracy zostały włączone, dezaktywowanie tego łącznika uniemożliwi wykonanie tych badań.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
AbnormalSecurity (przy użyciu funkcji Azure)
Obsługiwane przez:Nietypowe zabezpieczenia
Łącznik danych Nietypowe zabezpieczenia zapewnia możliwość pozyskiwania zagrożeń i dzienników przypadków w Microsoft Sentinel przy użyciu interfejsu API Rest nietypowych zabezpieczeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ABNORMAL_THREAT_MESSAGES_CL |
Nie | Nie |
ABNORMAL_CASES_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Nietypowy token interfejs API Zabezpieczenia: wymagany jest nietypowy token interfejs API Zabezpieczenia. Aby uzyskać więcej informacji, zobacz Nietypowe interfejs API Zabezpieczenia.
Uwaga: Wymagane jest nietypowe konto zabezpieczeń
AIShield
Obsługiwane przez:AIShield
Łącznik AIShield umożliwia użytkownikom łączenie się z dziennikami niestandardowego mechanizmu obrony AIShield za pomocą Microsoft Sentinel, co umożliwia tworzenie dynamicznych pulpitów nawigacyjnych, skoroszytów, notesów i dostosowanych alertów w celu usprawnienia badania i udaremnienia ataków na systemy sztucznej inteligencji. Zapewnia użytkownikom lepszy wgląd w zabezpieczenia zasobów sztucznej inteligencji w organizacji i poprawia możliwości operacji zabezpieczeń systemów sztucznej inteligencji. AIShield.GuArdIan analizuje zawartość wygenerowaną przez usługę LLM w celu identyfikowania i eliminowania szkodliwych treści, chroniąc przed naruszeniami prawa, zasad, ról i użycia
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AIShield_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Uwaga: użytkownicy powinni korzystać z oferty AIShield SaaS do przeprowadzania analizy luk w zabezpieczeniach i wdrażania niestandardowych mechanizmów obrony generowanych wraz z zasobami sztucznej inteligencji.
Kliknij tutaj , aby dowiedzieć się więcej lub skontaktować się z nami.
Alibaba Cloud ActionTrail (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Alibaba Cloud ActionTrail zapewnia możliwość pobierania zdarzeń actiontrail przechowywanych w usłudze Alibaba Cloud Simple Log Service i przechowywania ich w Microsoft Sentinel za pośrednictwem interfejsu API REST sls. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AliCloudActionTrailLogs_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Poświadczenia/uprawnienia interfejsu API REST sls: AliCloudAccessKeyId i AliCloudAccessKeySecret są wymagane do wykonywania wywołań interfejsu API. Instrukcja zasad pamięci RAM z akcją atleast
log:GetLogStoreLogsnad zasobemacs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName}jest potrzebna do udzielenia użytkownikowi pamięci RAM uprawnień do wywoływania tej operacji.
Alibaba Cloud Networking Data Connector (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Alibaba Cloud Networking zapewnia możliwość pozyskiwania danych sieciowych alibaba cloud do Microsoft Sentinel za pośrednictwem interfejsu API REST usługi Simple Log Service (SLS). Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik zapewnia możliwość pobierania dzienników przepływu VPC, dzienników zapory aplikacji internetowej i dzienników bramy interfejsu API z chmury Alibaba.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AlibabaCloudVPCFlowLogs |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Alibaba Cloud SLS API access: Alibaba Cloud Simple Log Service access is required for the SLS API .Alibaba Cloud Simple Log Service access is required for the SLS API (Dostęp do interfejsu API SLS w chmurze Alibaba Cloud Simple Log Service jest wymagany dla interfejsu API SLS).
AliCloud (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik danych AliCloud umożliwia pobieranie dzienników z aplikacji w chmurze przy użyciu interfejsu API chmury i przechowywanie zdarzeń w Microsoft Sentinel za pośrednictwem interfejsu API REST. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AliCloud_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: AliCloudAccessKeyId i AliCloudAccessKey są wymagane do wykonywania wywołań interfejsu API.
Amazon Web Services
Obsługiwane przez:Microsoft Corporation
Instrukcje dotyczące nawiązywania połączenia z usługą AWS i przesyłania strumieniowego dzienników usługi CloudTrail do Microsoft Sentinel są wyświetlane podczas procesu instalacji. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AWSCloudTrail |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Amazon Web Services CloudFront (za pośrednictwem struktury łączników bez kodu) (wersja zapoznawcza)
Obsługiwane przez:Microsoft Corporation
Ten łącznik danych umożliwia integrację dzienników usługi CloudFront platformy AWS z Microsoft Sentinel w celu obsługi zaawansowanego wykrywania zagrożeń, badania i monitorowania zabezpieczeń. Korzystając z usługi Amazon S3 do przechowywania dzienników i usługi Amazon SQS do kolejkowania komunikatów, łącznik niezawodnie pozyskuje dzienniki dostępu cloudfront do Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AWSCloudFront_AccessLog_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Elastyczne równoważenie obciążenia usług Amazon Web Services (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik usługi AWS Elastic Load Balancing (ELB) dla Microsoft Sentinel umożliwia pozyskiwanie dzienników dostępu i dzienników przepływu z modułów równoważenia obciążenia aplikacji platformy AWS (ALB), modułów równoważenia obciążenia sieciowego (NLB) i modułów równoważenia obciążenia bramy (GLB) do Microsoft Sentinel. Te dzienniki zawierają szczegółowe informacje o żądaniach przetwarzanych przez moduły równoważenia obciążenia i przepływy ruchu VPC, umożliwiające monitorowanie zabezpieczeń, wykrywanie zagrożeń i analizę ruchu.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AWSALBAccessLogsData |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
ARN roli usługi AWS IAM i kolejki SQS: ARN roli usługi AWS IAM z dostępem między kontami i adres URL kolejki SQS skonfigurowane dla powiadomień o zdarzeniach S3 są wymagane. Aby uzyskać instrukcje dotyczące konfiguracji, zobacz dokumentację łącznika AWS ELB .
Amazon Web Services NetworkFirewall (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Ten łącznik danych umożliwia pozyskiwanie dzienników zapory sieciowej platformy AWS do Microsoft Sentinel w celu zaawansowanego wykrywania zagrożeń i monitorowania zabezpieczeń. Korzystając z usług Amazon S3 i Amazon SQS, łącznik przekazuje dzienniki ruchu sieciowego, alerty wykrywania włamań i zdarzenia zapory do Microsoft Sentinel, umożliwiając analizę w czasie rzeczywistym i korelację z innymi danymi zabezpieczeń
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AWSNetworkFirewallFlow |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Amazon Web Services S3
Obsługiwane przez:Microsoft Corporation
Ten łącznik umożliwia pozyskiwanie dzienników usługi AWS zebranych w zasobnikach AWS S3 w celu Microsoft Sentinel. Obecnie obsługiwane typy danych to:
- AWS CloudTrail
- Dzienniki przepływu VPC
- AWS GuardDuty
- AWSCloudWatch
Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AWSGuardDuty |
Tak | Tak |
AWSVPCFlow |
Tak | Tak |
AWSCloudTrail |
Tak | Tak |
AWSCloudWatch |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Środowisko: Musisz mieć zdefiniowane i skonfigurowane następujące zasoby platformy AWS: S3, Simple Queue Service (SQS), role IAM i zasady uprawnień oraz usługi AWS, których dzienniki chcesz zebrać.
Amazon Web Services S3 DNS Route53 (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Ten łącznik umożliwia pozyskiwanie dzienników DNS usługi AWS Route 53 do Microsoft Sentinel w celu zwiększenia widoczności i wykrywania zagrożeń. Obsługuje ona dzienniki zapytań rozpoznawania nazw DNS pozyskiwane bezpośrednio z zasobników usług AWS S3, natomiast dzienniki zapytań publicznego systemu DNS i dzienniki inspekcji usługi Route 53 można pozyskiwać przy użyciu łączników AWS CloudWatch i CloudTrail Microsoft Sentinel. Dostępne są kompleksowe instrukcje, które przeprowadzą Cię przez proces konfiguracji każdego typu dziennika. Skorzystaj z tego łącznika, aby monitorować aktywność DNS, wykrywać potencjalne zagrożenia i poprawiać stan zabezpieczeń w środowiskach chmury.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AWSRoute53Resolver |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Amazon Web Services S3 WAF
Obsługiwane przez:Microsoft Corporation
Ten łącznik umożliwia pozyskiwanie dzienników zapory aplikacji internetowych platformy AWS zebranych w zasobnikach AWS S3 w celu Microsoft Sentinel. Dzienniki zapory aplikacji internetowej platformy AWS to szczegółowe rekordy ruchu analizowanego przez listy kontroli dostępu do sieci Web (ACL), które są niezbędne do utrzymania bezpieczeństwa i wydajności aplikacji internetowych. Te dzienniki zawierają informacje, takie jak czas odebrania żądania przez aplikację internetową platformy AWS, szczegóły żądania i akcja podjęta przez regułę dopasowaną do żądania.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AWSWAF |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Anvilogic
Obsługiwane przez:Anvilogic
Łącznik danych anvilogic umożliwia ściąganie pożądanych zdarzeń generowanych w klastrze ADX systemu Anvilogic do Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Anvilogic_Alerts_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Anvilogic Application Registration Client ID and Client Secret (Identyfikator klienta rejestracji aplikacji anvilogic i klucz tajny klienta): aby uzyskać dostęp do rozwiązania Anvilogic ADX, wymagamy identyfikatora klienta i klucza tajnego klienta z rejestracji aplikacji Anvilogic
ARGOS Cloud Security
Obsługiwane przez:ARGOS Cloud Security
Integracja rozwiązania ARGOS Cloud Security dla Microsoft Sentinel umożliwia posiadanie wszystkich ważnych zdarzeń zabezpieczeń w chmurze w jednym miejscu. Dzięki temu można łatwo tworzyć pulpity nawigacyjne, alerty i korelować zdarzenia w wielu systemach. Ogólnie rzecz biorąc, poprawi to stan zabezpieczeń organizacji i reakcję na zdarzenia dotyczące zabezpieczeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ARGOS_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Działania alertów armis (przy użyciu Azure Functions)
Obsługiwane przez:Armis Corporation
Łącznik Działania alertów armis umożliwia pozyskiwanie alertów i działań armis do Microsoft Sentinel za pośrednictwem interfejsu API REST armis. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją https://<YourArmisInstance>.armis.com/api/v1/docs interfejsu API. Łącznik zapewnia możliwość uzyskiwania informacji o alertach i działaniach z platformy Armis oraz identyfikowania i określania priorytetów zagrożeń w środowisku. Usługa Armis używa istniejącej infrastruktury do odnajdywania i identyfikowania urządzeń bez konieczności wdrażania jakichkolwiek agentów.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Armis_Alerts_CL |
Nie | Nie |
Armis_Activities_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: wymagany jest klucz tajny armis . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API
https://<YourArmisInstance>.armis.com/api/v1/doc
Urządzenia Armis (przy użyciu Azure Functions)
Obsługiwane przez:Armis Corporation
Łącznik urządzenia Armis umożliwia pozyskiwanie urządzeń Armis do Microsoft Sentinel za pośrednictwem interfejsu API REST armis. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją https://<YourArmisInstance>.armis.com/api/v1/docs interfejsu API. Łącznik zapewnia możliwość pobierania informacji o urządzeniu z platformy Armis. Usługa Armis używa istniejącej infrastruktury do odnajdywania i identyfikowania urządzeń bez konieczności wdrażania jakichkolwiek agentów. Pakiet Armis może również integrować się z istniejącymi narzędziami do zarządzania zabezpieczeniami & IT w celu identyfikowania i klasyfikowania każdego urządzenia, zarządzanego lub niezarządzanego w środowisku.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Armis_Devices_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: wymagany jest klucz tajny armis . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API
https://<YourArmisInstance>.armis.com/api/v1/doc
Alerty usługi Atlassian Beacon
Obsługiwane przez:DEFEND Ltd.
Atlassian Beacon to produkt w chmurze, który jest przeznaczony do inteligentnego wykrywania zagrożeń na platformach Atlassian (Jira, Confluence i Atlassian Administracja). Może to ułatwić użytkownikom wykrywanie, badanie i reagowanie na ryzykowne działania użytkowników dla pakietu produktów Atlassian. Rozwiązaniem jest niestandardowy łącznik danych firmy DEFEND Ltd., który służy do wizualizowania alertów pozyskanych z usługi Atlassian Beacon do Microsoft Sentinel za pośrednictwem aplikacji logiki.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
atlassian_beacon_alerts_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Atlassian Confluence Audit (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Atlassian Confluence Audit umożliwia pozyskiwanie zdarzeń rekordów inspekcji confluence do Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ConfluenceAuditLogs_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Dostęp do interfejsu API Atlassian Confluence: aby uzyskać dostęp do interfejsu API dzienników inspekcji confluence, wymagane jest uprawnienie do administrowania aplikacją Confluence . Zobacz dokumentację interfejsu API confluence , aby dowiedzieć się więcej o interfejsie API inspekcji.
Atlassian Jira Audit (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik danych inspekcji atlassian Jira zapewnia możliwość pozyskiwania zdarzeń rekordów inspekcji Jira do Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Jira_Audit_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: JiraAccessToken, JiraUsername jest wymagane dla interfejsu API REST. Aby uzyskać więcej informacji, zobacz INTERFEJS API. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń.
Atlassian Jira Audit (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych inspekcji atlassian Jira zapewnia możliwość pozyskiwania zdarzeń rekordów inspekcji Jira do Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Jira_Audit_v2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Dostęp do interfejsu API Jira firmy Atlassian: aby uzyskać dostęp do interfejsu API dzienników inspekcji Jira, wymagane jest uprawnienie do administrowania usługą Jira . Zobacz dokumentację interfejsu API Jira , aby dowiedzieć się więcej o interfejsie API inspekcji.
Auth0 Access Management (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik danych usługi Auth0 Access Management zapewnia możliwość pozyskiwania zdarzeń dziennika uwierzytelniania Auth0 do Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Auth0AM_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: token interfejsu API jest wymagany. Aby uzyskać więcej informacji, zobacz Token interfejsu API
Dzienniki uwierzytelniania (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Auth0 umożliwia pozyskiwanie dzienników z interfejsu API usługi Auth0 do Microsoft Sentinel. Łącznik danych jest oparty na Microsoft Sentinel platformie łączników bez kodu. Używa interfejsu API Auth0 do pobierania dzienników i obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują odebrane dane zabezpieczeń w tabeli niestandardowej, dzięki czemu zapytania nie muszą ich ponownie analizować, co zapewnia lepszą wydajność.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Auth0Logs_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Automated Logic WebCTRL
Obsługiwane przez:Microsoft Corporation
Dzienniki inspekcji można przesyłać strumieniowo z serwera SQL WebCTRL hostowanego na maszynach z systemem Windows połączonych z Microsoft Sentinel. To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Daje to wgląd w przemysłowe systemy sterowania, które są monitorowane lub kontrolowane przez aplikację WEBCTRL BAS.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Event |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Łącznik danych AWS EKS (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych AWS EKS umożliwia pozyskiwanie dzienników inspekcji z usługi Amazon Elastic Kubernetes Service do Microsoft Sentinel. Ten łącznik koncentruje się na dziennikach inspekcji EKS (format JSON), które zawierają szczegółowe informacje o żądaniach serwera interfejsu API, decyzjach dotyczących uwierzytelniania i działaniach klastra. Łącznik używa usług AWS SQS do otrzymywania powiadomień, gdy nowe pliki dziennika inspekcji są eksportowane do S3, zapewniając monitorowanie zabezpieczeń i śledzenie zgodności w czasie rzeczywistym dla klastrów Kubernetes.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AWSEKSLogs_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Dzienniki dostępu do serwera AWS S3 (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Ten łącznik umożliwia pozyskiwanie dzienników dostępu serwera AWS S3 do Microsoft Sentinel. Te dzienniki zawierają szczegółowe rekordy żądań do zasobników S3, w tym typ żądania, dostępny zasób, informacje o żądaniu i szczegóły odpowiedzi. Te dzienniki są przydatne do analizowania wzorców dostępu, debugowania problemów i zapewniania zgodności zabezpieczeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AWSS3ServerAccess |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Środowisko: Musisz mieć zdefiniowane i skonfigurowane następujące zasoby platformy AWS: S3 Bucket, Simple Queue Service (SQS), role IAM i zasady uprawnień.
Wyniki usługi AWS Security Hub (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Ten łącznik umożliwia pozyskiwanie wyników usługi AWS Security Hub, które są zbierane w zasobnikach AWS S3, do Microsoft Sentinel. Pomaga usprawnić proces monitorowania alertów zabezpieczeń i zarządzania nimi, integrując rozwiązania AWS Security Hub Findings z zaawansowanymi funkcjami wykrywania zagrożeń i reagowania na nie Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AWSSecurityHubFindings |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Środowisko: Musisz mieć zdefiniowane i skonfigurowane następujące zasoby platformy AWS: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), role IAM i zasady uprawnień.
działanie Azure
Obsługiwane przez:Microsoft Corporation
Azure Dziennik aktywności to dziennik subskrypcji, który zapewnia wgląd w zdarzenia na poziomie subskrypcji występujące w Azure, w tym zdarzenia z Azure Resource Manager danych operacyjnych, zdarzenia kondycji usługi, operacje zapisu wykonywane na zasobach w subskrypcji oraz stan działań wykonywanych w Azure. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureActivity |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
konto Azure Batch
Obsługiwane przez:Microsoft Corporation
Azure Batch Account jest unikatowo zidentyfikowaną jednostką w usłudze Batch. Większość rozwiązań usługi Batch używa usługi Azure Storage do przechowywania plików zasobów i plików wyjściowych, więc każde konto usługi Batch jest zwykle skojarzone z odpowiednim kontem magazynu. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych konta Azure Batch do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureDiagnostics |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Zasady: rola właściciela przypisana do każdego zakresu przypisania zasad
Azure CloudNGFW by Palo Alto Networks
Obsługiwane przez:Palo Alto Networks
Zapora następnej generacji firmy Palo Alto Networks — Azure natywna usługa ISV — to zapora sieci Palo Alto Networks nowej generacji (NGFW) dostarczana jako usługa natywna dla chmury na Azure. Usługę Cloud NGFW można odnajdywać w witrynie Azure Marketplace i korzystać z niej w sieciach wirtualnych Azure. Dzięki usłudze Cloud NGFW możesz uzyskać dostęp do podstawowych funkcji NGFW, takich jak app-id, technologie oparte na filtrowaniu adresów URL. Zapewnia zapobieganie zagrożeniom i wykrywanie ich za pośrednictwem usług zabezpieczeń dostarczanych przez chmurę i sygnatur zapobiegania zagrożeniom. Łącznik umożliwia łatwe łączenie dzienników usługi Cloud NGFW z Microsoft Sentinel, wyświetlanie pulpitów nawigacyjnych, tworzenie niestandardowych alertów i ulepszanie badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci organizacji i zwiększyć możliwości operacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz dokumentację usługi Cloud NGFW for Azure.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
fluentbit_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Azure Cognitive Search
Obsługiwane przez:Microsoft Corporation
Azure Cognitive Search to usługa wyszukiwania w chmurze, która udostępnia deweloperom infrastrukturę, interfejsy API i narzędzia do tworzenia rozbudowanego środowiska wyszukiwania w prywatnej, heterogenicznej zawartości w aplikacjach internetowych, mobilnych i dla przedsiębiorstw. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych Azure Cognitive Search do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureDiagnostics |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Zasady: rola właściciela przypisana do każdego zakresu przypisania zasad
Azure DDoS Protection
Obsługiwane przez:Microsoft Corporation
Nawiązywanie połączenia z dziennikami Azure DDoS Protection w warstwie Standardowa za pośrednictwem dzienników diagnostycznych publicznych adresów IP. Oprócz podstawowej ochrony przed atakami DDoS na platformie Azure DDoS Protection Standard zapewnia zaawansowane możliwości ograniczania ryzyka ataków sieciowych. Jest ona automatycznie dostosowywana w celu ochrony określonych zasobów Azure. Ochrona jest prosta do włączenia podczas tworzenia nowych sieci wirtualnych. Można to również zrobić po utworzeniu i nie wymaga żadnych zmian aplikacji ani zasobów. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureDiagnostics |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Azure dzienników inspekcji devops (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Azure DevOps Audit Logs umożliwia pozyskiwanie zdarzeń inspekcji z usługi Azure DevOps do Microsoft Sentinel. Ten łącznik danych jest kompilowany przy użyciu Microsoft Sentinel Codeless Connector Framework, zapewniając bezproblemową integrację. Wykorzystuje interfejs API dzienników inspekcji Azure DevOps do pobierania szczegółowych zdarzeń inspekcji i obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR. Te przekształcenia umożliwiają analizowanie odebranych danych inspekcji do tabeli niestandardowej podczas pozyskiwania, poprawiając wydajność zapytań, eliminując konieczność dodatkowej analizy. Za pomocą tego łącznika możesz uzyskać lepszy wgląd w środowisko Azure DevOps i usprawnić operacje zabezpieczeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ADOAuditLogs_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Azure wymagania wstępne usługi DevOps: Upewnij się, że:
1. Zarejestruj aplikację Entra w centrum Microsoft Entra Administracja w obszarze Rejestracje aplikacji.
2. W obszarze "Uprawnienia interfejsu API" dodaj uprawnienia do elementu "Azure DevOps — vso.auditlog".
3. W obszarze "Certyfikaty & wpisy tajne" — wygeneruj wartość "Klucz tajny klienta".
4. W obszarze "Uwierzytelnianie" dodaj identyfikator URI przekierowania znajdujący się poniżej w odpowiednim polu.
5. W ustawieniach Azure DevOps — włącz dziennik inspekcji i ustaw dla użytkownika pozycję Wyświetl dziennik inspekcji. Azure inspekcji devops.
6. Upewnij się, że użytkownik przypisany do połączenia z łącznikiem danych ma jawnie ustawione uprawnienie Wyświetl dzienniki inspekcji na wartość Zezwalaj przez cały czas. To uprawnienie jest niezbędne do pomyślnego pozyskiwania dzienników. Jeśli uprawnienie zostanie odwołane lub nie zostanie udzielone, pozyskiwanie danych zakończy się niepowodzeniem lub zostanie przerwane.
centrum zdarzeń Azure
Obsługiwane przez:Microsoft Corporation
Azure Event Hubs to platforma przesyłania strumieniowego danych big data i usługa pozyskiwania zdarzeń. Może odbierać i przetwarzać miliony zdarzeń na sekundę. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych usługi Azure Event Hub do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureDiagnostics |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Zasady: rola właściciela przypisana do każdego zakresu przypisania zasad
Azure Firewall
Obsługiwane przez:Microsoft Corporation
Połącz się z Azure Firewall. Azure Firewall jest zarządzaną, opartą na chmurze sieciową usługą zabezpieczeń, która chroni zasoby Azure Virtual Network. Jest to w pełni stanowa zapora jako usługa z wbudowaną wysoką dostępnością i nieograniczoną skalowalnością chmury. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureDiagnostics |
Nie | Nie |
AZFWApplicationRule |
Tak | Tak |
AZFWFlowTrace |
Tak | Tak |
AZFWFatFlow |
Tak | Tak |
AZFWNatRule |
Tak | Tak |
AZFWDnsQuery |
Tak | Tak |
AZFWIdpsSignature |
Tak | Tak |
AZFWInternalFqdnResolutionFailure |
Tak | Tak |
AZFWNetworkRule |
Tak | Tak |
AZFWThreatIntel |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Azure Key Vault
Obsługiwane przez:Microsoft Corporation
Azure Key Vault jest usługą w chmurze do bezpiecznego przechowywania wpisów tajnych i uzyskiwania do nich dostępu. Wpis tajny to wszystko, do czego chcesz ściśle kontrolować dostęp, takie jak klucze interfejsu API, hasła, certyfikaty lub klucze kryptograficzne. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych Azure Key Vault do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności we wszystkich wystąpieniach. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureDiagnostics |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Azure Kubernetes Service (AKS)
Obsługiwane przez:Microsoft Corporation
Azure Kubernetes Service (AKS) to w pełni zarządzana usługa aranżacji kontenerów typu open source, która umożliwia wdrażanie i skalowanie kontenerów platformy Docker i aplikacji opartych na kontenerach oraz zarządzanie nimi w środowisku klastra. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych Azure Kubernetes Service (AKS) do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności we wszystkich wystąpieniach. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureDiagnostics |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Azure Logic Apps
Obsługiwane przez:Microsoft Corporation
Azure Logic Apps to oparta na chmurze platforma do tworzenia i uruchamiania zautomatyzowanych przepływów pracy, które integrują aplikacje, dane, usługi i systemy. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych usługi Azure Logic Apps do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureDiagnostics |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Zasady: rola właściciela przypisana do każdego zakresu przypisania zasad
Azure Resource Graph
Obsługiwane przez:Microsoft Corporation
łącznik Azure Resource Graph zapewnia bardziej szczegółowe informacje na temat zdarzeń Azure, uzupełniając szczegóły dotyczące subskrypcji Azure i zasobów Azure.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Zasady: uprawnienie roli właściciela dla subskrypcji Azure
Azure Service Bus
Obsługiwane przez:Microsoft Corporation
Azure Service Bus jest w pełni zarządzanym brokerem komunikatów przedsiębiorstwa z kolejkami komunikatów i tematami publikowania i subskrybowania (w przestrzeni nazw). Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych Azure Service Bus do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureDiagnostics |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Zasady: rola właściciela przypisana do każdego zakresu przypisania zasad
bazy danych Azure SQL
Obsługiwane przez:Microsoft Corporation
Azure SQL jest w pełni zarządzanym aparatem bazy danych PaaS (Platform-as-a-Service), który obsługuje większość funkcji zarządzania bazami danych, takich jak uaktualnianie, stosowanie poprawek, tworzenie kopii zapasowych i monitorowanie, bez konieczności angażowania użytkowników. Ten łącznik umożliwia przesyłanie strumieniowe dzienników inspekcji i diagnostyki baz danych Azure SQL do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności we wszystkich wystąpieniach.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureDiagnostics |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
konto magazynu Azure
Obsługiwane przez:Microsoft Corporation
Azure Konto magazynu to rozwiązanie w chmurze dla nowoczesnych scenariuszy magazynowania danych. Zawiera wszystkie obiekty danych: obiekty blob, pliki, kolejki, tabele i dyski. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych kont usługi Azure Storage do obszaru roboczego Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności we wszystkich wystąpieniach i wykrywanie złośliwych działań w organizacji. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureMetrics |
Nie | Nie |
StorageBlobLogs |
Tak | Tak |
StorageQueueLogs |
Tak | Tak |
StorageTableLogs |
Tak | Tak |
StorageFileLogs |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Zasady: rola właściciela przypisana do każdego zakresu przypisania zasad
Azure Stream Analytics
Obsługiwane przez:Microsoft Corporation
Azure Stream Analytics to aparat analizy w czasie rzeczywistym i złożony aparat przetwarzania zdarzeń, który jest przeznaczony do analizowania i przetwarzania dużych ilości danych szybkiego przesyłania strumieniowego z wielu źródeł jednocześnie. Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych centrum analizy Azure Stream do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureDiagnostics |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Zasady: rola właściciela przypisana do każdego zakresu przypisania zasad
Azure Web Application Firewall (Zapora aplikacji internetowej)
Obsługiwane przez:Microsoft Corporation
Połącz się z Azure Web Application Firewall (WAF) dla Application Gateway, front door lub CDN. Ta zapora aplikacji internetowej chroni aplikacje przed typowymi lukami w zabezpieczeniach sieci Web, takimi jak wstrzyknięcie kodu SQL i wykonywanie skryptów między witrynami, oraz umożliwia dostosowanie reguł w celu zmniejszenia liczby wyników fałszywie dodatnich. Instrukcje przesyłania strumieniowego dzienników zapory aplikacji internetowej firmy Microsoft do Microsoft Sentinel są wyświetlane podczas procesu instalacji. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureDiagnostics |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
BETTER Mobile Threat Defense (MTD)
Obsługiwane przez:Better Mobile Security Inc.
Łącznik BETTER MTD Connector umożliwia przedsiębiorstwom łączenie swoich lepszych wystąpień MTD z Microsoft Sentinel, wyświetlanie danych na pulpitach nawigacyjnych, tworzenie niestandardowych alertów, używanie ich do wyzwalania podręczników i rozszerzanie możliwości wyszukiwania zagrożeń. Daje to użytkownikom więcej wglądu w urządzenia przenośne w organizacji i możliwość szybkiej analizy bieżącej kondycji zabezpieczeń urządzeń przenośnych, co zwiększa ich ogólne możliwości secops.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
BetterMTDIncidentLog_CL |
Nie | Nie |
BetterMTDDeviceLog_CL |
Nie | Nie |
BetterMTDNetflowLog_CL |
Nie | Nie |
BetterMTDAppLog_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
BeyondTrust PM Cloud
Obsługiwane przez:BeyondTrust
Łącznik danych BeyondTrust Privilege Management Cloud zapewnia możliwość pozyskiwania dzienników inspekcji aktywności i dzienników zdarzeń klienta z chmury BeyondTrust PM Cloud do Microsoft Sentinel.
Ten łącznik używa Azure Functions do ściągania danych z interfejsu API chmury BeyondTrust PM i pozyskiwania ich do niestandardowych tabel usługi Log Analytics.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
BeyondTrustPM_ActivityAudits_CL |
Tak | Tak |
BeyondTrustPM_ClientEvents_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia interfejsu API chmury BeyondTrust PM: wymagane są identyfikator klienta beyondtrust PM Cloud OAuth i klucz tajny klienta. Konto interfejsu API wymaga następujących uprawnień: Inspekcja — Tylko do odczytu i Raportowanie — tylko do odczytu
Łącznik DSPM BigID
Obsługiwane przez:BigID
Łącznik danych bigid DSPM zapewnia możliwość pozyskiwania DSPM bigidów z obiektami, których dotyczy problem, i informacji o źródłach danych do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
BigIDDSPMCatalog_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Dostęp do interfejsu API DSPM BigID: wymagany jest dostęp do interfejsu API DSPM BigID za pośrednictwem tokenu BigID.
Bitglass (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik danych bitglass zapewnia możliwość pobierania dzienników zdarzeń zabezpieczeń usług Bitglass i innych zdarzeń do Microsoft Sentinel za pośrednictwem interfejsu API REST. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
BitglassLogs_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: BitglassToken i BitglassServiceURL są wymagane do wykonywania wywołań interfejsu API.
Dzienniki zdarzeń Bitwarden
Obsługiwane przez:Bitwarden Inc
Ten łącznik zapewnia wgląd w działania organizacji Bitwarden, takie jak aktywność użytkownika (zalogowane, zmienione hasło, 2fa itp.), działanie szyfrowania (utworzone, zaktualizowane, usunięte, udostępnione itp.), działanie kolekcji, działanie organizacji i inne.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
BitwardenEventLogs |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Bitwarden Client Id i Client Secret: Twój klucz interfejsu API można znaleźć w konsoli administracyjnej organizacji Bitwarden. Aby uzyskać więcej informacji , zobacz dokumentację rozwiązania Bitwarden .
Box (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Box zapewnia możliwość pozyskiwania zdarzeń box enterprise do Microsoft Sentinel przy użyciu interfejsu API REST box. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Box .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
BoxEvents_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia interfejsu API box: plik JSON konfiguracji box jest wymagany do uwierzytelniania JWT interfejsu API REST box. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie JWT.
Zdarzenia box (CCF)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Box zapewnia możliwość pozyskiwania zdarzeń box enterprise do Microsoft Sentinel przy użyciu interfejsu API REST box. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Box .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
BoxEventsV2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Poświadczenia interfejsu API box: interfejs API box wymaga identyfikatora klienta usługi Box App i klucza tajnego klienta do uwierzytelnienia. Aby uzyskać więcej informacji, zobacz Udzielanie poświadczeń klienta
-
Box Enterprise ID: Do nawiązania połączenia jest wymagany identyfikator Box Enterprise. Zobacz dokumentację, aby znaleźć identyfikator przedsiębiorstwa
łącznik Check Point CloudGuard CNAPP dla Microsoft Sentinel
Obsługiwane przez:Check Point
Łącznik danych CloudGuard umożliwia pozyskiwanie zdarzeń zabezpieczeń z interfejsu API CloudGuard do Microsoft Sentinel ™ przy użyciu struktury łączników bezkodowych Microsoft Sentinel. Łącznik obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują przychodzące dane zdarzeń zabezpieczeń w kolumny niestandardowe. Ten proces wstępnej analizy eliminuje potrzebę analizowania czasu wykonywania zapytań, co zapewnia lepszą wydajność zapytań dotyczących danych.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CloudGuard_SecurityEvents_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Klucz interfejsu API usługi CloudGuard: zapoznaj się z instrukcjami podanymi tutaj , aby wygenerować klucz interfejsu API.
łącznik alertów Check Point Cyberint (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Cyberint
Cyberint, firma Check Point, zapewnia integrację Microsoft Sentinel w celu usprawnienia krytycznych alertów i wprowadzenia wzbogaconej analizy zagrożeń z rozwiązania Infinity External Risk Management do Microsoft Sentinel. Upraszcza to proces śledzenia stanu biletów za pomocą automatycznych aktualizacji synchronizacji w różnych systemach. Korzystając z tej nowej integracji dla Microsoft Sentinel, istniejący klienci Cyberint i Microsoft Sentinel mogą łatwo ściągać dzienniki na podstawie ustaleń Firmy Cyberint na platformę Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
argsentdc_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Check Point klucz interfejsu API Cyberint, adres URL argos i nazwa klienta: klucz interfejsu API łącznika, adres URL argos i nazwa klienta są wymagane
łącznik Check Point Cyberint IOC
Obsługiwane przez:Cyberint
Jest to łącznik danych dla Check Point Cyberint IOC.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
iocsent_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Check Point Klucz interfejsu API Cyberint i adres URL argos: klucz interfejsu API łącznika i adres URL argos są wymagane
Cisco ASA/FTD za pośrednictwem ama
Obsługiwane przez:Microsoft Corporation
Łącznik zapory Cisco ASA umożliwia łatwe łączenie dzienników usługi Cisco ASA z Microsoft Sentinel, wyświetlanie pulpitów nawigacyjnych, tworzenie niestandardowych alertów i ulepszanie badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci organizacji i zwiększyć możliwości operacji zabezpieczeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CommonSecurityLog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Aby zbierać dane z maszyn wirtualnych innych niż Azure, muszą mieć zainstalowane i włączone Azure Arc.
Dowiedz się więcej
Cisco Cloud Security (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Rozwiązanie Cisco Cloud Security dla Microsoft Sentinel umożliwia pozyskiwanie dzienników Cisco Secure Access i Cisco Umbrellaprzechowywanych w usłudze Amazon S3 do Microsoft Sentinel przy użyciu interfejsu API REST usługi Amazon S3. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją zarządzania dziennikami usługi Cisco Cloud Security .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Cisco_Umbrella_dns_CL |
Tak | Tak |
Cisco_Umbrella_proxy_CL |
Tak | Tak |
Cisco_Umbrella_ip_CL |
Tak | Tak |
Cisco_Umbrella_cloudfirewall_CL |
Tak | Tak |
Cisco_Umbrella_firewall_CL |
Tak | Tak |
Cisco_Umbrella_dlp_CL |
Nie | Nie |
Cisco_Umbrella_ravpnlogs_CL |
Nie | Nie |
Cisco_Umbrella_audit_CL |
Nie | Nie |
Cisco_Umbrella_ztna_CL |
Nie | Nie |
Cisco_Umbrella_intrusion_CL |
Nie | Nie |
Cisco_Umbrella_ztaflow_CL |
Nie | Nie |
Cisco_Umbrella_fileevent_CL |
Nie | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST platformy Amazon S3: identyfikator klucza dostępu platformy AWS, klucz dostępu tajnego platformy AWS, nazwa zasobnika usługi AWS S3 są wymagane dla interfejsu API REST usługi Amazon S3.
Cisco Cloud Security (przy użyciu elastycznego planu Premium) (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Cisco Umbrella zapewnia możliwość pozyskiwania zdarzeń Aplikacji Cisco Umbrella przechowywanych w usłudze Amazon S3 do Microsoft Sentinel przy użyciu interfejsu API REST usługi Amazon S3. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją zarządzania dziennikami aplikacji Cisco Umbrella .
UWAGA: Ten łącznik danych korzysta z planu Azure Functions Premium, aby umożliwić bezpieczne pozyskiwanie i poniesie dodatkowe koszty. Więcej informacji o cenach można znaleźć tutaj.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Cisco_Umbrella_dns_CL |
Tak | Tak |
Cisco_Umbrella_proxy_CL |
Tak | Tak |
Cisco_Umbrella_ip_CL |
Tak | Tak |
Cisco_Umbrella_cloudfirewall_CL |
Tak | Tak |
Cisco_Umbrella_firewall_CL |
Tak | Tak |
Cisco_Umbrella_dlp_CL |
Nie | Nie |
Cisco_Umbrella_ravpnlogs_CL |
Nie | Nie |
Cisco_Umbrella_audit_CL |
Nie | Nie |
Cisco_Umbrella_ztna_CL |
Nie | Nie |
Cisco_Umbrella_intrusion_CL |
Nie | Nie |
Cisco_Umbrella_ztaflow_CL |
Nie | Nie |
Cisco_Umbrella_fileevent_CL |
Nie | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- Poświadczenia/uprawnienia interfejsu API REST platformy Amazon S3: identyfikator klucza dostępu platformy AWS, klucz dostępu tajnego platformy AWS, nazwa zasobnika usługi AWS S3 są wymagane dla interfejsu API REST usługi Amazon S3.
-
uprawnienia Virtual Network (w przypadku dostępu prywatnego): w przypadku dostępu do konta magazynu prywatnego wymagane są uprawnienia Współautor sieci w Virtual Network i podsieci. Podsieć musi być delegowana do witryny Microsoft.Web/serverFarms na potrzeby integracji sieci wirtualnej aplikacji funkcji.
Cisco Duo Security (przy użyciu Azure Functions)
Obsługiwane przez:Cisco Systems
Łącznik danych Cisco Duo Security umożliwia pozyskiwanie dzienników uwierzytelniania, dzienników administratora, dzienników telefonii, dzienników rejestracji offline i zdarzeń monitora zaufania do Microsoft Sentinel przy użyciu interfejsu API Administracja Cisco Duo. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CiscoDuo_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia interfejsu API Cisco Duo: poświadczenia interfejsu API Cisco Duo z uprawnieniami Udzielanie dziennika odczytu są wymagane dla interfejsu API Cisco Duo. Zapoznaj się z dokumentacją , aby dowiedzieć się więcej na temat tworzenia poświadczeń interfejsu API Cisco Duo.
Cisco ETD (przy użyciu Azure Functions)
Obsługiwane przez:N/A
Łącznik pobiera dane z interfejsu API ETD na potrzeby analizy zagrożeń
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CiscoETD_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Email interfejs API usługi Threat Defense, klucz interfejsu API, identyfikator klienta i klucz tajny: upewnij się, że masz klucz interfejsu API, identyfikator klienta i klucz tajny.
Cisco Meraki (przy użyciu interfejsu API REST)
Obsługiwane przez:Microsoft Corporation
Łącznik Cisco Meraki umożliwia łatwe łączenie z Microsoft Sentinel zdarzeń organizacji Cisco Meraki (zdarzenia zabezpieczeń, zmiany konfiguracji i żądania interfejsu API). Łącznik danych używa interfejsu API REST Cisco Meraki do pobierania dzienników i obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują odebrane dane i pozyskują dane do karty ASIM i tabel niestandardowych w obszarze roboczym usługi Log Analytics. Ten łącznik danych korzysta z możliwości, takich jak filtrowanie czasu pozyskiwania oparte na modelu DCR, normalizacja danych.
Obsługiwany schemat ASIM:
- Sesja sieciowa
- Sesja internetowa
- Zdarzenie inspekcji
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ASimNetworkSessionLogs |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Cisco Meraki REST API Key: Włącz dostęp do interfejsu API w aplikacji Cisco Meraki i wygeneruj klucz interfejsu API. Aby uzyskać więcej informacji, zapoznaj się z oficjalną dokumentacją aplikacji Cisco Meraki.
-
Identyfikator organizacji Cisco Meraki: uzyskaj identyfikator organizacji Cisco Meraki w celu pobrania zdarzeń zabezpieczeń. Wykonaj kroki opisane w dokumentacji , aby uzyskać identyfikator organizacji przy użyciu klucza interfejsu API Meraki uzyskanego w poprzednim kroku.
Cisco Secure Endpoint (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych bezpiecznego punktu końcowego Cisco (dawniej AMP for Endpoints) zapewnia możliwość pozyskiwania dzienników inspekcji i zdarzeń bezpiecznego punktu końcowego cisco do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CiscoSecureEndpointAuditLogsV2_CL |
Tak | Tak |
CiscoSecureEndpointEventsV2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Cisco Secure Endpoint API Credentials/Regions: Aby utworzyć poświadczenia interfejsu API i poznać regiony, postępuj zgodnie z linkiem do dokumentu podanym tutaj.
Kliknij tutaj.
Cisco Software Defined WAN
Obsługiwane przez:Cisco Systems
Łącznik danych Cisco Software Defined WAN (SD-WAN) zapewnia możliwość pozyskiwania danych Cisco SD-WAN Syslog i Netflow do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Syslog |
Tak | Tak |
CiscoSDWANNetflow_CL |
Nie | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Claroty xDome
Obsługiwane przez:xDome Customer Support
Aplikacja Claroty xDome zapewnia kompleksowe funkcje zarządzania zabezpieczeniami i alertami dla opieki zdrowotnej i środowisk sieci przemysłowych. Jest ona przeznaczona do mapowania wielu typów źródeł, identyfikowania zebranych danych i integrowania ich z modelami danych Microsoft Sentinel. Skutkuje to możliwością monitorowania wszystkich potencjalnych zagrożeń w środowisku opieki zdrowotnej i środowisk przemysłowych w jednej lokalizacji, co prowadzi do skuteczniejszego monitorowania bezpieczeństwa i silniejszej postawy bezpieczeństwa.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CommonSecurityLog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Cloudflare (wersja zapoznawcza) (przy użyciu Azure Functions)
Obsługiwane przez:Cloudflare
Łącznik danych Cloudflare zapewnia możliwość pozyskiwania dzienników cloudflare do Microsoft Sentinel przy użyciu Azure Blob Storage Cloudflare Logpush. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją rozwiązania Cloudflare .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Cloudflare_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Azure Blob Storage parametry połączenia i nazwa kontenera: Azure Blob Storage parametry połączenia i nazwa kontenera, do którego dzienniki są wypychane przez usługę Cloudflare Logpush. Aby uzyskać więcej informacji, zobacz tworzenie kontenera Azure Blob Storage.
Cloudflare (przy użyciu kontenera obiektów blob) (za pośrednictwem struktury łączników bezkodowych)
Obsługiwane przez:Cloudflare
Łącznik danych Cloudflare umożliwia pozyskiwanie dzienników cloudflare do Microsoft Sentinel przy użyciu Azure Blob Storage Cloudflare Logpush. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją rozwiązania Cloudflare.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CloudflareV2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Utwórz konto magazynu i kontener: przed skonfigurowaniem usługi logpush w usłudze Cloudflare najpierw utwórz konto magazynu i kontener w usłudze Microsoft Azure. Skorzystaj z tego przewodnika , aby dowiedzieć się więcej na temat kontenera i obiektu blob. Wykonaj kroki opisane w dokumentacji, aby utworzyć konto usługi Azure Storage.
- Wygeneruj adres URL sygnatury dostępu współdzielonego obiektu blob: wymagane są uprawnienia do tworzenia i zapisu. Zapoznaj się z dokumentacją , aby dowiedzieć się więcej o tokenie i adresie URL sygnatury dostępu współdzielonego obiektu blob.
-
Zbieranie dzienników z usługi Cloudflare do kontenera obiektów blob: wykonaj kroki opisane w dokumentacji dotyczącej zbierania dzienników z usługi Cloudflare do kontenera obiektów blob.
Cognni
Obsługiwane przez:Cognni
Łącznik Cognni oferuje szybką i prostą integrację z Microsoft Sentinel. Program Cognni umożliwia autonomiczne mapowanie wcześniej niesklasyfikowanych ważnych informacji i wykrywanie powiązanych zdarzeń. Dzięki temu można rozpoznać zagrożenia dla ważnych informacji, zrozumieć ważność zdarzeń i zbadać szczegóły potrzebne do skorygowania, wystarczająco szybko, aby coś zmienić.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CognniIncidents_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Spójność (przy użyciu Azure Functions)
Obsługiwane przez:Cohesity
Aplikacje funkcji Cohesity zapewniają możliwość pozyskiwania alertów ransomware Cohesity Datahawk do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Cohesity_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Azure Blob Storage parametry połączenia i nazwa kontenera: Azure Blob Storage parametry połączenia i nazwa kontenera
CommvaultSecurityIQ
Obsługiwane przez:Commvault
Ta funkcja Azure umożliwia użytkownikom usługi Commvault pozyskiwanie alertów/zdarzeń do wystąpienia Microsoft Sentinel. Za pomocą reguł analitycznych Microsoft Sentinel może automatycznie tworzyć Microsoft Sentinel zdarzenia z przychodzących zdarzeń i dzienników.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CommvaultAlerts_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- Adres URL punktu końcowego środowiska usługi Commvault: pamiętaj, aby postępować zgodnie z dokumentacją i ustawić wartość wpisu tajnego w usłudze KeyVault
-
Token zestawu QSDK usługi Commvault: pamiętaj, aby postępować zgodnie z dokumentacją i ustawić wartość wpisu tajnego w usłudze KeyVault
ContrastADR
Obsługiwane przez:Contrast Security
Łącznik danych ContrastADR zapewnia możliwość pozyskiwania zdarzeń ataku usługi Contrast ADR do Microsoft Sentinel przy użyciu elementu webhook ContrastADR. Łącznik danych ContrastADR może wzbogacić przychodzące dane elementu webhook za pomocą wywołań wzbogacania interfejsu API ContrastADR.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ContrastADR_CL |
Nie | Nie |
ContrastADRIncident_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
Eksporter łącznika Corelight
Obsługiwane przez:Corelight
Łącznik danych Corelight umożliwia reagowanie na zdarzenia i łowców zagrożeń, którzy używają Microsoft Sentinel do szybszej i wydajniejszej pracy. Łącznik danych umożliwia pozyskiwanie zdarzeń ze Zeek i Suricata za pośrednictwem czujników Corelight do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Corelight |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Cortex XDR — zdarzenia
Obsługiwane przez:DEFEND Ltd.
Łącznik danych niestandardowych z funkcji DEFEND w celu wykorzystania interfejsu API Cortex do pozyskiwania zdarzeń z platformy Cortex XDR do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CortexXDR_Incidents_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Poświadczenia interfejsu API Cortex: token interfejsu API Cortex jest wymagany dla interfejsu API REST. Aby uzyskać więcej informacji, zobacz INTERFEJS API. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń.
Cribl
Obsługiwane przez:Cribl
Łącznik Cribl umożliwia łatwe łączenie dzienników cribl (Cribl Enterprise Edition — autonomiczny) z Microsoft Sentinel. Dzięki temu możesz uzyskać więcej informacji na temat zabezpieczeń potoków danych organizacji.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CriblInternal_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Łącznik danych interfejsu API CrowdStrike (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych CrowdStrike umożliwia pozyskiwanie dzienników z interfejsu API CrowdStrike do Microsoft Sentinel. Ten łącznik umożliwia pozyskiwanie alertów, wykrywania, hostów, przypadków i luk w zabezpieczeniach usługi CrowdStrike w Microsoft Sentinel. Ten łącznik jest oparty na Microsoft Sentinel Codeless Connector Framework i używa interfejsu API CrowdStrike do pobierania dzienników. Obsługuje ona przekształcenia czasu pozyskiwania oparte na modelu DCR, dzięki czemu zapytania mogą być uruchamiane wydajniej. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API usługi CrowdStrike .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CrowdStrikeAlerts |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Crowdstrike OAuth2 API Client and Scopes: Alerts, API Integrations, App Logs, Cases, Correlation Rules, Detections, Hosts, Assets, Incidents, Quarantined Files, Vulnerabilities are required for REST API .Crowdstrike OAuth2 API Client and Scopes: Alerts, API Integrations, App Logs, Cases, Correlation Rules, Detections, Hosts, Assets, Incidents, Quarantined Files, Vulnerabilities are required for REST API . Aby uzyskać więcej informacji, zobacz INTERFEJS API.
CrowdStrike Falcon Adversary Intelligence (za pomocą Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik CrowdStrike Falcon Indicators of Compromise pobiera wskaźniki kompromisu z interfejsu API Falcon Intel i przekazuje je Microsoft Sentinel Threat Intel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ThreatIntelIndicators |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Identyfikator klienta interfejsu API CrowdStrike i klucz tajny klienta: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Poświadczenia crowdstrike muszą mieć zakres odczytu wskaźników (Falcon Intelligence).
CrowdStrike Falcon Data Replicator (AWS S3) (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik Crowdstrike Falcon Data Replicator (S3) umożliwia pozyskiwanie danych zdarzeń FDRinto Microsoft Sentinel z zasobnika AWS S3, gdzie dzienniki FDR były przesyłane strumieniowo. Łącznik zapewnia możliwość pobierania zdarzeń od agentów falcona, co ułatwia badanie potencjalnych zagrożeń dla bezpieczeństwa, analizowanie korzystania przez zespół ze współpracy, diagnozowanie problemów z konfiguracją i nie tylko.
UWAGA:
1. Licencja FDR CrowdStrike musi być dostępna & włączona.
2. Łącznik wymaga skonfigurowania roli IAM na platformie AWS w celu umożliwienia dostępu do zasobnika usługi AWS S3 i może nie być odpowiedni dla środowisk korzystających z zasobników zarządzanych przez usługę CrowdStrike.
3. W przypadku środowisk korzystających z zasobników zarządzanych przez rozwiązanie CrowdStrike skonfiguruj łącznik CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3).
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CrowdStrike_Additional_Events_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Ten łącznik umożliwia pozyskiwanie danych FDR do Microsoft Sentinel przy użyciu Azure Functions do obsługi oceny potencjalnych zagrożeń bezpieczeństwa, analizy działań współpracy, identyfikacji problemów z konfiguracją i innych szczegółowych informacji operacyjnych.
UWAGA:
1. Licencja FDR CrowdStrike musi być dostępna & włączona.
2. Łącznik używa uwierzytelniania opartego na & klucza tajnego i jest odpowiedni dla zasobników zarządzanych przez usługę CrowdStrike.
3. W przypadku środowisk korzystających z w pełni należącego zasobnika AWS S3 firma Microsoft zaleca korzystanie z łącznika CrowdStrike Falcon Data Replicator (AWS S3 ).
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CrowdStrikeReplicatorV2 |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Wymagane są poświadczenia/uprawnienia konta SQS i AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Aby uzyskać więcej informacji, zobacz ściąganie danych. Aby rozpocząć, skontaktuj się z pomocą techniczną aplikacji CrowdStrike. Na twoje żądanie utworzyją zarządzane przez firmę CrowdStrike zasobnik usług Amazon Web Services (AWS) S3 do celów magazynu krótkoterminowego, a także konto SQS (prosta usługa kolejkowania) do monitorowania zmian w zasobniku S3.
Dziennik systemowy CTERA
Obsługiwane przez:CTERA
Łącznik danych CTERA dla Microsoft Sentinel oferuje możliwości monitorowania i wykrywania zagrożeń dla rozwiązania CTERA. Zawiera skoroszyt wizualizujący sumę wszystkich operacji na typ, usunięcia i operacje odmowy dostępu. Udostępnia również reguły analityczne, które wykrywają zdarzenia wymuszania okupu i powiadamiają o zablokowaniu użytkownika z powodu podejrzanej aktywności wymuszania okupu. Ponadto ułatwia identyfikowanie wzorców krytycznych, takich jak zdarzenia odmowy dostępu masowego, masowe usuwanie i zmiany uprawnień masowych, co umożliwia proaktywne zarządzanie zagrożeniami i reagowanie na nie.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Syslog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
CTM360 CyberBlindSpot (bezserwerowy)
Obsługiwane przez:Cyber Threat Management 360
Łącznik CTM360 Cyber Blind Spot (CBS) zapewnia integrację z platformą CBS CTM360 w celu pozyskiwania danych zabezpieczeń w 6 typach modułów: incydentów, dzienników złośliwego oprogramowania, naruszonych poświadczeń, naruszonych kart, naruszenia zabezpieczeń domeny i naruszenia domeny podrzędnej. Ten łącznik używa programu Codeless Connector Framework (CCF) do zbierania danych bezserwerowych.
Typy danych:
- CBSLog_AzureV2_CL
- CBS_MalwareLogs_AzureV2_CL
- CBS_BreachedCredentials_AzureV2_CL
- CBS_CompromisedCards_AzureV2_CL
- CBS_DomainInfringement_AzureV2_CL
- CBS_SubdomainInfringement_AzureV2_CL
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CBSLog_AzureV2_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
CtM360 CBS API Key: prawidłowy klucz interfejsu API Cyber Blind Spot CTM360 jest wymagany do nawiązania połączenia z punktem końcowym interfejsu API CBS.
CTM360 HackerView (bezserwerowy)
Obsługiwane przez:Cyber Threat Management 360
Łącznik CTM360 HackerView umożliwia pozyskiwanie problemów z zabezpieczeniami i luk w zabezpieczeniach z zewnętrznej platformy hackerview do zarządzania powierzchnią ataków zewnętrznych w Microsoft Sentinel. Ten łącznik bezserwerowy używa interfejsu API REST do automatycznego ściągania danych o problemach na potrzeby analizy i korelacji z innymi zdarzeniami zabezpieczeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
HackerViewLog_AzureV2_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Klucz interfejsu API hackerView: wymagany jest prawidłowy klucz interfejsu API HackerView z uprawnieniami dostępu do danych problemów.
Dzienniki niestandardowe za pośrednictwem usługi AMA
Obsługiwane przez:Microsoft Corporation
Wiele aplikacji rejestruje informacje do plików tekstowych lub JSON zamiast standardowych usług rejestrowania, takich jak dzienniki zdarzeń systemu Windows, dziennik Syslog lub CEF. Łącznik danych dzienników niestandardowych umożliwia zbieranie zdarzeń z plików na komputerach z systemem Windows i Linux oraz przesyłanie ich strumieniowo do utworzonych tabel dzienników niestandardowych. Podczas przesyłania strumieniowego danych można analizować i przekształcać zawartość przy użyciu funkcji DCR. Po zebraniu danych można zastosować reguły analityczne, wyszukiwanie, wyszukiwanie, analizę zagrożeń, wzbogacanie i nie tylko.
UWAGA: Użyj tego łącznika dla następujących urządzeń: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, Apache HTTP Server, Apache Tomcat, Jboss Enterprise application platform, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP server, Oracle Weblogic server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP and AI vectra stream.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
JBossEvent_CL |
Nie | Nie |
JuniperIDP_CL |
Tak | Tak |
ApacheHTTPServer_CL |
Tak | Tak |
Tomcat_CL |
Tak | Tak |
meraki_CL |
Tak | Tak |
VectraStream_CL |
Nie | Nie |
MarkLogicAudit_CL |
Nie | Nie |
MongoDBAudit_CL |
Tak | Tak |
NGINX_CL |
Tak | Tak |
OracleWebLogicServer_CL |
Tak | Tak |
PostgreSQL_CL |
Tak | Tak |
SquidProxy_CL |
Tak | Tak |
Ubiquiti_CL |
Tak | Tak |
vcenter_CL |
Tak | Tak |
ZPA_CL |
Tak | Tak |
SecurityBridgeLogs_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Uprawnienia: aby zbierać dane z maszyn wirtualnych innych niż Azure, muszą mieć zainstalowane i włączone Azure Arc.
Dowiedz się więcej
Inspekcja CyberArk
Obsługiwane przez:CyberArk Support
Łącznik danych Inspekcja CyberArk umożliwia Microsoft Sentinel pozyskiwanie dzienników zdarzeń zabezpieczeń i innych zdarzeń z usługi CyberArk Audit za pośrednictwem interfejsu API REST. Ta integracja ułatwia wykrywanie potencjalnych zagrożeń dla bezpieczeństwa, monitorowanie aktywności użytkowników, analizowanie wzorców współpracy, rozwiązywanie problemów z konfiguracją i uzyskanie dokładniejszego wglądu w środowisko.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CyberArk_AuditEvents_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Platforma usługi inspekcji CyberArk: dostęp do wykonywania wymaganych konfiguracji na platformie CyberArk Audit
CyberArkAudit (przy użyciu Azure Functions)
Obsługiwane przez:CyberArk Support
Łącznik danych Inspekcja CyberArk umożliwia pobieranie dzienników zdarzeń zabezpieczeń usługi CyberArk Audit i innych zdarzeń do Microsoft Sentinel za pośrednictwem interfejsu API REST. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CyberArk_AuditEvents_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Inspekcja szczegółów połączeń interfejsu API REST i poświadczeń: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint i AuditApiBaseUrl są wymagane do wykonywania wywołań interfejsu API.
Cybersixgill Actionable Alerts (przy użyciu Azure Functions)
Obsługiwane przez:Cybersixgill
Alerty z możliwością działania zapewniają dostosowane alerty na podstawie skonfigurowanych zasobów
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CyberSixgill_Alerts_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: Client_ID i Client_Secret są wymagane do wykonywania wywołań interfejsu API.
Alerty usługi Cyble Vision
Obsługiwane przez:Cyble Support
Łącznik danych CCF alertów Cyble Vision umożliwia pozyskiwanie alertów o zagrożeniach z usługi Cyble Vision do Microsoft Sentinel przy użyciu łącznika codeless Connector Framework. Zbiera dane alertów za pośrednictwem interfejsu API, normalizuje je i przechowuje w tabeli niestandardowej na potrzeby zaawansowanego wykrywania, korelacji i odpowiedzi.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CybleVisionAlerts_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Token interfejsu API Cyble Vision: wymagany jest token interfejsu API z platformy Cyble Vision.
Pakiety Cyborg Security HUNTER Hunt
Obsługiwane przez:Cyborg Security
Cyborg Security jest wiodącym dostawcą zaawansowanych rozwiązań do wyszukiwania zagrożeń, z misją umożliwienia organizacjom najnowocześniejszych technologii i narzędzi do współpracy w celu proaktywnego wykrywania zagrożeń cybernetycznych i reagowania na nie. Flagowa oferta Cyborg Security, platforma HUNTER, łączy w sobie zaawansowaną analizę, wyselekcjonowaną zawartość do wyszukiwania zagrożeń i kompleksowe możliwości zarządzania polowaniami, aby stworzyć dynamiczny ekosystem do skutecznych operacji polowania na zagrożenia.
Wykonaj kroki, aby uzyskać dostęp do społeczności Cyborg Security i skonfigurować funkcje "Otwórz w narzędziu" na platformie HUNTER.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityEvent |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Łącznik danych DSPM Microsoft Sentinel Cyera
Obsługiwane przez:Cyera Inc
Łącznik danych DSPM Cyera umożliwia łączenie się z dzierżawą DSPM Cyera i pozyskiwanie klasyfikacji, zasobów, problemów i zasobów tożsamości/definicji w Microsoft Sentinel. Łącznik danych jest oparty na strukturze łączników bezkodowych Microsoft Sentinel i używa interfejsu API Cyery do pobierania danych telemetrycznych DSPM Cyery po odebraniu, co może być skorelowane ze zdarzeniami zabezpieczeń tworzącymi kolumny niestandardowe, dzięki czemu zapytania nie muszą ponownie ich analizować, co zapewnia lepszą wydajność.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CyeraClassifications_CL |
Nie | Nie |
CyeraAssets_CL |
Nie | Nie |
CyeraAssets_MS_CL |
Nie | Nie |
CyeraIssues_CL |
Nie | Nie |
CyeraIdentities_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Powierzchnia ataku CYFIRMA
Obsługiwane przez:CYFIRMA
Nie dotyczy
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CyfirmaASCertificatesAlerts_CL |
Tak | Tak |
CyfirmaASConfigurationAlerts_CL |
Tak | Tak |
CyfirmaASDomainIPReputationAlerts_CL |
Tak | Tak |
CyfirmaASOpenPortsAlerts_CL |
Tak | Tak |
CyfirmaASCloudWeaknessAlerts_CL |
Tak | Tak |
CyfirmaASDomainIPVulnerabilityAlerts_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Inteligencja marki CYFIRMA
Obsługiwane przez:CYFIRMA
Nie dotyczy
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CyfirmaBIDomainITAssetAlerts_CL |
Tak | Tak |
CyfirmaBIExecutivePeopleAlerts_CL |
Tak | Tak |
CyfirmaBIProductSolutionAlerts_CL |
Tak | Tak |
CyfirmaBISocialHandlersAlerts_CL |
Tak | Tak |
CyfirmaBIMaliciousMobileAppsAlerts_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Konta z naruszonymi zabezpieczeniami CYFIRMA
Obsługiwane przez:CYFIRMA
Łącznik danych Kont naruszeń CYFIRMA umożliwia bezproblemowe pozyskiwanie dzienników z interfejsu API DeCYFIR/DeTCT do Microsoft Sentinel. Oparta na Microsoft Sentinel platformie łączników bez kodu używa interfejsu API DeCYFIR/DeTCT do pobierania dzienników. Ponadto obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują dane zabezpieczeń w tabeli niestandardowej podczas pozyskiwania. Eliminuje to konieczność analizowania czasu wykonywania zapytań, zwiększania wydajności i wydajności.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CyfirmaCompromisedAccounts_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Cyberwywiadanie CYFIRMA
Obsługiwane przez:CYFIRMA
Łącznik danych analizy cybernetycznej CYFIRMA umożliwia bezproblemowe pozyskiwanie dzienników z interfejsu API DeCYFIR do Microsoft Sentinel. Oparta na Microsoft Sentinel platformie łączników bez kodu korzysta z interfejsu API alertów DeCYFIR do pobierania dzienników. Ponadto obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują dane zabezpieczeń w tabeli niestandardowej podczas pozyskiwania. Eliminuje to konieczność analizowania czasu wykonywania zapytań, zwiększania wydajności i wydajności.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CyfirmaIndicators_CL |
Tak | Tak |
CyfirmaThreatActors_CL |
Tak | Tak |
CyfirmaCampaigns_CL |
Tak | Tak |
CyfirmaMalware_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
CYFIRMA Digital Risk
Obsługiwane przez:CYFIRMA
Łącznik danych CYFIRMA Digital Risk Alerts umożliwia bezproblemowe pozyskiwanie dzienników z interfejsu API DeCYFIR/DeTCT do Microsoft Sentinel. Oparta na Microsoft Sentinel platformie łączników bez kodu korzysta z interfejsu API alertów DeCYFIR do pobierania dzienników. Ponadto obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują dane zabezpieczeń w tabeli niestandardowej podczas pozyskiwania. Eliminuje to konieczność analizowania czasu wykonywania zapytań, zwiększania wydajności i wydajności.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CyfirmaDBWMPhishingAlerts_CL |
Tak | Tak |
CyfirmaDBWMRansomwareAlerts_CL |
Tak | Tak |
CyfirmaDBWMDarkWebAlerts_CL |
Tak | Tak |
CyfirmaSPESourceCodeAlerts_CL |
Tak | Tak |
CyfirmaSPEConfidentialFilesAlerts_CL |
Tak | Tak |
CyfirmaSPEPIIAndCIIAlerts_CL |
Tak | Tak |
CyfirmaSPESocialThreatAlerts_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Analiza luk w zabezpieczeniach CYFIRMA
Obsługiwane przez:CYFIRMA
Łącznik danych analizy luk w zabezpieczeniach CYFIRMA umożliwia bezproblemowe pozyskiwanie dzienników z interfejsu API DeCYFIR do Microsoft Sentinel. Oparty na Microsoft Sentinel platformie łączników bez kodu korzysta z interfejsu API CYFIRMA do pobierania dzienników. Ponadto obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR, które analizują dane zabezpieczeń w tabeli niestandardowej podczas pozyskiwania. Eliminuje to konieczność analizowania czasu wykonywania zapytań, zwiększania wydajności i wydajności.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CyfirmaVulnerabilities_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Zdarzenia zabezpieczeń cynerio
Obsługiwane przez:Cynerio
Łącznik Cynerio umożliwia łatwe łączenie zdarzeń zabezpieczeń cynerio z Microsoft Sentinel, aby wyświetlić zdarzenia IDS. Zapewnia to lepszy wgląd w stan zabezpieczeń sieci organizacji i poprawia możliwości operacji zabezpieczeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CynerioEvent_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Cyren Threat Intelligence
Obsługiwane przez:Data443 Risk Mitigation, Inc.
Pozyskiwanie wskaźników reputacji adresów IP i adresów URL złośliwego oprogramowania z Cyren przy użyciu programu Common Connector Framework (CCF).
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Cyren_Indicators_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Tokeny JWT Cyren: tokeny JWT przechowywane w Azure Key Vault lub udostępniane w czasie wdrażania.
Incydenty związane z inteligentnym soarem D3
Obsługiwane przez:D3 Security
Łącznik danych Smart SOAR D3 ściąga zdarzenia z rozwiązania D3 Smart SOAR do Microsoft Sentinel przy użyciu punktu końcowego polecenia interfejsu API REST bez kodu D3.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
D3SOARIncidents_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Łącznik darktrace dla interfejsu API REST Microsoft Sentinel
Obsługiwane przez:Darktrace
Łącznik interfejsu API REST Darktrace wypycha zdarzenia czasu rzeczywistego z darktrace do Microsoft Sentinel i jest przeznaczony do użycia z rozwiązaniem Darktrace dla Sentinel. Łącznik zapisuje dzienniki w niestandardowej tabeli dzienników o nazwie "darktrace_model_alerts_CL"; Naruszenia modelu, zdarzenia analityków sztucznej inteligencji, alerty systemowe i alerty Email mogą być pozyskiwane — dodatkowe filtry można skonfigurować na stronie Konfiguracja systemu Darktrace. Dane są wypychane do Sentinel z wzorców Darktrace.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
darktrace_model_alerts_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Darktrace Prerequisites: Aby użyć tego łącznika danych, wymagany jest wzorzec darktrace z systemem v5.2+. Dane są wysyłane do interfejsu API modułu zbierającego dane HTTP Azure monitora za pośrednictwem protokołu HTTPs z wzorców Darktrace, dlatego wymagana jest łączność wychodząca z wzorca Darktrace do interfejsu API REST Microsoft Sentinel.
- Filtruj dane darktrace: podczas konfiguracji można skonfigurować dodatkowe filtrowanie na stronie Konfiguracja systemu Darktrace w celu ograniczenia ilości lub typów wysyłanych danych.
-
Wypróbuj rozwiązanie darktrace Sentinel: możesz maksymalnie wykorzystać ten łącznik, instalując rozwiązanie Darktrace dla Microsoft Sentinel. Zapewni to skoroszyty do wizualizacji danych alertów i reguł analizy w celu automatycznego tworzenia alertów i zdarzeń z naruszeń modelu Darktrace i zdarzeń analityka sztucznej inteligencji.
DataBahn
Obsługiwane przez:Databahn
Łącznik DataBahn umożliwia wypychanie danych telemetrycznych platformy czasu rzeczywistego ze środowiska DataBahn bezpośrednio do Microsoft Sentinel przy użyciu wzorca wypychania programu Codeless Connector Framework (CCF). Ten łącznik pozyskuje dzienniki inspekcji, alerty operacyjne i spis urządzeń do niestandardowych tabel usługi Log Analytics na potrzeby analizy, alertów i wizualizacji.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
databahn_audit_logs_CL |
Nie | Nie |
databahn_alerts_CL |
Nie | Nie |
databahn_device_inventory_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
-
Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zwykle wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników.
Datalake2Sentinel
Obsługiwane przez:Orange Cyberdefense
To rozwiązanie instaluje łącznik Datalake2Sentinel utworzony przy użyciu struktury łączników bezkodowych i umożliwia automatyczne pozyskiwanie wskaźników analizy zagrożeń z platformy CTI usługi Datalake Orange Cyberdefense do Microsoft Sentinel za pośrednictwem interfejsu API REST przekazywania wskaźników. Po zainstalowaniu rozwiązania skonfiguruj i włącz ten łącznik danych, postępując zgodnie ze wskazówkami w widoku Zarządzanie rozwiązaniem.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ThreatIntelligenceIndicator |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Łącznik danych alertów pulsu dataminr (przy użyciu Azure Functions)
Obsługiwane przez:Obsługa usługi Dataminr
Łącznik danych alertów pulsu usługi Dataminr wprowadza analizę w czasie rzeczywistym opartą na sztucznej inteligencji do Microsoft Sentinel w celu szybszego wykrywania zagrożeń i reagowania na nie.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
DataminrPulse_Alerts_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- Wymagane poświadczenia/uprawnienia usługi Dataminr:
a. Aby korzystać z tego łącznika danych, użytkownicy muszą mieć prawidłowy identyfikator klienta i wpis tajnyinterfejsu API usługi Dataminr Pulse.
b. W witrynie internetowej dataminr Pulse należy skonfigurować co najmniej jedną listę obserwatorów pulsu dataminr.
Datawiza DAP
Obsługiwane przez:Datawiza Technology Inc.
Łączy dzienniki dap usługi Datawiza z usługą Azure Log Analytics za pośrednictwem interfejsu API REST
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
datawizaserveraccess_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Derdack SIGNL4
Obsługiwane przez:Derdack
W przypadku awarii krytycznych systemów lub zdarzeń związanych z zabezpieczeniami funkcja SIGNL4 łączy "ostatnią milę" z personelem, inżynierami, administratorami IT i pracownikami w terenie. Dodaje ona alerty mobilne w czasie rzeczywistym do usług, systemów i procesów w krótkim czasie. SignL4 powiadamia za pośrednictwem trwałego wypychania mobilnego, wiadomości SMS i połączeń głosowych z potwierdzeniem, śledzeniem i eskalacją. Zintegrowane planowanie obowiązków i zmian zapewnia, że odpowiednie osoby są powiadamiane we właściwym czasie.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityIncident |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Digital Shadows Searchlight (przy użyciu Azure Functions)
Obsługiwane przez:Cyfrowe cienie
Łącznik danych usługi Digital Shadows umożliwia pozyskiwanie zdarzeń i alertów z usługi Digital Shadows Searchlight do Microsoft Sentinel przy użyciu interfejsu API REST. Łącznik udostępnia informacje o zdarzeniach i alertach, które ułatwiają badanie, diagnozowanie i analizowanie potencjalnych zagrożeń i zagrożeń bezpieczeństwa.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
DigitalShadows_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: wymagany jest identyfikator konta usługi Digital Shadows, wpis tajny i klucz . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w usłudze
https://portal-digitalshadows.com/learn/searchlight-api/overview/description.
DNS
Obsługiwane przez:Microsoft Corporation
Łącznik dziennika DNS umożliwia łatwe łączenie dzienników analitycznych i inspekcji DNS z Microsoft Sentinel i innymi powiązanymi danymi w celu usprawnienia badania.
Po włączeniu zbierania dzienników DNS można:
- Identyfikowanie klientów, którzy próbują rozpoznać złośliwe nazwy domen.
- Identyfikowanie nieaktualnych rekordów zasobów.
- Identyfikowanie często wysyłanych zapytań nazw domen i rozmówców klientów DNS.
- Wyświetl obciążenie żądaniami na serwerach DNS.
- Wyświetl błędy dynamicznej rejestracji DNS.
Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
DnsEvents |
Tak | Tak |
DnsInventory |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Łącznik danych doppel
Obsługiwane przez:Doppel
Łącznik danych jest oparty na Microsoft Sentinel dla zdarzeń i alertów aplikacji Doppel oraz obsługuje przekształcenia czasu pozyskiwania oparte na kontrolerze DCR, które analizują odebrane dane zdarzeń zabezpieczeń w kolumny niestandardowe, dzięki czemu zapytania nie muszą ich ponownie analizować, co zapewnia lepszą wydajność.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
DoppelTable_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Microsoft Entra identyfikator dzierżawy, identyfikator klienta i klucz tajny klienta: Microsoft Entra ID wymaga identyfikatora klienta i klucza tajnego klienta w celu uwierzytelnienia aplikacji. Ponadto dostęp na poziomie globalnego Administracja/właściciela jest wymagany do przypisania aplikacji zarejestrowanej Entra roli wydawcy metryk monitorowania grupy zasobów.
-
Wymaga identyfikatora obszaru roboczego, identyfikatora DCE-URI, identyfikatora DCR-ID: musisz uzyskać identyfikator obszaru roboczego usługi Log Analytics, identyfikator URI pozyskiwania dzienników DCE i identyfikator niezmienny DCR dla konfiguracji.
Powiadomienia dragos za pośrednictwem magazynu witryn w chmurze
Obsługiwane przez:Dragos Inc
Dragos Platform to wiodąca przemysłowa platforma cyberbezpieczeństwa, która oferuje kompleksowe wykrywanie zagrożeń cybernetycznych technologii operacyjnych (OT) oparte na niezrównanej wiedzy w zakresie cyberbezpieczeństwa przemysłowego. To rozwiązanie umożliwia wyświetlanie danych powiadomień platformy Dragos w Microsoft Sentinel, dzięki czemu analitycy zabezpieczeń mogą klasyfikować potencjalne zdarzenia cyberbezpieczeństwa występujące w środowiskach przemysłowych.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
DragosAlerts_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Dostęp interfejsu API magazynu witryn dragos: konto użytkownika magazynu witryn, które ma
notification:readuprawnienia. To konto musi również mieć klucz interfejsu API, który można podać w celu Sentinel.
Łącznik zdarzeń Druva
Obsługiwane przez:Druva Inc
Zapewnia możliwość pozyskiwania zdarzeń Druva z interfejsów API Druva
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
DruvaSecurityEvents_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Druva API Access: interfejs API Druva wymaga identyfikatora klienta i klucza tajnego klienta do uwierzytelniania
Dynamics 365 Finance i operacje
Obsługiwane przez:Microsoft Corporation
Dynamics 365 for Finance and Operations to kompleksowe rozwiązanie do planowania zasobów przedsiębiorstwa (ERP), które łączy możliwości finansowe i operacyjne, aby pomóc firmom zarządzać codziennymi operacjami. Oferuje on szereg funkcji, które umożliwiają firmom usprawnianie przepływów pracy, automatyzowanie zadań i uzyskiwanie wglądu w wydajność operacyjną.
Łącznik danych Dynamics 365 Finance i Operacje pozyskuje Dynamics 365 Finance i działania administratora operacji oraz dzienniki inspekcji, a także dzienniki procesów biznesowych użytkowników i działań aplikacji loguje się do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
FinanceOperationsActivity_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Microsoft Entra rejestracji aplikacji: identyfikator klienta aplikacji i wpis tajny używany do uzyskiwania dostępu do Dynamics 365 Finance i operacji.
Dynamics365
Obsługiwane przez:Microsoft Corporation
Łącznik działań usługi Dynamics 365 Common Data Service (CDS) zapewnia wgląd w działania administratora, użytkownika i pomocy technicznej, a także zdarzenia rejestrowania usługi Microsoft Social Engagement. Łącząc Dynamics 365 dzienniki CRM z Microsoft Sentinel, możesz wyświetlać te dane w skoroszytach, używać ich do tworzenia niestandardowych alertów i ulepszać proces badania.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Dynamics365Activity |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Ataki Dynatrace
Obsługiwane przez:Dynatrace
Ten łącznik używa interfejsu API REST Dynatrace Attacks do pozyskiwania wykrytych ataków w usłudze Microsoft Sentinel Log Analytics
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
DynatraceAttacks_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Dzierżawa Dynatrace (np. xyz.dynatrace.com): potrzebujesz prawidłowej dzierżawy Dynatrace z włączoną usługą Application Security , dowiedz się więcej o platformie Dynatrace.
-
Token dostępu Dynatrace: potrzebujesz tokenu dostępu Dynatrace, token powinien mieć zakres ataków odczytu (attacks.read).
Dzienniki inspekcji Dynatrace
Obsługiwane przez:Dynatrace
Ten łącznik używa interfejsu API REST dzienników inspekcji Dynatrace do pozyskiwania dzienników inspekcji dzierżawy do Microsoft Sentinel Log Analytics
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
DynatraceAuditLogs_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Dzierżawa Dynatrace (np. xyz.dynatrace.com): potrzebujesz prawidłowej dzierżawy Dynatrace, aby dowiedzieć się więcej o platformie Dynatrace Rozpocznij bezpłatną wersję próbną.
-
Token dostępu Dynatrace: potrzebujesz tokenu dostępu Dynatrace, token powinien mieć zakres dzienników inspekcji odczytu (auditLogs.read).
Problemy z Dynatrace
Obsługiwane przez:Dynatrace
Ten łącznik używa interfejsu API REST problemu Dynatrace do pozyskiwania zdarzeń problemów do Microsoft Sentinel Log Analytics
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
DynatraceProblems_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Dzierżawa Dynatrace (np. xyz.dynatrace.com): potrzebujesz prawidłowej dzierżawy Dynatrace, aby dowiedzieć się więcej o platformie Dynatrace Rozpocznij bezpłatną wersję próbną.
-
Token dostępu Dynatrace: potrzebujesz tokenu dostępu Dynatrace, token powinien mieć zakres problemów z odczytem (problemy.odczyt).
Luki w zabezpieczeniach środowiska uruchomieniowego Dynatrace
Obsługiwane przez:Dynatrace
Ten łącznik używa interfejsu API REST problemu z zabezpieczeniami Dynatrace do pozyskiwania wykrytych luk w zabezpieczeniach środowiska uruchomieniowego w usłudze Microsoft Sentinel Log Analytics.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
DynatraceSecurityProblems_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Dzierżawa Dynatrace (np. xyz.dynatrace.com): potrzebujesz prawidłowej dzierżawy Dynatrace z włączoną usługą Application Security , dowiedz się więcej o platformie Dynatrace.
-
Token dostępu Dynatrace: potrzebujesz tokenu dostępu Dynatrace, token powinien mieć zakres problemów z zabezpieczeniami odczytu (securityProblems.read).
Agent elastyczny (autonomiczny)
Obsługiwane przez:Microsoft Corporation
Łącznik danych agenta elastycznego umożliwia pozyskiwanie dzienników, metryk i danych zabezpieczeń agenta elastycznego do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ElasticAgentEvent |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Uwzględnij niestandardowe wymagania wstępne, jeśli wymagana jest łączność — w przeciwnym razie usuń zwyczaje: Opis wszelkich niestandardowych wymagań wstępnych
Zdarzenia zabezpieczeń przeglądarki Ermes
Obsługiwane przez:Ermes Cyber Security S.p.A.
Zdarzenia zabezpieczeń przeglądarki Ermes
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ErmesBrowserSecurityEvents_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Identyfikator klienta Ermes i klucz tajny klienta: włącz dostęp do interfejsu API w programie Ermes. Aby uzyskać więcej informacji, skontaktuj się z pomocą techniczną Ermes Cyber Security .
ESET Protect Platform (przy użyciu Azure Functions)
Obsługiwane przez:ESET Enterprise Integrations
Łącznik danych ESET Protect Platform umożliwia użytkownikom wstrzykiwanie danych wykrywania z platformy ESET Protect Przy użyciu dostarczonego interfejsu API REST integracji. Interfejs API REST integracji jest uruchamiany zgodnie z harmonogramem Azure aplikacji funkcji.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
IntegrationTable_CL |
Tak | Tak |
IntegrationTableIncidents_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- Uprawnienie do rejestrowania aplikacji w Microsoft Entra ID: wymagane są wystarczające uprawnienia do rejestrowania aplikacji w dzierżawie Microsoft Entra.
-
Uprawnienie do przypisania roli do zarejestrowanej aplikacji: wymagane jest uprawnienie do przypisania roli Wydawca metryk monitorowania do zarejestrowanej aplikacji w Microsoft Entra ID.
Lokalny moduł zbierający usługi Exchange Security Insights
Obsługiwane przez:Community
Łącznik używany do wypychania konfiguracji zabezpieczeń lokalnych programu Exchange na potrzeby analizy Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ESIExchangeConfig_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Konto usługi z rolą zarządzania organizacją: konto usługi, które uruchamia skrypt zgodnie z harmonogramem, musi mieć funkcję Zarządzanie organizacją, aby móc pobrać wszystkie potrzebne informacje o zabezpieczeniach.
-
Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj
Moduł zbierający usługi Exchange Security Insights Online (przy użyciu Azure Functions)
Obsługiwane przez:Community
Łącznik używany do wypychania konfiguracji zabezpieczeń Exchange Online na potrzeby analizy Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ESIExchangeOnlineConfig_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- microsoft.automation/automationaccounts uprawnienia: uprawnienia do odczytu i zapisu w celu utworzenia Azure Automation za pomocą elementu Runbook jest wymagane. Aby uzyskać więcej informacji, zobacz Konto usługi Automation.
- Uprawnienia programu Microsoft.Graph: uprawnienia Groups.Read, Users.Read i Auditing.Read są wymagane do pobrania informacji o użytkownikach/grupach połączonych z przypisaniami Exchange Online. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej.
- uprawnienia Exchange Online: Uprawnienia programu Exchange.ManageAsApp oraz rola czytelnika globalnego lub czytelnika zabezpieczeń są potrzebne do pobrania Exchange Online Konfiguracja zabezpieczeń.Zapoznaj się z dokumentacją, aby dowiedzieć się więcej.
-
(Opcjonalnie) Uprawnienia usługi Log Storage: Współautor danych obiektu blob magazynu na koncie magazynu połączonym z tożsamością zarządzaną konta usługi Automation lub identyfikatorem aplikacji jest wymagany do przechowywania dzienników. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej.
Łącznik danych wykrywania programu ExtraHop (przy użyciu Azure Functions)
Obsługiwane przez:ExtraHop Support
Łącznik danych wykrywania extrahop umożliwia importowanie danych wykrywania z funkcji ExtraHop RevealX w celu Microsoft Sentinel za pośrednictwem ładunków elementów webhook.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ExtraHop_Detections_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Uprawnienia ExtraHop RevealX: W systemie ExtraHop RevealX są wymagane następujące uprawnienia: 1.System RevealX musi mieć oprogramowanie układowe w wersji 9.9.2 lub nowszej.
2. System RevealX musi być podłączony do Cloud Services ExtraHop.
3. Twoje konto użytkownika musi mieć uprawnienia administratora systemu w usłudze RevealX 360 lub uprawnienia pełnego zapisu w usłudze RevealX Enterprise.
F5 BIG-IP
Obsługiwane przez:F5 Networks
Łącznik zapory F5 umożliwia łatwe łączenie dzienników F5 z Microsoft Sentinel, wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci organizacji i zwiększyć możliwości operacji zabezpieczeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
F5Telemetry_LTM_CL |
Nie | Nie |
F5Telemetry_system_CL |
Tak | Tak |
F5Telemetry_ASM_CL |
Nie | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Feedly IoC
Obsługiwane przez:Feedly Inc
Łącznik danych usługi Feedly IoC zapewnia możliwość pozyskiwania wskaźników kompromisu (IoCs) z interfejsu API usługi Feedly do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
feedly_indicators_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Dostęp do interfejsu API informacyjnego: wymagany jest dostęp do interfejsu API usługi Feedly. Potrzebny jest token interfejsu API usługi Feedly z dostępem do strumieni IoC, które chcesz pozyskiwać. Wygeneruj token interfejsu API pod adresem https://feedly.com/i/team/api
Łącznik wypychania flary
Obsługiwane przez:Flare
Łącznik Flare zapewnia możliwość pozyskiwania danych analizy zagrożeń i ekspozycji z flare do Microsoft Sentinel. Flare identyfikuje zasoby cyfrowe twojej firmy udostępnione publicznie z powodu błędów ludzkich lub złośliwych ataków, w tym wyciekły poświadczenia, uwidocznione zasobniki chmury, wzmianki darkweb i inne.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
FireworkV2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID.
- Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR).
-
Flara: uprawnienie do konfigurowania integracji Microsoft Sentinel w programie Flare.
Forcepoint DLP
Obsługiwane przez:Community
Łącznik Forcepoint DLP (Data Loss Prevention) umożliwia automatyczne eksportowanie danych zdarzeń DLP programu Forcepoint do Microsoft Sentinel w czasie rzeczywistym. Wzbogaci to wgląd w działania użytkowników i zdarzenia utraty danych, umożliwia dalszą korelację z danymi z obciążeń Azure i innych źródeł danych oraz poprawia możliwości monitorowania za pomocą skoroszytów wewnątrz Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ForcepointDLPEvents_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Forescout
Obsługiwane przez:Microsoft Corporation
Łącznik danych Forescout zapewnia możliwość pozyskiwania zdarzeń Forescout do Microsoft Sentinel. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją forescout .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ForescoutEvent |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Monitor właściwości hosta forescout
Obsługiwane przez:Microsoft Corporation
Łącznik Monitor właściwości hosta Forescout umożliwia łączenie właściwości hosta z platformy Forescout za pomocą Microsoft Sentinel, wyświetlanie, tworzenie zdarzeń niestandardowych i ulepszanie badania. Zapewnia to lepszy wgląd w sieć organizacji i poprawia możliwości operacji zabezpieczeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ForescoutHostProperties_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Wymaganie wtyczki Forescout: Upewnij się, że wtyczka forescout Microsoft Sentinel jest uruchomiona na platformie Forescout
Fortinet FortiNDR Cloud
Obsługiwane przez:Fortinet
Łącznik danych fortinet FortiNDR Cloud zapewnia możliwość pozyskiwania danych w chmurze Fortinet FortiNDR do Microsoft Sentinel przy użyciu interfejsu API chmury FortiNDR
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
FncEventsSuricata_CL |
Nie | Nie |
FncEventsObservation_CL |
Nie | Nie |
FncEventsDetections_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- Poświadczenia metastream: identyfikator klucza dostępu platformy AWS, klucz dostępu do wpisu tajnego platformy AWS, kod konta w chmurze fortiNDR są wymagane do pobrania danych zdarzeń.
-
Poświadczenia interfejsu API: token interfejsu API chmury FortiNDR, identyfikator UUID konta chmury fortiNDR jest wymagany do pobrania danych wykrywania.
Zdalne dzienniki garrison ULTRA (przy użyciu Azure Functions)
Obsługiwane przez:Garrison
Łącznik zdalnych dzienników Garrison ULTRA umożliwia pozyskiwanie zdalnych dzienników garrison ULTRA do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Garrison_ULTRARemoteLogs_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Garrison ULTRA: Aby korzystać z tego łącznika danych, musisz mieć aktywną licencję Garrison ULTRA .
GCP Cloud Run (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych GCP Cloud Run zapewnia możliwość pozyskiwania dzienników żądań uruchomień w chmurze do Microsoft Sentinel przy użyciu pubu/podrzędnego. Aby uzyskać więcej informacji, zapoznaj się z omówieniem uruchamiania w chmurze .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GCPCloudRun |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
GCP Cloud SQL (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych GCP Cloud SQL zapewnia możliwość pozyskiwania dzienników inspekcji do Microsoft Sentinel przy użyciu interfejsu API SQL chmury GCP. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dzienników inspekcji SQL w chmurze GCP .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GCPCloudSQL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Dzienniki inspekcji pubów/podkontroli GCP
Obsługiwane przez:Microsoft Corporation
Dzienniki inspekcji platformy Google Cloud Platform (GCP), pozyskane z łącznika Microsoft Sentinel, umożliwiają przechwytywanie trzech typów dzienników inspekcji: dzienników aktywności administratora, dzienników dostępu do danych i dzienników przejrzystości dostępu. Dzienniki inspekcji w chmurze Google rejestrują szlak, którego praktycy mogą używać do monitorowania dostępu i wykrywania potencjalnych zagrożeń w zasobach platformy Google Cloud Platform (GCP).
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GCPAuditLogs |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Dzienniki pubów/podrzędnych Load Balancer GCP (za pośrednictwem struktury łączników bez kodu).
Obsługiwane przez:Microsoft Corporation
Dzienniki Load Balancer platformy Google Cloud Platform (GCP) zapewniają szczegółowy wgląd w ruch sieciowy, przechwytując zarówno działania przychodzące, jak i wychodzące. Te dzienniki służą do monitorowania wzorców dostępu i identyfikowania potencjalnych zagrożeń bezpieczeństwa w zasobach GCP. Ponadto dzienniki te obejmują również dzienniki GCP Web Application Firewall (WAF), zwiększając możliwość skutecznego wykrywania i ograniczania ryzyka.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GCPLoadBalancerLogs_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Dzienniki przepływu GCP Pub/Sub VPC (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Dzienniki przepływu usługi VPC platformy Google Cloud Platform (GCP) umożliwiają przechwytywanie aktywności ruchu sieciowego na poziomie VPC, co umożliwia monitorowanie wzorców dostępu, analizowanie wydajności sieci i wykrywanie potencjalnych zagrożeń w zasobach GCP.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GCPVPCFlow |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Łącznik Gigamon AMX
Obsługiwane przez:Gigamon
Łącznik Gigamon umożliwia odczytywanie nieprzetworzonych danych zdarzeń z usługi Gigamon w Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GigamonV2_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
-
Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zazwyczaj wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników
GitHub (przy użyciu elementów webhook)
Obsługiwane przez:Microsoft Corporation
Łącznik danych elementu webhook usługi GitHub umożliwia pozyskiwanie subskrybowanych zdarzeń usługi GitHub do Microsoft Sentinel przy użyciu zdarzeń elementu webhook usługi GitHub. Łącznik zapewnia możliwość pobierania zdarzeń do Microsoft Sentinel co pomaga zbadać potencjalne zagrożenia bezpieczeństwa, przeanalizować użycie współpracy przez zespół, zdiagnozować problemy z konfiguracją i nie tylko.
Uwaga: Jeśli chcesz pozyskiwać dzienniki inspekcji usługi GitUb, zapoznaj się z artykułem GitHub Enterprise Audit Log Connector z galerii "Łączniki danych".
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
githubscanaudit_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
Dziennik inspekcji przedsiębiorstwa w usłudze GitHub (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik dziennika inspekcji usługi GitHub umożliwia pozyskiwanie dzienników usługi GitHub do Microsoft Sentinel. Łącząc dzienniki inspekcji usługi GitHub z Microsoft Sentinel, możesz wyświetlać te dane w skoroszytach, używać ich do tworzenia alertów niestandardowych i ulepszać proces badania.
Uwaga: Jeśli zamierzasz pozyskiwać zdarzenia subskrybowane w usłudze GitHub do Microsoft Sentinel, zapoznaj się z tematem Łącznik usługi GitHub (przy użyciu elementów webhook) z galerii "Łączniki danych".
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GitHubAuditLogsV2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Osobisty token dostępu interfejsu API usługi GitHub: aby włączyć sondowanie dla dziennika inspekcji przedsiębiorstwa, upewnij się, że uwierzytelniony użytkownik jest administratorem przedsiębiorstwa i ma osobisty token dostępu gitHub (klasyczny) z zakresem
read:audit_log. -
Typ usługi GitHub Enterprise: ten łącznik będzie działać tylko w usłudze GitHub Enterprise Cloud; nie będzie obsługiwać usługi GitHub Enterprise Server.
Google ApigeeX (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Google ApigeeX umożliwia pozyskiwanie dzienników inspekcji do Microsoft Sentinel przy użyciu interfejsu API Google Apigee. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API Google Apigee .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GCPApigee |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Google Cloud Platform CDN (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych CDN platformy Google Cloud Platform umożliwia pozyskiwanie dzienników inspekcji usługi Cloud CDN i dzienników ruchu usługi Cloud CDN do Microsoft Sentinel przy użyciu interfejsu API aparatu obliczeniowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentem Omówienie produktu .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GCPCDN |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Google Cloud Platform Cloud IDS (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych usługi Google Cloud Platform IDS umożliwia pozyskiwanie dzienników ruchu w usłudze Cloud IDS, dzienników zagrożeń i dzienników inspekcji w Microsoft Sentinel przy użyciu interfejsu API usług Google Cloud IDS. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API usług Cloud IDS .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GCPIDS |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Monitorowanie chmury platformy Google Cloud Platform (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Google Cloud Platform Cloud Monitoring pozyskuje dzienniki monitorowania z usługi Google Cloud do Microsoft Sentinel przy użyciu interfejsu API monitorowania chmury Google. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API monitorowania chmury .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GCPMonitoring |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Aparat obliczeniowy platformy Google Cloud Platform (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych aparatu obliczeniowego platformy Google Cloud Platform umożliwia pozyskiwanie dzienników inspekcji aparatu obliczeniowego do Microsoft Sentinel przy użyciu interfejsu API aparatu obliczeniowego Google Cloud. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API aparatu obliczeniowego w chmurze .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GCPComputeEngine |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Google Cloud Platform DNS (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych DNS platformy Google Cloud Platform umożliwia pozyskiwanie dzienników zapytań DNS w chmurze i dzienników inspekcji DNS w chmurze do Microsoft Sentinel przy użyciu interfejsu API DNS w chmurze Google. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API DNS w chmurze .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GCPDNS |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Usługa Google Cloud Platform IAM (za pośrednictwem platformy Codeless Connector Framework)
Obsługiwane przez:Microsoft Corporation
Łącznik danych usługi Google Cloud Platform IAM umożliwia pozyskiwanie dzienników inspekcji związanych z działaniami zarządzania tożsamościami i dostępem (IAM) w usłudze Google Cloud do Microsoft Sentinel przy użyciu interfejsu API usługi Google IAM. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API usługi GCP IAM .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GCPIAM |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Google Cloud Platform NAT (za pośrednictwem platformy codeless Connector Framework)
Obsługiwane przez:Microsoft Corporation
Łącznik danych NAT platformy Google Cloud Platform zapewnia możliwość pozyskiwania dzienników inspekcji translatora adresów sieciowych w chmurze i dzienników ruchu translatora adresów sieciowych w chmurze do Microsoft Sentinel przy użyciu interfejsu API aparatu obliczeniowego. Aby uzyskać więcej informacji, zapoznaj się z dokumentem Omówienie produktu .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GCPNATAudit |
Tak | Tak |
GCPNAT |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Google Cloud Platform Resource Manager (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych usługi Google Cloud Platform Resource Manager zapewnia możliwość pozyskiwania dzienników Resource Manager Administracja Activity and Data Access Audit do Microsoft Sentinel przy użyciu interfejsu API Resource Manager w chmurze. Aby uzyskać więcej informacji, zapoznaj się z dokumentem Omówienie produktu .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GCPResourceManager |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Aparat Google Kubernetes (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Dzienniki aparatu Google Kubernetes Engine (GKE) umożliwiają przechwytywanie aktywności klastra, zachowania obciążenia i zdarzeń zabezpieczeń, co umożliwia monitorowanie obciążeń kubernetes, analizowanie wydajności i wykrywanie potencjalnych zagrożeń w klastrach GKE.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GKEAudit |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Centrum poleceń zabezpieczeń Google
Obsługiwane przez:Microsoft Corporation
Centrum poleceń zabezpieczeń platformy Google Cloud Platform (GCP) to kompleksowa platforma do zarządzania zabezpieczeniami i ryzykiem dla chmury Google Cloud pozyskiwana z łącznika Sentinel. Oferuje funkcje, takie jak spis zasobów i odnajdywanie, wykrywanie luk w zabezpieczeniach i zagrożeń oraz ograniczanie ryzyka i korygowanie, które ułatwiają uzyskanie wglądu w bezpieczeństwo i obszar ataków na dane organizacji. Ta integracja umożliwia wydajniejsze wykonywanie zadań związanych z ustaleniami i zasobami.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GoogleCloudSCC |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Działania obszaru roboczego Google (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Działania obszaru roboczego Google umożliwia pozyskiwanie zdarzeń aktywności z interfejsu API obszaru roboczego Google do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GoogleWorkspaceReports |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Dostęp do interfejsu API obszaru roboczego Google: wymagany jest dostęp do interfejsu API działań obszaru roboczego Google za pośrednictwem usługi Oauth.
Analiza zagrożeń GreyNoise
Obsługiwane przez:GreyNoise
Ten łącznik danych instaluje aplikację funkcji Azure, aby pobierać wskaźniki GreyNoise raz dziennie i wstawia je do tabeli ThreatIntelligenceIndicator w Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ThreatIntelligenceIndicator |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Klucz interfejsu API GreyNoise: pobierz klucz interfejsu API GreyNoise tutaj.
Łącznik Halcyon
Obsługiwane przez:Halcyon
Łącznik Halcyon umożliwia wysyłanie danych z aplikacji Halcyon do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
HalcyonAuthenticationEvents_CL |
Tak | Tak |
HalcyonDnsActivity_CL |
Tak | Tak |
HalcyonFileActivity_CL |
Tak | Tak |
HalcyonNetworkSession_CL |
Tak | Tak |
HalcyonProcessEvent_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Microsoft Entra Utwórz uprawnienia: uprawnienia do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
-
Uprawnienia przypisania roli: uprawnienia do zapisu wymagane do przypisania roli wydawcy metryk monitorowania do reguły zbierania danych (DCR). Zazwyczaj wymaga roli Właściciel lub Administrator dostępu użytkowników na poziomie grupy zasobów.
Dane zasobów zabezpieczeń Holm (przy użyciu Azure Functions)
Obsługiwane przez:Holm Security
Łącznik zapewnia możliwość sondowania danych z usługi Holm Security Center na Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
net_assets_CL |
Nie | Nie |
web_assets_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejs API Zabezpieczenia Holm: wymagany jest token Holm interfejs API Zabezpieczenia.
Token interfejs API Zabezpieczenia Holm
Dzienniki usług IIS serwerów Microsoft Exchange
Obsługiwane przez:Community
[Opcja 5] — korzystanie z agenta monitora Azure — możesz przesyłać strumieniowo wszystkie dzienniki usług IIS z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia tworzenie niestandardowych alertów i ulepszanie badania.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
W3CIISLog |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure usługa Log Analytics będzie przestarzała w celu zbierania danych z maszyn wirtualnych innych niż Azure, zaleca się Azure Arc. Dowiedz się więcej
-
Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj
Illumio Insights
Obsługiwane przez:Illumio
Łącznik danych Illumio Insights umożliwia pozyskiwanie dzienników z interfejsu API Illumio do Microsoft Sentinel. Łącznik danych jest oparty na Microsoft Sentinel platformie łączników bez kodu. Używa interfejsu API Illumio do pobierania dzienników i obsługuje przekształcenia czasu pozyskiwania oparte na kontrolerze DCR, które analizują odebrane dane zabezpieczeń w tabeli niestandardowej, dzięki czemu zapytania nie muszą ich ponownie analizować, co zapewnia lepszą wydajność.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
IlumioInsights |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Podsumowanie usługi Illumio Insights
Obsługiwane przez:Illumio
Łącznik danych podsumowania usługi Illumio Insights umożliwia pozyskiwanie szczegółowych informacji o zabezpieczeniach i raportów analizy zagrożeń w Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API Illumio . Łącznik umożliwia pobieranie codziennych i cotygodniowych raportów podsumowań z illumio i wizualizowanie ich w Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
IllumioInsightsSummary_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Dostęp do interfejsu API Illumio: dostęp do interfejsu API Illumio jest wymagany dla interfejsu API podsumowania usługi Illumio Insights.
Illumio SaaS (przy użyciu Azure Functions)
Obsługiwane przez:Illumio
Łącznik Illumio zapewnia możliwość pozyskiwania zdarzeń do Microsoft Sentinel. Łącznik zapewnia możliwość pozyskiwania zdarzeń inspekcji i przepływu z zasobnika AWS S3.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Illumio_Auditable_Events_CL |
Tak | Tak |
Illumio_Flow_Events_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- Wymagane są poświadczenia/uprawnienia konta SQS i AWS S3: AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Jeśli używasz zasobnika S3 dostarczonego przez illumio, skontaktuj się z pomocą techniczną Illumio. Na twoje żądanie podadzą nazwę zasobnika AWS S3, adres URL usług AWS SQS i poświadczenia platformy AWS, aby uzyskać do nich dostęp.
-
Klucz interfejsu API Illumio i wpis tajny: ILLUMIO_API_KEY, ILLUMIO_API_SECRET jest wymagane, aby skoroszyt nawiązywał połączenie z usługą SaaS PCE i pobierał odpowiedzi interfejsu API.
Zapora aplikacji internetowej w chmurze Imperva (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik danych zapory aplikacji internetowej w chmurze Imperva zapewnia możliwość integracji i pozyskiwania zdarzeń Web Application Firewall w Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją integracji dzienników. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ImpervaWAFCloud_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI są wymagane dla interfejsu API. Aby uzyskać więcej informacji, zobacz Proces integracji dziennika konfiguracji. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń. Należy pamiętać, że ten łącznik używa formatu zdarzeń dziennika CEF.
Więcej informacji na temat formatu dziennika.
Zapora aplikacji internetowej w chmurze Imperva (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych chmury zapory aplikacji internetowej Imperva umożliwia pozyskiwanie dzienników do Microsoft Sentinel przy użyciu integracji dzienników Imperva za pośrednictwem usługi AWS S3 z powiadomieniami SQS. Łącznik analizuje zdarzenia zapory aplikacji internetowej w formacie CEF, w tym dzienniki dostępu i alerty zabezpieczeń na potrzeby wykrywania zagrożeń i badania. Aby uzyskać więcej informacji, zapoznaj się z tematem Integracja dziennika chmury zapory aplikacji internetowej Imperva .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ImpervaWAFCloud |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Infoblox Cloud Data Connector za pośrednictwem ama
Obsługiwane przez:Infoblox
Łącznik infoblox Cloud Data Connector umożliwia łatwe łączenie danych infoblox z Microsoft Sentinel. Łącząc dzienniki z Microsoft Sentinel, możesz skorzystać z & wyszukiwania korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CommonSecurityLog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Łącznik danych Infoblox za pośrednictwem interfejsu API REST
Obsługiwane przez:Infoblox
Łącznik danych Infoblox umożliwia łatwe łączenie danych infoblox TIDE i danych dokumentacji z Microsoft Sentinel. Łącząc dane z Microsoft Sentinel, możesz skorzystać z & wyszukiwania korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Failed_Range_To_Ingest_CL |
Nie | Nie |
Infoblox_Failed_Indicators_CL |
Nie | Nie |
dossier_whois_CL |
Nie | Nie |
dossier_whitelist_CL |
Nie | Nie |
dossier_tld_risk_CL |
Nie | Nie |
dossier_threat_actor_CL |
Nie | Nie |
dossier_rpz_feeds_records_CL |
Nie | Nie |
dossier_rpz_feeds_CL |
Nie | Nie |
dossier_nameserver_matches_CL |
Nie | Nie |
dossier_nameserver_CL |
Nie | Nie |
dossier_malware_analysis_v3_CL |
Nie | Nie |
dossier_inforank_CL |
Nie | Nie |
dossier_infoblox_web_cat_CL |
Nie | Nie |
dossier_geo_CL |
Nie | Nie |
dossier_dns_CL |
Nie | Nie |
dossier_atp_threat_CL |
Nie | Nie |
dossier_atp_CL |
Nie | Nie |
dossier_ptr_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: wymagany jest klucz interfejsu API Infoblox . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API Rest
Infoblox SOC Insight Data Connector via AMA
Obsługiwane przez:Infoblox
Łącznik danych infoblox SOC Insight umożliwia łatwe łączenie danych usługi Infoblox BloxOne SOC Insight z Microsoft Sentinel. Łącząc dzienniki z Microsoft Sentinel, możesz skorzystać z & wyszukiwania korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.
Ten łącznik danych pozyskuje dzienniki CDC usługi Infoblox SOC Insight w obszarze roboczym usługi Log Analytics przy użyciu nowego agenta Azure Monitor. Dowiedz się więcej o pozyskiwaniu przy użyciu nowego agenta Azure Monitor tutaj. Firma Microsoft zaleca korzystanie z tego łącznika danych.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CommonSecurityLog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Aby zbierać dane z maszyn wirtualnych innych niż Azure, muszą mieć zainstalowane i włączone Azure Arc. Dowiedz się więcej
- Należy zainstalować typowe formaty zdarzeń (CEF) za pośrednictwem usługi AMA i dziennika systemowego za pośrednictwem łączników danych AMA.
Dowiedz się więcej
Łącznik danych usługi Infoblox SOC Insight za pośrednictwem interfejsu API REST
Obsługiwane przez:Infoblox
Łącznik danych infoblox SOC Insight umożliwia łatwe łączenie danych usługi Infoblox BloxOne SOC Insight z Microsoft Sentinel. Łącząc dzienniki z Microsoft Sentinel, możesz skorzystać z & wyszukiwania korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
InfobloxInsight_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Łącznik danych InfoSecGlobal
Obsługiwane przez:InfoSecGlobal
Użyj tego łącznika danych, aby zintegrować się z usługą InfoSec Crypto Analytics i pobrać dane wysyłane bezpośrednio do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
InfoSecAnalytics_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Dzienniki zabezpieczeń IONIX (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:IONIX
Łącznik IONIX umożliwia pozyskiwanie elementów akcji z platformy IONIX Attack Surface Management do Microsoft Sentinel przy użyciu platformy Codeless Connector Framework (CCF). Elementy akcji reprezentują ustalenia zabezpieczeń i luki w zabezpieczeniach, które wymagają korygowania.
Ten łącznik automatycznie sonduje interfejs API IONIX i zapisuje dane w tabeli CyberpionActionItems_CL.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CyberpionActionItems_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Token interfejsu API IONIX: wymagany jest token interfejsu API z portalu IONIX. Utwórz go w interfejsie API ustawień > w portalu IONIX.
Łącznik danych nadużyć IPinfo
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania standard_abuse zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_Abuse_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych IPinfo ASN
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych standard_ASN i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_ASN_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych operatora IPinfo
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania standard_carrier zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_Carrier_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych firmy IPinfo
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych standard_company i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_Company_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych IPinfo Core
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych Core i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_CORE_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
IPinfo Country ASN Data Connector
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania country_asn zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_Country_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych domeny IPinfo
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania standard_domain zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_Domain_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych iplokacji IPinfo
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych standard_location i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_Location_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Rozszerzony łącznik danych IPinfo Iplocation
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania standard_location_extended zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_Location_extended_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych IPinfo Plus
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych plus i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_PLUS_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych prywatności programu IPinfo
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania standard_privacy zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_Privacy_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Rozszerzony łącznik danych ochrony prywatności aplikacji IPinfo
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania standard_privacy zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_Privacy_extended_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych IPinfo ResProxy
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych ResProxy i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_RESIDENTIAL_PROXY_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych IPinfo RIRWHOIS
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych RIRWHOIS i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_RIRWHOIS_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych IPinfo RWHOIS
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych RWHOIS i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_RWHOIS_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
IPinfo WHOIS ASN Data Connector
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania WHOIS_ASN zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_WHOIS_ASN_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych IPinfo WHOIS MNT
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania WHOIS_MNT zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_WHOIS_MNT_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych IPinfo WHOIS NET
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania WHOIS_NET zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_WHOIS_NET_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych organizacji IPinfo WHOIS
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure w celu pobrania WHOIS_ORG zestawów danych i wstawienia ich do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_WHOIS_ORG_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Łącznik danych IPinfo WHOIS POC
Obsługiwane przez:IPinfo
Ten łącznik danych IPinfo instaluje aplikację funkcji Azure, aby pobrać zestawy danych WHOIS_POC i wstawić je do niestandardowej tabeli dzienników w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ipinfo_WHOIS_POC_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API IPinfo: pobierz token interfejsu API IPinfo tutaj.
Island Enterprise Browser Administracja Audit (Polling CCF)
Obsługiwane przez:Island
Łącznik Island Administracja zapewnia możliwość pozyskiwania dzienników inspekcji Administracja island w Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Island_Admin_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Klucz interfejsu API wyspy: wymagany jest klucz interfejsu API wyspy.
Działanie użytkownika przeglądarki Island Enterprise (sondowanie ccf)
Obsługiwane przez:Island
Łącznik Wyspy zapewnia możliwość pozyskiwania dzienników aktywności użytkownika wyspy w Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Island_User_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Klucz interfejsu API wyspy: wymagany jest klucz interfejsu API wyspy.
Jamf Protect Push Connector
Obsługiwane przez:Jamf Software, LLC
Łącznik Jamf Protect umożliwia odczytywanie nieprzetworzonych danych zdarzeń z narzędzia Jamf Protect w Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
jamfprotecttelemetryv2_CL |
Tak | Tak |
jamfprotectunifiedlogs_CL |
Tak | Tak |
jamfprotectalerts_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
-
Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zazwyczaj wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników
JoeSandboxThreatIntelligence (przy użyciu Azure Functions)
Obsługiwane przez:Stefan Bühlmann
Łącznik JoeSandboxThreatIntelligence automatycznie generuje i przesyła analizę zagrożeń dla wszystkich przesyłanych do JoeSandbox, poprawiając wykrywanie zagrożeń i reagowanie na zdarzenia w Sentinel. Ta bezproblemowa integracja umożliwia zespołom aktywne reagowanie na pojawiające się zagrożenia.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ThreatIntelligenceIndicator |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure Subskrypcja: Azure Subskrypcja z rolą właściciela jest wymagana do zarejestrowania aplikacji w usłudze Azure Active Directory() i przypisania roli współautora do aplikacji w grupie zasobów.
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: wymagany jest klucz interfejsu API JoeSandbox .
Łącznik wypychania zabezpieczeń usługi Keeper
Obsługiwane przez:Keeper Security
Łącznik usługi Keeper Security umożliwia odczytywanie nieprzetworzonych danych zdarzeń z usługi Keeper Security w Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
KeeperSecurityEventNewLogs_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
-
Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zazwyczaj wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników
LastPass Enterprise — raportowanie (sondowanie CCF)
Obsługiwane przez:The Collective Consulting
Łącznik LastPass Enterprise zapewnia możliwość dzienników raportowania (inspekcji) lastpass w Microsoft Sentinel. Łącznik zapewnia wgląd w identyfikatory logowania i działania w usłudze LastPass (takie jak odczytywanie i usuwanie haseł).
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
LastPassNativePoller_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
LastPass API Key and CID: Wymagany jest klucz interfejsu API LastPass i identyfikator CID. Aby uzyskać więcej informacji, zobacz Interfejs API LastPass.
Łącznik wykrywania zagrożeń mobilnych usługi Lookout (za pośrednictwem platformy łączników bez kodu) (wersja zapoznawcza)
Obsługiwane przez:Lookout
Łącznik danych wykrywania zagrożeń mobilnych usługi Lookout zapewnia możliwość pozyskiwania zdarzeń związanych z zagrożeniami bezpieczeństwa urządzeń przenośnych do Microsoft Sentinel za pośrednictwem interfejsu API ryzyka dla urządzeń przenośnych. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Ten łącznik ułatwia badanie potencjalnych zagrożeń bezpieczeństwa wykrytych na urządzeniach przenośnych.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
LookoutMtdV2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Luminarne IOCs i nieszczelne poświadczenia (przy użyciu Azure Functions)
Obsługiwane przez:Cognyte Luminar
Łącznik Luminar IOCs i Leaked Credentials umożliwia integrację danych IOC opartych na analizie i ujawnionych rekordów związanych z klientami zidentyfikowanych przez Luminar.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ThreatIntelligenceIndicator |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure Subskrypcja: Azure Subskrypcja z rolą właściciela jest wymagana do zarejestrowania aplikacji w usłudze Azure Active Directory() i przypisania roli współautora do aplikacji w grupie zasobów.
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: wymagany jest identyfikator klienta Luminar, wpis tajny klienta Luminar i identyfikator konta Luminar .
MailGuard 365
Obsługiwane przez:MailGuard 365
MailGuard 365 Enhanced Email Security for Microsoft 365.MailGuard 365 Enhanced Email Security for Microsoft 365 (Rozszerzone zabezpieczenia Email Dla platformy Microsoft 365). Oprócz platformy handlowej firmy Microsoft usługa MailGuard 365 jest zintegrowana z zabezpieczeniami platformy Microsoft 365 (wraz z usługą Defender) w celu zwiększenia ochrony przed zaawansowanymi zagrożeniami poczty e-mail, takimi jak wyłudzanie informacji, oprogramowanie wymuszające okup i zaawansowane ataki BEC.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
MailGuard365_Threats_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
MailRisk by Secure Practice (przy użyciu Azure Functions)
Obsługiwane przez:Secure Practice
Łącznik danych do wypychania wiadomości e-mail z usługi MailRisk do usługi Microsoft Sentinel Log Analytics.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
MailRiskEmails_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia interfejsu API: Wymagana jest również para kluczy interfejsu API bezpiecznej praktyki, która jest tworzona w ustawieniach w portalu administracyjnym. Jeśli klucz tajny interfejsu API został utracony, możesz wygenerować nową parę kluczy (OSTRZEŻENIE: Wszelkie inne integracje korzystające ze starej pary kluczy przestaną działać).
Microsoft 365 (dawniej Office 365)
Obsługiwane przez:Microsoft Corporation
Łącznik dziennika aktywności platformy Microsoft 365 (dawniej Office 365) zapewnia wgląd w bieżące działania użytkowników. Zostaną wyświetlone szczegółowe informacje o operacjach, takich jak pobieranie plików, wysyłane żądania dostępu, zmiany zdarzeń grupy, skrzynka pocztowa i szczegóły użytkownika, który wykonał akcje. Łącząc dzienniki platformy Microsoft 365 z usługą Microsoft Sentinel możesz użyć tych danych do wyświetlania pulpitów nawigacyjnych, tworzenia niestandardowych alertów i ulepszania procesu badania. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
OfficeActivity |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Microsoft 365 Insider Risk Management
Obsługiwane przez:Microsoft Corporation
Rozwiązanie Microsoft 365 Insider Risk Management to rozwiązanie do zapewniania zgodności w usłudze Microsoft 365, które pomaga zminimalizować ryzyko wewnętrzne, umożliwiając wykrywanie, badanie i działanie na złośliwych i niezamierzonych działaniach w organizacji. Analitycy ryzyka w organizacji mogą szybko podjąć odpowiednie działania, aby upewnić się, że użytkownicy są zgodni ze standardami zgodności organizacji.
Zasady ryzyka dotyczącego informacji poufnych umożliwiają:
- zdefiniuj typy zagrożeń, które chcesz zidentyfikować i wykryć w organizacji.
- zdecyduj, jakie działania należy podjąć w odpowiedzi, w tym w razie potrzeby eskalować sprawy do firmy Microsoft Advanced eDiscovery.
To rozwiązanie generuje alerty, które mogą być widoczne dla klientów pakietu Office w rozwiązaniu Insider Risk Management w Centrum zgodności platformy Microsoft 365. Dowiedz się więcej na temat zarządzania ryzykiem wewnętrznym.
Te alerty można zaimportować do Microsoft Sentinel za pomocą tego łącznika, co umożliwia wyświetlanie, badanie i reagowanie na nie w szerszym kontekście zagrożeń organizacyjnych. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityAlert |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Dzienniki zdarzeń zabezpieczeń kontrolerów domeny firmy Microsoft Active-Directory
Obsługiwane przez:Community
[Opcja 3 & 4] — za pomocą agenta Azure Monitor można przesyłać strumieniowo część lub wszystkie dzienniki zdarzeń zabezpieczeń kontrolerów domeny z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia tworzenie niestandardowych alertów i ulepszanie badania.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityEvent |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure usługa Log Analytics będzie przestarzała w celu zbierania danych z maszyn wirtualnych innych niż Azure, zaleca się Azure Arc. Dowiedz się więcej
-
Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj
Microsoft Copilot
Obsługiwane przez:Microsoft
Łącznik dzienników Microsoft Copilot w Microsoft Sentinel umożliwia bezproblemowe pozyskiwanie dzienników aktywności generowanych przez rozwiązania Copilot z rozwiązania M365 Copilot i Security Copilot do Microsoft Sentinel na potrzeby zaawansowanego wykrywania zagrożeń, badania i reagowania. Zbiera dane telemetryczne z usług Microsoft Copilot, takich jak dane użycia i odpowiedzi systemowe i pozyskiwanie do Microsoft Sentinel, co umożliwia zespołom ds. zabezpieczeń monitorowanie pod kątem nieprawidłowego użycia, wykrywanie anomalii i utrzymywanie zgodności z zasadami organizacji.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CopilotActivity |
Nie | Tak |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Uprawnienia dzierżawy: "Administrator zabezpieczeń" lub "Administrator globalny" w dzierżawie obszaru roboczego.
Microsoft Dataverse
Obsługiwane przez:Microsoft Corporation
Microsoft Dataverse to skalowalna i bezpieczna platforma danych, która umożliwia organizacjom przechowywanie danych używanych przez aplikacje biznesowe i zarządzanie nimi. Łącznik danych usługi Microsoft Dataverse umożliwia pozyskiwanie dzienników aktywności usługi Dataverse i Dynamics 365 CRM z Inspekcja w Microsoft Purview logowania do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
DataverseActivity |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia dzierżawy: "Administrator zabezpieczeń" lub "Administrator globalny" w dzierżawie obszaru roboczego.
- Inspekcja usługi Micorosft Purview: należy aktywować Inspekcja w Microsoft Purview (Standardowa lub Premium).
- Production Dataverse: Rejestrowanie aktywności jest dostępne tylko w środowiskach produkcyjnych. Inne typy, takie jak piaskownica, nie obsługują rejestrowania aktywności.
-
Ustawienia inspekcji usługi Dataverse: ustawienia inspekcji należy skonfigurować zarówno globalnie, jak i na poziomie jednostki/tabeli. Aby uzyskać więcej informacji, zobacz Ustawienia inspekcji usługi Dataverse.
Microsoft Defender for Cloud Apps
Obsługiwane przez:Microsoft Corporation
Łącząc się z Microsoft Defender for Cloud Apps uzyskasz wgląd w aplikacje w chmurze, uzyskasz zaawansowaną analizę w celu identyfikowania i zwalczania cyberzagrożeń oraz kontrolowania sposobu przenoszenia danych.
- Identyfikowanie aplikacji w chmurze IT w tle w sieci.
- Kontrolowanie i ograniczanie dostępu na podstawie warunków i kontekstu sesji.
- Używaj wbudowanych lub niestandardowych zasad do udostępniania danych i zapobiegania utracie danych.
- Identyfikowanie użycia wysokiego ryzyka i uzyskiwanie alertów dotyczących nietypowych działań użytkowników za pomocą analizy behawioralnej i możliwości wykrywania anomalii firmy Microsoft, w tym działań wymuszających okup, niemożliwych podróży, podejrzanych reguł przekazywania wiadomości e-mail i masowego pobierania plików.
- Masowe pobieranie plików
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityAlert |
Nie | Nie |
McasShadowItReporting |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Ochrona punktu końcowego w usłudze Microsoft Defender
Obsługiwane przez:Microsoft Corporation
Ochrona punktu końcowego w usłudze Microsoft Defender to platforma zabezpieczeń przeznaczona do zapobiegania zaawansowanym zagrożeniom, wykrywania ich, badania i reagowania na nie. Platforma tworzy alerty, gdy podejrzane zdarzenia zabezpieczeń są widoczne w organizacji. Pobierz alerty wygenerowane w Ochrona punktu końcowego w usłudze Microsoft Defender, aby Microsoft Sentinel, aby można było efektywnie analizować zdarzenia zabezpieczeń. Możesz tworzyć reguły, tworzyć pulpity nawigacyjne i tworzyć podręczniki w celu natychmiastowej reakcji. Aby uzyskać więcej informacji, zobacz dokumentację >Microsoft Sentinel .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityAlert |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Microsoft Defender for Identity
Obsługiwane przez:Microsoft Corporation
Połącz Microsoft Defender for Identity, aby uzyskać wgląd w zdarzenia i analizę użytkowników. Microsoft Defender for Identity identyfikuje, wykrywa i ułatwia badanie zaawansowanych zagrożeń, tożsamości z naruszeniem zabezpieczeń i złośliwych akcji wewnętrznych skierowanych do organizacji. Microsoft Defender for Identity umożliwia analitykom secop i specjalistom ds. zabezpieczeń wykrywanie zaawansowanych ataków w środowiskach hybrydowych w celu:
- Monitorowanie użytkowników, zachowania jednostek i działań za pomocą analizy opartej na uczeniu
- Ochrona tożsamości użytkowników i poświadczeń przechowywanych w usłudze Active Directory
- Identyfikowanie i badanie podejrzanych działań użytkowników i zaawansowanych ataków w całym łańcuchu zabójstw
- Zapewnianie jasnych informacji o zdarzeniach na prostej osi czasu na potrzeby szybkiej klasyfikacji
Aby uzyskać więcej informacji, zobacz dokumentację >Microsoft Sentinel .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityAlert |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Microsoft Defender dla IoT
Obsługiwane przez:Microsoft Corporation
Uzyskaj wgląd w zabezpieczenia IoT, łącząc Microsoft Defender alertów IoT z Microsoft Sentinel. Możesz uzyskać wbudowane metryki alertów i dane, w tym trendy alertów, najważniejsze alerty i podział alertów według ważności. Możesz również uzyskać informacje o zaleceniach dla centrów IoT, w tym najważniejsze zalecenia i zalecenia według ważności. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityAlert |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Microsoft Defender dla Office 365 (wersja zapoznawcza)
Obsługiwane przez:Microsoft Corporation
Microsoft Defender dla Office 365 chroni organizację przed złośliwymi zagrożeniami, jakie stwarzają wiadomości e-mail, linki (adresy URL) i narzędzia do współpracy. Pozyskując Microsoft Defender dla alertów Office 365 do Microsoft Sentinel, możesz włączyć informacje o zagrożeniach opartych na wiadomościach e-mail i adresach URL do szerszej analizy ryzyka i odpowiednio utworzyć scenariusze reagowania.
Zostaną zaimportowane następujące typy alertów:
- Wykryto potencjalnie złośliwe kliknięcie adresu URL
- Email komunikaty zawierające złośliwe oprogramowanie usunięte po dostarczeniu
- Email wiadomości zawierające adresy URL języka phish usunięte po dostarczeniu
- Email zgłaszane przez użytkownika jako złośliwe oprogramowanie lub phish
- Wykryto podejrzane wzorce wysyłania wiadomości e-mail
- Użytkownik nie może wysyłać wiadomości e-mail
Te alerty mogą być widoczne dla klientów pakietu Office w ** Centrum zabezpieczeń i zgodności pakietu Office**.
Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityAlert |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Microsoft Defender Threat Intelligence
Obsługiwane przez:Microsoft Corporation
Microsoft Sentinel zapewnia możliwość importowania analizy zagrożeń wygenerowanej przez firmę Microsoft w celu umożliwienia monitorowania, alertów i wyszukiwania zagrożeń. Użyj tego łącznika danych, aby zaimportować wskaźniki naruszenia zabezpieczeń (IOCs) z Microsoft Defender Threat Intelligence (MDTI) do Microsoft Sentinel. Wskaźniki zagrożeń mogą obejmować adresy IP, domeny, adresy URL i skróty plików itp.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ThreatIntelligenceIndicator |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Microsoft Defender XDR
Obsługiwane przez:Microsoft Corporation
Microsoft Defender XDR to ujednolicony, natywnie zintegrowany, przed i po naruszeniu zabezpieczeń pakiet ochrony przedsiębiorstwa, który chroni punkt końcowy, tożsamość, pocztę e-mail i aplikacje oraz pomaga wykrywać, zapobiegać, badać i automatycznie reagować na zaawansowane zagrożenia.
pakiet Microsoft Defender XDR obejmuje:
- Ochrona punktu końcowego w usłudze Microsoft Defender
- Microsoft Defender for Identity
- Ochrona usługi Office 365 w usłudze Microsoft Defender
- Zarządzanie lukami w zabezpieczeniach & zagrożeń
- Microsoft Defender for Cloud Apps
Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityIncident |
Tak | Tak |
SecurityAlert |
Tak | Tak |
DeviceEvents |
Tak | Tak |
EmailEvents |
Tak | Tak |
IdentityLogonEvents |
Tak | Tak |
CloudAppEvents |
Tak | Tak |
AlertEvidence |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Microsoft Entra ID
Obsługiwane przez:Microsoft Corporation
Uzyskaj wgląd w Microsoft Entra ID, łącząc dzienniki inspekcji i logowania z Microsoft Sentinel w celu zebrania szczegółowych informacji na temat Microsoft Entra ID scenariuszy. Informacje o użyciu aplikacji, zasadach dostępu warunkowego, starszych uwierzytelnianiach związanych ze szczegółami można znaleźć w naszych dziennikach logowania. Informacje na temat użycia samoobsługowego resetowania haseł (samoobsługowego resetowania haseł), Microsoft Entra ID działania zarządzania, takie jak użytkownik, grupa, rola, zarządzanie aplikacjami, można znaleźć w tabeli Dzienniki inspekcji. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SigninLogs |
Tak | Tak |
AuditLogs |
Tak | Tak |
AADNonInteractiveUserSignInLogs |
Tak | Tak |
AADServicePrincipalSignInLogs |
Tak | Tak |
AADManagedIdentitySignInLogs |
Tak | Tak |
AADProvisioningLogs |
Tak | Tak |
ADFSSignInLogs |
Tak | Tak |
AADUserRiskEvents |
Tak | Tak |
AADRiskyUsers |
Tak | Tak |
NetworkAccessTraffic |
Tak | Tak |
AADRiskyServicePrincipals |
Tak | Tak |
AADServicePrincipalRiskEvents |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
zasoby Microsoft Entra ID
Obsługiwane przez:Microsoft Corporation
Entra łącznik danych zasobów identyfikatora zapewnia bardziej szczegółowe informacje na temat danych aktywności, uzupełniając szczegóły informacjami o zasobach. Dane z tego łącznika służą do tworzenia wykresów ryzyka danych w usłudze Purview. Jeśli te grafy zostały włączone, dezaktywacja tego łącznika uniemożliwi kompilowanie grafów. Dowiedz się więcej o grafie ryzyka związanego z danymi.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
ochrona Microsoft Entra ID
Obsługiwane przez:Microsoft Corporation
Microsoft Entra ID Protection zapewnia skonsolidowany widok narażonych użytkowników, zdarzeń o podwyższonym ryzyku i luk w zabezpieczeniach, z możliwością natychmiastowego korygowania ryzyka i ustawiania zasad automatycznego korygowania przyszłych zdarzeń. Usługa jest oparta na doświadczeniu firmy Microsoft w zakresie ochrony tożsamości konsumentów i zyskuje ogromną dokładność dzięki sygnałowi z ponad 13 miliardów logowań dziennie. Zintegruj alerty usługi Microsoft Microsoft Entra ID Protection z Microsoft Sentinel, aby wyświetlać pulpity nawigacyjne, tworzyć alerty niestandardowe i ulepszać badania. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel .
Uzyskiwanie Microsoft Entra ID Premium P1/P2
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityAlert |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Dzienniki inspekcji programu Microsoft Exchange Administracja według dzienników zdarzeń
Obsługiwane przez:Community
[Opcja 1] — używanie agenta Azure Monitor — możesz przesyłać strumieniowo wszystkie zdarzenia inspekcji programu Exchange z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Jest to używane przez skoroszyty zabezpieczeń programu Microsoft Exchange w celu zapewnienia szczegółowych informacji o zabezpieczeniach środowiska lokalnego programu Exchange
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Event |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure usługa Log Analytics będzie przestarzała w celu zbierania danych z maszyn wirtualnych innych niż Azure, zaleca się Azure Arc. Dowiedz się więcej
-
Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj
Dzienniki serwera proxy HTTP programu Microsoft Exchange
Obsługiwane przez:Community
[Opcja 7] — używanie agenta Azure Monitor — dzienniki serwera proxy HTTP i dzienniki zdarzeń zabezpieczeń można przesyłać strumieniowo z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia tworzenie niestandardowych alertów i ulepszanie badania. Dowiedz się więcej
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ExchangeHttpProxy_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure usługa Log Analytics zostanie wycofana: Azure usługa Log Analytics będzie przestarzała, aby zbierać dane z maszyn wirtualnych innych niż Azure, zaleca się Azure Arc. Dowiedz się więcej
-
Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj
Dzienniki i zdarzenia programu Microsoft Exchange
Obsługiwane przez:Community
[Opcja 2] — za pomocą agenta monitora Azure — możesz przesyłać strumieniowo wszystkie dzienniki zdarzeń aplikacji programu Exchange Security & z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia tworzenie niestandardowych alertów i ulepszanie badania.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Event |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure usługa Log Analytics zostanie wycofana: Azure usługa Log Analytics będzie przestarzała, aby zbierać dane z maszyn wirtualnych innych niż Azure, zaleca się Azure Arc. Dowiedz się więcej
-
Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj
Dzienniki śledzenia komunikatów programu Microsoft Exchange
Obsługiwane przez:Community
[Opcja 6] — korzystanie z agenta Azure Monitor — możesz przesyłać strumieniowo wszystkie komunikaty programu Exchange z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. Te dzienniki mogą służyć do śledzenia przepływu komunikatów w środowisku programu Exchange. Ten łącznik danych jest oparty na opcji 6 witryny typu wiki programu Microsoft Exchange Security.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
MessageTrackingLog_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure usługa Log Analytics zostanie wycofana: Azure usługa Log Analytics będzie przestarzała, aby zbierać dane z maszyn wirtualnych innych niż Azure, zaleca się Azure Arc. Dowiedz się więcej
-
Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj
Microsoft Power Automate
Obsługiwane przez:Microsoft Corporation
Power Automate to usługa firmy Microsoft, która ułatwia użytkownikom tworzenie zautomatyzowanych przepływów pracy między aplikacjami i usługami w celu synchronizowania plików, otrzymywania powiadomień, zbierania danych i nie tylko. Upraszcza automatyzację zadań, zwiększając wydajność dzięki zmniejszeniu liczby zadań ręcznych, powtarzalnych i zwiększających produktywność. Łącznik danych usługi Power Automate umożliwia pozyskiwanie dzienników aktywności usługi Power Automate z Inspekcja w Microsoft Purview logowania do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
PowerAutomateActivity |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia dzierżawy: "Administrator zabezpieczeń" lub "Administrator globalny" w dzierżawie obszaru roboczego.
-
Inspekcja usługi Micorosft Purview: należy aktywować Inspekcja w Microsoft Purview (Standardowa lub Premium).
Działanie Administracja platformy Microsoft Power Platform
Obsługiwane przez:Microsoft Corporation
Microsoft Power Platform to pakiet o niskim kodzie/braku kodu, który umożliwia deweloperom zarówno obywatelom, jak i profesjonalnym usprawnienie procesów biznesowych poprzez umożliwienie tworzenia niestandardowych aplikacji, automatyzacji przepływów pracy i analizy danych przy minimalnym kodowaniu. Łącznik danych usługi Power Platform Administracja zapewnia możliwość pozyskiwania dzienników aktywności administratora platformy Power Platform z Inspekcja w Microsoft Purview logowania do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
PowerPlatformAdminActivity |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia dzierżawy: "Administrator zabezpieczeń" lub "Administrator globalny" w dzierżawie obszaru roboczego.
-
Inspekcja usługi Micorosft Purview: należy aktywować Inspekcja w Microsoft Purview (Standardowa lub Premium).
Microsoft PowerBI
Obsługiwane przez:Microsoft Corporation
Microsoft PowerBI to zbiór usług oprogramowania, aplikacji i łączników, które współpracują ze sobą, aby przekształcić niepowiązane źródła danych w spójne, wizualnie immersyjne i interaktywne szczegółowe informacje. Twoje dane mogą być arkuszem kalkulacyjnym programu Excel, kolekcją opartych na chmurze i lokalnych hybrydowych magazynów danych lub magazynem danych innego typu. Ten łącznik umożliwia przesyłanie strumieniowe dzienników inspekcji usługi PowerBI do Microsoft Sentinel, co umożliwia śledzenie działań użytkowników w środowisku usługi PowerBI. Dane inspekcji można filtrować według zakresu dat, użytkownika, pulpitu nawigacyjnego, raportu, zestawu danych i typu działania.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
PowerBIActivity |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Microsoft Project
Obsługiwane przez:Microsoft
Microsoft Project (MSP) to rozwiązanie do zarządzania projektami. W zależności od planu program Microsoft Project umożliwia planowanie projektów, przypisywanie zadań, zarządzanie zasobami, tworzenie raportów i nie tylko. Ten łącznik umożliwia przesyłanie strumieniowe dzienników inspekcji Azure Project do Microsoft Sentinel w celu śledzenia działań projektu.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ProjectActivity |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Microsoft Purview
Obsługiwane przez:Microsoft Corporation
Połącz się z usługą Microsoft Purview, aby włączyć wzbogacanie poufności danych o Microsoft Sentinel. Dzienniki klasyfikacji danych i etykiet poufności ze skanowania usługi Microsoft Purview można pozyskiwać i wizualizować za pomocą skoroszytów, reguł analitycznych i nie tylko. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
PurviewDataSensitivityLogs |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Microsoft Purview Information Protection
Obsługiwane przez:Microsoft Corporation
Microsoft Purview Information Protection pomaga odnajdywać, klasyfikować, chronić i zarządzać poufnymi informacjami wszędzie tam, gdzie się znajdują lub podróżują. Dzięki tym funkcjom możesz poznać swoje dane, zidentyfikować elementy, które są poufne, i uzyskać wgląd w sposób ich używania w celu lepszej ochrony danych. Etykiety poufności to podstawowa funkcja, która zapewnia akcje ochrony, stosując szyfrowanie, ograniczenia dostępu i oznaczenia wizualne. Integruj dzienniki Microsoft Purview Information Protection z Microsoft Sentinel, aby wyświetlać pulpity nawigacyjne, tworzyć niestandardowe alerty i ulepszać badanie. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
MicrosoftPurviewInformationProtection |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Mimecast Audit
Obsługiwane przez:Mimecast
Łącznik danych dla usługi Mimecast Audit zapewnia klientom wgląd w zdarzenia zabezpieczeń związane ze zdarzeniami inspekcji i uwierzytelniania w Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat aktywności użytkowników, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów.
Produkty Mimecast zawarte w łączniku to: Inspekcja
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Audit_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API Rest
Mimecast Audit & Authentication (przy użyciu Azure Functions)
Obsługiwane przez:Mimecast
Łącznik danych dla usługi Mimecast Audit & Authentication zapewnia klientom wgląd w zdarzenia zabezpieczeń związane ze zdarzeniami inspekcji i uwierzytelniania w Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat aktywności użytkowników, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów.
Produkty Mimecast zawarte w łączniku to: Audit & Authentication (Inspekcja uwierzytelniania &)
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
MimecastAudit_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- Poświadczenia interfejsu API mimecast: aby skonfigurować integrację, musisz mieć następujące informacje:
- mimecastEmail: Email adres dedykowanego użytkownika administratora programu Mimecast
- mimecastPassword: hasło dedykowanego użytkownika administratora programu Mimecast
- mimecastAppId: identyfikator aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w programie Mimecast
- mimecastAppKey: klucz aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowany w programie Mimecast
- mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora programu Mimecast
- mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora programu Mimecast
- mimecastBaseURL: adres URL bazy regionalnego interfejsu API mimecast
Identyfikator aplikacji Mimecast, klucz aplikacji wraz z kluczem dostępu i kluczami tajnymi dedykowanego użytkownika administracyjnego programu Mimecast można uzyskać za pośrednictwem konsoli administracyjnej Mimecast: Administracja | Usługi | Integracje interfejsu API i platformy.
Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Grupa zasobów: musisz utworzyć grupę zasobów z subskrypcją, której zamierzasz użyć.
- Aplikacja usługi Functions: aby można było używać tego łącznika, musisz mieć zarejestrowaną aplikacja systemu Azure
- Identyfikator aplikacji
- Identyfikator dzierżawy
- Identyfikator klienta
- Klucz tajny klienta
Mimecast Awareness Training
Obsługiwane przez:Mimecast
Łącznik danych programu Mimecast Awareness Training zapewnia klientom wgląd w zdarzenia zabezpieczeń związane z technologiami inspekcji usługi Targeted Threat Protection w ramach Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat zagrożeń opartych na wiadomościach e-mail, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów.
Produkty Mimecast zawarte w łączniku to:
- Szczegóły wydajności
- Szczegóły wskaźnika bezpieczeństwa
- Dane użytkownika
- Szczegóły listy obserwowanych
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Awareness_Performance_Details_CL |
Tak | Tak |
Awareness_SafeScore_Details_CL |
Tak | Tak |
Awareness_User_Data_CL |
Tak | Tak |
Awareness_Watchlist_Details_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API Rest
Mimecast Cloud Integrated
Obsługiwane przez:Mimecast
Łącznik danych dla rozwiązania Mimecast Cloud Integrated zapewnia klientom wgląd w zdarzenia zabezpieczeń związane z technologiami inspekcji zintegrowanej z chmurą w ramach Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat zagrożeń opartych na wiadomościach e-mail, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Cloud_Integrated_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API Rest
Mimecast Intelligence for Microsoft — Microsoft Sentinel (przy użyciu Azure Functions)
Obsługiwane przez:Mimecast
Łącznik danych dla programu Mimecast Intelligence for Microsoft zapewnia regionalną analizę zagrożeń wyselekcjonowaną za pomocą technologii inspekcji poczty e-mail firmy Mimecast ze wstępnie utworzonymi pulpitami nawigacyjnymi, aby umożliwić analitykom wyświetlanie wglądu w zagrożenia oparte na wiadomościach e-mail, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badania.
Wymagane są produkty i funkcje programu Mimecast:
- Mimecast Secure Email Gateway
- Mimecast Threat Intelligence
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ThreatIntelligenceIndicator |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- Poświadczenia interfejsu API mimecast: aby skonfigurować integrację, musisz mieć następujące informacje:
- mimecastEmail: Email adres dedykowanego użytkownika administratora programu Mimecast
- mimecastPassword: hasło dedykowanego użytkownika administratora programu Mimecast
- mimecastAppId: identyfikator aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w programie Mimecast
- mimecastAppKey: klucz aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowany w programie Mimecast
- mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora programu Mimecast
- mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora programu Mimecast
- mimecastBaseURL: adres URL bazy regionalnego interfejsu API mimecast
Identyfikator aplikacji Mimecast, klucz aplikacji wraz z kluczem dostępu i kluczami tajnymi dedykowanego użytkownika administracyjnego programu Mimecast można uzyskać za pośrednictwem konsoli administracyjnej Mimecast: Administracja | Usługi | Integracje interfejsu API i platformy.
Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Grupa zasobów: musisz utworzyć grupę zasobów z subskrypcją, której zamierzasz użyć.
- Aplikacja usługi Functions: aby można było używać tego łącznika, musisz mieć zarejestrowaną aplikacja systemu Azure
- Identyfikator aplikacji
- Identyfikator dzierżawy
- Identyfikator klienta
- Klucz tajny klienta
Mimecast Secure Email Gateway
Obsługiwane przez:Mimecast
Łącznik danych dla usługi Mimecast Secure Email Gateway umożliwia łatwe zbieranie dzienników z bramy Secure Email Gateway w celu udostępniania szczegółowych informacji o wiadomościach e-mail i aktywności użytkowników w ramach Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat zagrożeń opartych na wiadomościach e-mail, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów. Wymagane są produkty i funkcje programu Mimecast:
- Mimecast Cloud Gateway
- Mimecast Data Leak Prevention
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Seg_Cg_CL |
Tak | Tak |
Seg_Dlp_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API Rest
Mimecast Secure Email Gateway (przy użyciu Azure Functions)
Obsługiwane przez:Mimecast
Łącznik danych dla usługi Mimecast Secure Email Gateway umożliwia łatwe zbieranie dzienników z bramy Secure Email Gateway w celu udostępniania szczegółowych informacji o wiadomościach e-mail i aktywności użytkowników w ramach Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat zagrożeń opartych na wiadomościach e-mail, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów. Wymagane są produkty i funkcje programu Mimecast:
- Mimecast Secure Email Gateway
- Mimecast Data Leak Prevention
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
MimecastSIEM_CL |
Nie | Nie |
MimecastDLP_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- Poświadczenia interfejsu API mimecast: aby skonfigurować integrację, musisz mieć następujące informacje:
- mimecastEmail: Email adres dedykowanego użytkownika administratora programu Mimecast
- mimecastPassword: hasło dedykowanego użytkownika administratora programu Mimecast
- mimecastAppId: identyfikator aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w programie Mimecast
- mimecastAppKey: klucz aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowany w programie Mimecast
- mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora programu Mimecast
- mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora programu Mimecast
- mimecastBaseURL: adres URL bazy regionalnego interfejsu API mimecast
Identyfikator aplikacji Mimecast, klucz aplikacji wraz z kluczem dostępu i kluczami tajnymi dedykowanego użytkownika administracyjnego programu Mimecast można uzyskać za pośrednictwem konsoli administracyjnej Mimecast: Administracja | Usługi | Integracje interfejsu API i platformy.
Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Grupa zasobów: musisz utworzyć grupę zasobów z subskrypcją, której zamierzasz użyć.
- Aplikacja usługi Functions: aby można było używać tego łącznika, musisz mieć zarejestrowaną aplikacja systemu Azure
- Identyfikator aplikacji
- Identyfikator dzierżawy
- Identyfikator klienta
- Klucz tajny klienta
Mimecast Targeted Threat Protection
Obsługiwane przez:Mimecast
Łącznik danych programu Mimecast Targeted Threat Protection zapewnia klientom wgląd w zdarzenia zabezpieczeń związane z technologiami inspekcji usługi Targeted Threat Protection w ramach Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat zagrożeń opartych na wiadomościach e-mail, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów.
Produkty Mimecast zawarte w łączniku to:
- Ochrona adresu URL
- Ochrona przed personifikacją
- Ochrona załącznika
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Ttp_Url_CL |
Tak | Tak |
Ttp_Attachment_CL |
Tak | Tak |
Ttp_Impersonation_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API Rest
Mimecast Targeted Threat Protection (przy użyciu Azure Functions)
Obsługiwane przez:Mimecast
Łącznik danych programu Mimecast Targeted Threat Protection zapewnia klientom wgląd w zdarzenia zabezpieczeń związane z technologiami inspekcji usługi Targeted Threat Protection w ramach Microsoft Sentinel. Łącznik danych udostępnia wstępnie utworzone pulpity nawigacyjne, aby umożliwić analitykom wyświetlanie szczegółowych informacji na temat zagrożeń opartych na wiadomościach e-mail, pomoc w korelacji z incydentami i skrócenie czasu odpowiedzi na badanie w połączeniu z niestandardowymi możliwościami alertów.
Produkty Mimecast zawarte w łączniku to:
- Ochrona adresu URL
- Ochrona przed personifikacją
- Ochrona załącznika
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
MimecastTTPUrl_CL |
Nie | Nie |
MimecastTTPAttachment_CL |
Nie | Nie |
MimecastTTPImpersonation_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- Poświadczenia/uprawnienia interfejsu API REST: Aby skonfigurować integrację, musisz mieć następujące informacje:
- mimecastEmail: Email adres dedykowanego użytkownika administratora programu Mimecast
- mimecastPassword: hasło dedykowanego użytkownika administratora programu Mimecast
- mimecastAppId: identyfikator aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowanej w programie Mimecast
- mimecastAppKey: klucz aplikacji interfejsu API aplikacji Mimecast Microsoft Sentinel zarejestrowany w programie Mimecast
- mimecastAccessKey: klucz dostępu dla dedykowanego użytkownika administratora programu Mimecast
- mimecastSecretKey: klucz tajny dedykowanego użytkownika administratora programu Mimecast
- mimecastBaseURL: adres URL bazy regionalnego interfejsu API mimecast
Identyfikator aplikacji Mimecast, klucz aplikacji wraz z kluczem dostępu i kluczami tajnymi dedykowanego użytkownika administracyjnego programu Mimecast można uzyskać za pośrednictwem konsoli administracyjnej Mimecast: Administracja | Usługi | Integracje interfejsu API i platformy.
Podstawowy adres URL interfejsu API mimecast dla każdego regionu jest udokumentowany tutaj: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
MISP2Sentinel
Obsługiwane przez:Community
To rozwiązanie instaluje łącznik MISP2Sentinel, który umożliwia automatyczne wypychanie wskaźników zagrożeń z programu MISP do Microsoft Sentinel za pośrednictwem interfejsu API REST przekazywania wskaźników. Po zainstalowaniu rozwiązania skonfiguruj i włącz ten łącznik danych, postępując zgodnie ze wskazówkami w widoku Zarządzanie rozwiązaniem.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ThreatIntelligenceIndicator |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Dzienniki atlasu bazy danych MongoDB
Obsługiwane przez:MongoDB
Łącznik Dzienniki MongoDBAtlas umożliwia przekazywanie dzienników bazy danych MongoDB Atlas do Microsoft Sentinel za pośrednictwem interfejsu API administrowania atlasem bazy danych MongoDB. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik zapewnia możliwość pobierania zakresu komunikatów dziennika bazy danych dla określonych hostów i określonego projektu.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
MDBALogTable_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: wymagany jest identyfikator klienta konta usługi MongoDB Atlas i klucz tajny klienta . Aby uzyskać więcej informacji, zobacz tworzenie konta usługi
MuleSoft Cloudhub (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik danych MuleSoft Cloudhub zapewnia możliwość pobierania dzienników z aplikacji Cloudhub przy użyciu interfejsu API cloudhub i innych zdarzeń do Microsoft Sentinel za pośrednictwem interfejsu API REST. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
MuleSoft_Cloudhub_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername i MuleSoftPassword są wymagane do wykonywania wywołań interfejsu API.
Ochrona nc
Obsługiwane przez:archTIS
Program NC Protect Data Connector (archtis.com) umożliwia pozyskiwanie dzienników aktywności użytkowników i zdarzeń do Microsoft Sentinel. Łącznik zapewnia wgląd w dzienniki aktywności i zdarzenia użytkownika nc protect w Microsoft Sentinel w celu poprawy możliwości monitorowania i badania
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
NCProtectUAL_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Nc Protect: Musisz mieć uruchomione wystąpienie funkcji NC Protect dla usługi O365. Skontaktuj się z nami.
Alerty i zdarzenia netskope
Obsługiwane przez:Netskope
Netskope Security Alerts and Events
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
NetskopeAlerts_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Adres URL organizacji Netskope: łącznik danych Netskope wymaga podania adresu URL organizacji. Adres URL organizacji można znaleźć, logując się do portalu Netskope.
-
Klucz interfejsu API Netskope: łącznik danych Netskope wymaga podania prawidłowego klucza interfejsu API. Można go utworzyć, postępjąc zgodnie z dokumentacją netskope.
Łącznik danych Netskope
Obsługiwane przez:Netskope
Łącznik danych Netskope zapewnia następujące możliwości:
- NetskopeToAzureStorage :
- Pobierz dane alertów i zdarzeń Netskope z netskope i pozyskuj do magazynu Azure. 2. StorageToSentinel:
- Pobierz dane alertów i zdarzeń netskope z magazynu Azure i pozyskuj do niestandardowej tabeli dzienników w obszarze roboczym usługi Log Analytics. 3. WebTxMetrics:
- Pobierz dane WebTxMetrics z narzędzia Netskope i pozyskuj do niestandardowej tabeli dzienników w obszarze roboczym usługi Log Analytics.
Aby uzyskać więcej informacji na temat interfejsów API REST, zapoznaj się z poniższymi dokumentacjami:
- Dokumentacja interfejsu API Netskope:
https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure dokumentacji magazynu: /azure/storage/common/storage-introduction 3. Dokumentacja analityczna dziennika firmy Microsoft: /azure/azure-monitor/logs/log-analytics-overview
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
alertscompromisedcredentialdata_CL |
Nie | Nie |
alertsctepdata_CL |
Nie | Nie |
alertsdlpdata_CL |
Nie | Nie |
alertsmalsitedata_CL |
Nie | Nie |
alertsmalwaredata_CL |
Nie | Nie |
alertspolicydata_CL |
Nie | Nie |
alertsquarantinedata_CL |
Nie | Nie |
alertsremediationdata_CL |
Nie | Nie |
alertssecurityassessmentdata_CL |
Nie | Nie |
alertsubadata_CL |
Nie | Nie |
eventsapplicationdata_CL |
Nie | Nie |
eventsauditdata_CL |
Nie | Nie |
eventsconnectiondata_CL |
Nie | Nie |
eventsincidentdata_CL |
Nie | Nie |
eventsnetworkdata_CL |
Nie | Nie |
eventspagedata_CL |
Nie | Nie |
Netskope_WebTx_metrics_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Azure Subskrypcja: Azure Subskrypcja z rolą właściciela jest wymagana do zarejestrowania aplikacji w usłudze Azure Active Directory() i przypisania roli współautora do aplikacji w grupie zasobów.
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: Wymagana jest dzierżawa Netskope i token interfejsu API Netskope . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w dokumentacji interfejsu API Rest
Łącznik transakcji sieci Web Netskope (za pośrednictwem usługi Blob Storage)
Obsługiwane przez:Netskope
Łącznik transakcji sieci Web Netskope pozyskuje dzienniki transakcji internetowych z usługi Netskope Log Streaming do Microsoft Sentinel za pośrednictwem Azure Blob Storage przy użyciu struktury łączników bezkodowych (CCF).
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
NetskopeWebTransactions_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia subskrypcji: potrzebne są uprawnienia do tworzenia zasobów przepływu danych:
- kolejki magazynu (kolejka powiadomień i kolejka utraconych wiadomości)
- temat i subskrypcja usługi Event Grid (w celu wysyłania powiadomień "zdarzenie utworzone przez obiekt blob" do kolejki powiadomień)
- przypisania ról (aby udzielić dostępu do aplikacji Microsoft Sentinel kontenerowi obiektów blob i kolejkom magazynu).
- Konfiguracja sieci konta magazynu: ograniczenia sieci (reguły zapory/ip) na koncie Azure Blob Storage nie są obsługiwane dla tego łącznika z powodu ograniczeń i ograniczeń zapory usługi Azure Storage:
- Reguły sieci IPnie mają wpływuna żądania pochodzące z tego samego regionu Azure co konto magazynu.
- Reguły sieci IPnie mogą ograniczaćdostępu do usług Azure wdrożonych w tym samym regionie, ponieważ te usługi używają prywatnych Azure adresów IP do komunikacji.
- Reguły punktu końcowego usługi sieci wirtualnej nie mają zastosowania do klientów w sparowanym regionie.
Upewnij się, że w bloku Sieć konta magazynu ustawiono opcję Włączone ze wszystkich sieci.
- Przypisania ról konta magazynu: następujące role RBAC Azure muszą być przypisane do jednostki usługi aplikacji przedsiębiorstwa Microsoft Sentinel (wyświetlanej poniżej) na koncie magazynu zawierającym kontener obiektów blob:
- Współautor danych obiektu blob magazynu — wymagany do odczytywania danych obiektów blob z kontenera.
- Współautor danych kolejki magazynu — wymagany do zarządzania powiadomieniami i komunikatami w kolejce utraconych wiadomości.
Aby przypisać te role: przejdź do konta magazynu → Access Control (IAM) → Dodaj przypisanie roli, wyszukaj identyfikator jednostki usługi pokazany poniżej i przypisz obie role.
-
Zbieranie danych z usługi Netskope do kontenera obiektów blob: wykonaj kroki opisane w dokumentacji przesyłania strumieniowego dzienników Netskope, aby skonfigurować usługę Netskope do przesyłania strumieniowego dzienników transakcji internetowych do kontenera Azure Blob Storage.
Netskope Web Transactions Data Connector
Obsługiwane przez:Netskope
Łącznik danych Netskope Web Transactions udostępnia funkcje obrazu platformy Docker do ściągania danych transakcji internetowych Netskope z google pubsublite, przetwarzania danych i pozyskiwania przetworzonych danych do usługi Log Analytics. W ramach tego łącznika danych w usłudze Log Analytics zostaną utworzone dwie tabele, jedna dla danych transakcji internetowych i druga w przypadku błędów napotkanych podczas wykonywania.
Aby uzyskać więcej informacji związanych z transakcjami internetowymi, zapoznaj się z poniższą dokumentacją:
- Dokumentacja usługi Netskope Web Transactions:
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
NetskopeWebtxData_CL |
Nie | Nie |
NetskopeWebtxErrors_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Azure Subskrypcja: subskrypcja Azure z rolą właściciela jest wymagana do zarejestrowania aplikacji w Microsoft Entra ID i przypisania roli współautora do aplikacji w grupie zasobów.
- Uprawnienia microsoft.compute: wymagane są uprawnienia do odczytu i zapisu maszyn wirtualnych Azure. Aby uzyskać więcej informacji, zobacz Azure maszyn wirtualnych.
- TransactionEvents Credentials and Permissions: Netskope Tenant and Netskope API Token is required (Wymagane są poświadczenia i uprawnienia usługi TransactionEvents: dzierżawa netskope i token interfejsu API Netskope ). Aby uzyskać więcej informacji, zobacz Zdarzenia transakcji.
-
Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
Sieciowe grupy zabezpieczeń
Obsługiwane przez:Microsoft Corporation
Azure sieciowe grupy zabezpieczeń umożliwiają filtrowanie ruchu sieciowego do i z zasobów Azure w Azure sieci wirtualnej. Sieciowa grupa zabezpieczeń zawiera reguły, które zezwalają na ruch do podsieci sieci wirtualnej, interfejsu sieciowego lub obu tych reguł.
Po włączeniu rejestrowania dla sieciowej grupy zabezpieczeń można zebrać następujące typy informacji dziennika zasobów:
- Zdarzenie: Rejestrowane są wpisy, dla których reguły sieciowej grupy zabezpieczeń są stosowane do maszyn wirtualnych na podstawie adresu MAC.
- Licznik reguł: Zawiera wpisy dotyczące liczby zastosowań każdej reguły sieciowej grupy zabezpieczeń w celu odmowy lub zezwolenia na ruch. Stan tych reguł jest zbierany co 300 sekund.
Ten łącznik umożliwia przesyłanie strumieniowe dzienników diagnostycznych sieciowej grupy zabezpieczeń do Microsoft Sentinel, co umożliwia ciągłe monitorowanie aktywności we wszystkich wystąpieniach. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
AzureDiagnostics |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
NordPass
Obsługiwane przez:NordPass
Zintegrowanie rozwiązania NordPass z rozwiązaniem Microsoft Sentinel SIEM za pośrednictwem interfejsu API umożliwi automatyczne przesyłanie danych dziennika aktywności z nordpass do Microsoft Sentinel i uzyskiwanie szczegółowych informacji w czasie rzeczywistym, takich jak aktywność elementu, wszystkie próby logowania i powiadomienia o zabezpieczeniach.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
NordPassEventLogs_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Upewnij się, że grupa zasobów i obszar roboczy usługi Log Analytics zostały utworzone i zlokalizowane w tym samym regionie, aby można było wdrożyć Azure Functions.
- Dodaj Microsoft Sentinel do utworzonego obszaru roboczego usługi Log Analytics.
- Wygeneruj adres URL i token interfejsu API Microsoft Sentinel w panelu Administracja NordPass, aby zakończyć integrację Azure Functions. Należy pamiętać, że do tego celu potrzebne jest konto NordPass Enterprise.
-
Ważne: Ten łącznik używa Azure Functions do pobierania dzienników aktywności z rozwiązania NordPass do Microsoft Sentinel. Może to spowodować dodatkowe koszty pozyskiwania danych. Aby uzyskać więcej informacji, zapoznaj się ze stroną cennika Azure Functions.
Obsydiany łącznik do udostępniania danych
Obsługiwane przez:Obsidian Security
Łącznik Obsidian Datasharing umożliwia odczytywanie nieprzetworzonych danych zdarzeń z obsydianowego udostępniania danych w Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ObsidianActivity_CL |
Nie | Nie |
ObsidianThreat_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
-
Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zazwyczaj wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników
Logowanie jednokrotne okta
Obsługiwane przez:Microsoft Corporation
Łącznik danych usługi Okta Single Sign-On (SSO) umożliwia pozyskiwanie dzienników inspekcji i zdarzeń z interfejsu API dziennika usługi Okta Sysem do Microsoft Sentinel. Łącznik danych jest oparty na Microsoft Sentinel codeless Connector Framework i używa interfejsu API dziennika systemu Okta do pobierania zdarzeń. Łącznik obsługuje przekształcenia czasu pozyskiwania oparte na usłudze DCR, które analizują odebrane dane zdarzeń zabezpieczeń w kolumny niestandardowe, dzięki czemu zapytania nie muszą ich ponownie analizować, co zapewnia lepszą wydajność.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
OktaSSO |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Token interfejsu API okta: token interfejsu API okta. Postępuj zgodnie z poniższymi instrukcjami , aby utworzyć plik Zobacz dokumentację , aby dowiedzieć się więcej o interfejsie API dziennika systemu Okta.
Okta Single Sign-On (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik jednokrotnego Sign-On (SSO) okta zapewnia możliwość pozyskiwania dzienników inspekcji i zdarzeń z interfejsu API okta do Microsoft Sentinel. Łącznik zapewnia wgląd w te typy dzienników w Microsoft Sentinel, aby wyświetlać pulpity nawigacyjne, tworzyć alerty niestandardowe oraz ulepszać możliwości monitorowania i badania.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Okta_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API okta: wymagany jest token interfejsu API okta. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat interfejsu API dziennika systemu Okta.
Onapsis Defend: Integrowanie niezrównanego rozwiązania SAP Threat Detection & Intel z Microsoft Sentinel
Obsługiwane przez:Onapsis
Zapewnianie zespołom ds. zabezpieczeń głębokiego wglądu w unikatową aktywność podmiotów wykorzystujących luki w zabezpieczeniach, zero-day i aktora zagrożeń; podejrzane zachowanie użytkownika lub niejawnych testerów; pliki do pobrania poufnych danych; naruszenia kontroli zabezpieczeń; i nie tylko — wszystko wzbogacone przez ekspertów SAP w Firmie Onapsis.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Onapsis_Defend_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
-
Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regułach zbierania danych. Zwykle wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników.
OneLogin IAM Platform (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych OneLogin umożliwia pozyskiwanie typowych zdarzeń platformy OneLogin IAM Platform do Microsoft Sentinel za pośrednictwem interfejsu API REST przy użyciu interfejsu API zdarzeń OneLogin i interfejsu API użytkowników usługi OneLogin. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
OneLoginEventsV2_CL |
Tak | Tak |
OneLoginUsersV2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Poświadczenia interfejsu API IAM usługi OneLogin: aby utworzyć poświadczenia interfejsu API, postępuj zgodnie z linkiem do dokumentu podanym tutaj, kliknij tutaj.
Upewnij się, że masz typ konta właściciela lub administratora konta, aby utworzyć poświadczenia interfejsu API.
Po utworzeniu poświadczeń interfejsu API uzyskasz identyfikator klienta i klucz tajny klienta.
OneTrust
Obsługiwane przez:OneTrust, LLC
Łącznik OneTrust dla Microsoft Sentinel zapewnia możliwość wglądu niemal w czasie rzeczywistym w miejsca, w których dane poufne zostały zlokalizowane lub skorygowane w usłudze Google Cloud i innych źródłach danych obsługiwanych przez usługę OneTrust.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
OneTrustMetadataV3_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
-
Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zazwyczaj wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników
Otwórz łącznik danych systemów
Obsługiwane przez:Open Systems
Łącznik Microsoft Sentinel interfejsu API dzienników systemu open systems umożliwia pozyskiwanie dzienników open systems do Microsoft Sentinel przy użyciu interfejsu API dzienników systemu open systems.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
OpenSystemsZtnaLogs_CL |
Tak | Tak |
OpenSystemsFirewallLogs_CL |
Nie | Nie |
OpenSystemsAuthenticationLogs_CL |
Nie | Nie |
OpenSystemsProxyLogs_CL |
Nie | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure aplikacje kontenerów, kontrolery DOMENY i kontrolery DOMENY: wymagane są uprawnienia do wdrażania Azure aplikacji kontenera, środowisk zarządzanych, reguł zbierania danych (DCRs) i punktów końcowych zbierania danych (DCE). Zazwyczaj jest to objęte rolą "Współautor" w subskrypcji lub grupie zasobów.
- Uprawnienia przypisywania ról: uprawnienia do tworzenia przypisań ról (w szczególności "Wydawca metryk monitorowania" na kontrolerach DOMENY) są wymagane dla wdrażającego użytkownika lub jednostki usługi.
- Wymagane poświadczenia dla szablonu usługi ARM: podczas wdrażania należy podać: punkt końcowy interfejsu API dzienników systemu Open Systems i parametry połączenia oraz poświadczenia jednostki usługi (identyfikator klienta, klucz tajny klienta, identyfikator obiektu/jednostki).
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Niestandardowe wymagania wstępne, jeśli to konieczne, w przeciwnym razie usuń ten tag celny: Opis wszelkich niestandardowych wymagań wstępnych
Oracle Cloud Infrastructure (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych oracle cloud infrastructure (OCI) umożliwia pozyskiwanie dzienników OCI z Stream OCI do Microsoft Sentinel przy użyciu interfejsu API REST przesyłania strumieniowego OCI.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
OCI_LogsV2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Dostęp do interfejsu API przesyłania strumieniowego OCI: wymagany jest dostęp do interfejsu API przesyłania strumieniowego OCI za pośrednictwem kluczy podpisywania interfejsu API.
Alerty zabezpieczeń orki
Obsługiwane przez:Orca Security
Łącznik Alerty zabezpieczeń Orca umożliwia łatwe eksportowanie dzienników alertów do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
OrcaAlerts_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Palo Alto Cortex XDR
Obsługiwane przez:Microsoft Corporation
Łącznik danych Palo Alto Cortex XDR umożliwia pozyskiwanie dzienników z interfejsu API XDR Palo Alto Cortex do Microsoft Sentinel. Łącznik danych jest oparty na Microsoft Sentinel platformie łączników bez kodu. Używa interfejsu API XDR Palo Alto Cortex do pobierania dzienników i obsługuje przekształcenia czasu pozyskiwania oparte na kontrolerze DCR, które analizują odebrane dane zabezpieczeń w tabeli niestandardowej, dzięki czemu zapytania nie muszą ich ponownie analizować, co zapewnia lepszą wydajność.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
PaloAltoCortexXDR_Incidents_CL |
Tak | Tak |
PaloAltoCortexXDR_Endpoints_CL |
Tak | Tak |
PaloAltoCortexXDR_Audit_Management_CL |
Tak | Tak |
PaloAltoCortexXDR_Audit_Agent_CL |
Tak | Tak |
PaloAltoCortexXDR_Alerts_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Palo Alto Cortex Xpanse (za pośrednictwem codeless Connector Framework)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Palo Alto Cortex Xpanse pozyskuje dane alertów do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CortexXpanseAlerts_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Palo Alto Prisma Cloud CSPM (za pośrednictwem platformy Codeless Connector Framework)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Palo Alto Prisma Cloud CSPM umożliwia nawiązywanie połączenia z wystąpieniem CSPM w chmurze Palo Alto Prisma i pozyskiwanie alertów (https://pan.dev/prisma-cloud/api/cspm/alerts/) & Audit Logs(https://pan.dev/prisma-cloud/api/cspm/audit-logs/) do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
PaloAltoPrismaCloudAlertV2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Palo Alto Prisma Cloud CWPP (przy użyciu interfejsu API REST)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Palo Alto Prisma Cloud CWPP umożliwia nawiązywanie połączenia z wystąpieniem cwpp chmury Palo Alto Prisma i pozyskiwanie alertów do Microsoft Sentinel. Łącznik danych jest oparty na strukturze łączników bez kodu Microsoft Sentinel i używa interfejsu API chmury Prisma do pobierania zdarzeń zabezpieczeń i obsługuje przekształcenia czasu pozyskiwania oparte na usłudze DCR, które analizują odebrane dane zdarzeń zabezpieczeń w kolumny niestandardowe, dzięki czemu zapytania nie muszą ich ponownie analizować, co zapewnia lepszą wydajność.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
PrismaCloudCompute_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- PrismaCloudCompute API Key: Palo Alto Prisma Cloud CWPP Monitor API username and password is required (Klucz interfejsu API PrismaCloudCompute: wymagana jest nazwa użytkownika i hasło interfejsu API monitora CWPP firmy Palo Alto Prisma). Aby uzyskać więcej informacji, zobacz PrismaCloudCompute SIEM API.
Pathlock Inc.: Wykrywanie zagrożeń i reagowanie na nie w systemie SAP
Obsługiwane przez:Pathlock Inc.
Integracja rozwiązania Pathlock Threat Detection and Response (TD&R) z rozwiązaniem Microsoft Sentinel Solution for SAP zapewnia ujednolicony wgląd w zdarzenia zabezpieczeń SAP w czasie rzeczywistym, umożliwiając organizacjom wykrywanie zagrożeń i reagowanie na nie we wszystkich środowiskach SAP. Ta wbudowana integracja umożliwia centrom operacji zabezpieczeń (SOC) korelowanie alertów specyficznych dla systemu SAP z danymi telemetrycznymi w całym przedsiębiorstwie, tworząc analizę umożliwiającą podjęcie działań, która łączy zabezpieczenia IT z procesami biznesowymi.
Łącznik funkcji Pathlock jest przeznaczony dla oprogramowania SAP i domyślnie przekazuje tylko zdarzenia istotne dla zabezpieczeń, minimalizując wolumin danych i szum, zachowując jednocześnie elastyczność przekazywania wszystkich źródeł dzienników w razie potrzeby. Każde zdarzenie jest wzbogacone o kontekst procesów biznesowych, dzięki czemu Microsoft Sentinel Solution for SAP Analytics może odróżnić wzorce operacyjne od rzeczywistych zagrożeń i ustalić, co naprawdę ma znaczenie.
To podejście oparte na precyzji pomaga zespołom ds. zabezpieczeń znacząco zmniejszyć liczbę wyników fałszywie dodatnich, skoncentrować się na badaniach i przyspieszyć średni czas wykrywania (MTTD) i średni czas odpowiedzi (MTTR). Biblioteka pathlocka składa się z ponad 1500 sygnatur wykrywania specyficznych dla systemu SAP w ponad 70 źródłach dzienników, rozwiązanie ujawnia złożone zachowania ataków, wady konfiguracji i anomalie dostępu.
Dzięki połączeniu analizy kontekstu biznesowego z zaawansowaną analizą funkcja Pathlock umożliwia przedsiębiorstwom zwiększanie dokładności wykrywania, usprawnianie akcji reagowania i utrzymywanie ciągłej kontroli w środowiskach SAP — bez dodawania złożoności i nadmiarowych warstw monitorowania.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ABAPAuditLog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
-
Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regułach zbierania danych. Zwykle wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników.
Dzienniki aktywności obwodu 81
Obsługiwane przez:Obwód 81
Łącznik Dzienniki aktywności obwodu 81 umożliwia łatwe łączenie dzienników aktywności obwodu 81 z Microsoft Sentinel, wyświetlanie pulpitów nawigacyjnych, tworzenie niestandardowych alertów i ulepszanie badania.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Perimeter81_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Urządzenia fosforu
Obsługiwane przez:Phosphorus Inc.
Łącznik urządzeń fosforu umożliwia fosforowi pozyskiwanie dzienników danych urządzenia do Microsoft Sentinel za pośrednictwem interfejsu API REST fosforu. Łącznik zapewnia wgląd w urządzenia zarejestrowane w języku Phosphorus. Ten łącznik danych pobiera informacje o urządzeniach wraz z odpowiednimi alertami.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Phosphorus_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Poświadczenia/uprawnienia interfejsu API REST: Wymagany jest klucz interfejsu API fosforu . Upewnij się, że klucz interfejsu API skojarzony z użytkownikiem ma włączone uprawnienia Zarządzaj ustawieniami.
Postępuj zgodnie z tymi instrukcjami, aby włączyć uprawnienia Zarządzanie ustawieniami.
- Zaloguj się do aplikacji fosforu
- Przejdź do pozycji "Ustawienia" —> "Grupy"
- Wybierz grupę, w ramach tej grupy należy użytkownik integracji
- Przejdź do pozycji "Akcje produktu" —> przełącz się na uprawnienie "Zarządzaj ustawieniami".
Ping One (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Ten łącznik pozyskuje dzienniki aktywności inspekcji z platformy tożsamości PingOne do Microsoft Sentinel przy użyciu struktury łączników bez kodu.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
PingOne_AuditActivitiesV2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Łącznik danych prancer
Obsługiwane przez:Prancer PenSuiteAI Integration
Łącznik danych Prancer zapewnia możliwość pozyskiwania danych Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] i PAC do przetwarzania za pośrednictwem Microsoft Sentinel. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Prancer .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
prancer_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Uwzględnij niestandardowe wymagania wstępne, jeśli wymagana jest łączność — w przeciwnym razie usuń zwyczaje: Opis wszelkich niestandardowych wymagań wstępnych
Microsoft Defender Threat Intelligence Premium
Obsługiwane przez:Microsoft Corporation
Microsoft Sentinel zapewnia możliwość importowania analizy zagrożeń wygenerowanej przez firmę Microsoft w celu umożliwienia monitorowania, alertów i wyszukiwania zagrożeń. Użyj tego łącznika danych, aby zaimportować wskaźniki naruszenia zabezpieczeń (IOCs) z usługi Premium Microsoft Defender Threat Intelligence (MDTI) do Microsoft Sentinel. Wskaźniki zagrożeń mogą obejmować adresy IP, domeny, adresy URL i skróty plików itp. Uwaga: jest to płatny łącznik. Aby używać i pozyskiwać z nich dane, kup jednostkę SKU "Dostęp do interfejsu API MDTI" w Centrum partnerskim.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ThreatIntelligenceIndicator |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Proofpoint On Demand Email Security (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Proofpoint, Inc.
Łącznik danych proofpoint on demand Email Security zapewnia możliwość pobierania danych proofpoint on Demand Email Protection, umożliwia użytkownikom sprawdzanie możliwości śledzenia wiadomości, monitorowanie aktywności poczty e-mail, zagrożeń i eksfiltracji danych przez osoby atakujące i złośliwych wewnętrznych. Łącznik zapewnia możliwość przeglądania zdarzeń w organizacji w trybie przyspieszonym, pobierania plików dziennika zdarzeń w przyrostach godzinowych dla ostatnich działań.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ProofpointPODMailLog_CL |
Tak | Tak |
ProofpointPODMessage_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Poświadczenia/uprawnienia interfejsu API protokołu Websocket: Wymagane są identyfikatory ProofpointClusterID i ProofpointToken . Aby uzyskać więcej informacji, zobacz INTERFEJS API.
Proofpoint On Demand Email Security (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych proofpoint on demand Email Security zapewnia możliwość pobierania danych proofpoint on Demand Email Protection, umożliwia użytkownikom sprawdzanie możliwości śledzenia wiadomości, monitorowanie aktywności poczty e-mail, zagrożeń i eksfiltracji danych przez osoby atakujące i złośliwych wewnętrznych. Łącznik zapewnia możliwość przeglądania zdarzeń w organizacji w trybie przyspieszonym, pobierania plików dziennika zdarzeń w przyrostach godzinowych dla ostatnich działań.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ProofpointPODMailLog_CL |
Tak | Tak |
ProofpointPODMessage_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Poświadczenia/uprawnienia interfejsu API protokołu Websocket: Wymagane są identyfikatory ProofpointClusterID i ProofpointToken . Aby uzyskać więcej informacji, zobacz INTERFEJS API.
Proofpoint TAP (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Proofpoint, Inc.
Łącznik Proofpoint Targeted Attack Protection (TAP) umożliwia pozyskiwanie dzienników i zdarzeń funkcji Proofpoint TAP do Microsoft Sentinel. Łącznik zapewnia wgląd w zdarzenia komunikatów i kliknięć w Microsoft Sentinel, aby wyświetlać pulpity nawigacyjne, tworzyć alerty niestandardowe oraz ulepszać możliwości monitorowania i badania.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Tak | Tak |
ProofPointTAPMessagesBlockedV2_CL |
Tak | Tak |
ProofPointTAPClicksPermittedV2_CL |
Tak | Tak |
ProofPointTAPClicksBlockedV2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Proofpoint TAP API Key: Do uzyskania dostępu do interfejsu API SIEM punktu dowodowego jest wymagana jednostka usługi interfejsu API i wpis tajny interfejsu API interfejsu API punktu sprawdzania. Aby uzyskać więcej informacji, zobacz Proofpoint SIEM API (Interfejs API rozwiązania Proofpoint SIEM).
Proofpoint TAP (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik Proofpoint Targeted Attack Protection (TAP) umożliwia pozyskiwanie dzienników i zdarzeń funkcji Proofpoint TAP do Microsoft Sentinel. Łącznik zapewnia wgląd w zdarzenia komunikatów i kliknięć w Microsoft Sentinel, aby wyświetlać pulpity nawigacyjne, tworzyć alerty niestandardowe oraz ulepszać możliwości monitorowania i badania.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Tak | Tak |
ProofPointTAPMessagesBlockedV2_CL |
Tak | Tak |
ProofPointTAPClicksPermittedV2_CL |
Tak | Tak |
ProofPointTAPClicksBlockedV2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Proofpoint TAP API Key: Do uzyskania dostępu do interfejsu API SIEM punktu dowodowego jest wymagana jednostka usługi interfejsu API i wpis tajny interfejsu API interfejsu API punktu sprawdzania. Aby uzyskać więcej informacji, zobacz Proofpoint SIEM API (Interfejs API rozwiązania Proofpoint SIEM).
QscoutAppEventsConnector (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Quokka
Pozyskiwanie zdarzeń aplikacji Qscout do Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
QscoutAppEvents_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Qscout Organization ID: Interfejs API wymaga identyfikatora organizacji w Qscout.
-
Klucz interfejsu API organizacji Qscout: interfejs API wymaga klucza interfejsu API organizacji w języku Qscout.
Baza wiedzy Qualys (za pośrednictwem platformy łączników bezkodowych)
Obsługiwane przez:Microsoft Corporation
Pozyskiwanie danych luk w zabezpieczeniach bazy wiedzy Qualys do Microsoft Sentinel przy użyciu wersji 2.0 interfejsu API Qualys.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
QualysKnowledgeBase |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Dostęp do interfejsu API qualys: wymaga konta użytkownika qualys z dostępem do odczytu do punktów końcowych bazy wiedzy.
Baza wiedzy maszyny wirtualnej Qualys (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik KnowledgeBase (KB) rozwiązania Qualys Vulnerability Management (VM) zapewnia możliwość pozyskiwania najnowszych danych luk w zabezpieczeniach z bazy wiedzy Qualys KB do Microsoft Sentinel.
Te dane mogą służyć do korelowania i wzbogacania wykrywania luk w zabezpieczeniach wykrytych przez łącznik danych qualys Vulnerability Management (VM ).
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
QualysKB_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Klucz interfejsu API qualys: wymagana jest nazwa użytkownika i hasło interfejsu API maszyny wirtualnej Qualys. Aby uzyskać więcej informacji, zobacz Interfejs API maszyny wirtualnej Qualys.
Qualys Vulnerability Management (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych qualys Vulnerability Management (VM) zapewnia możliwość pozyskiwania danych wykrywania hosta luk w zabezpieczeniach do Microsoft Sentinel za pośrednictwem interfejsu API Qualys. Łącznik zapewnia wgląd w dane wykrywania hostów ze skanowania vulerability.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
QualysHostDetectionV3_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Dostęp i role interfejsu API: upewnij się, że użytkownik maszyny wirtualnej Qualys ma rolę Czytelnik lub wyższa. Jeśli rola to Czytelnik, upewnij się, że dostęp do interfejsu API jest włączony dla konta. Rola audytora nie jest obsługiwana w celu uzyskania dostępu do interfejsu API. Aby uzyskać więcej informacji, zapoznaj się z dokumentem Dotyczącym interfejsu API wykrywania hosta maszyny wirtualnej Qualys i porównania ról użytkownika .
Radiflow iSID via AMA
Obsługiwane przez:Radiflow
Identyfikator iSID umożliwia monitorowanie rozproszonych sieci ICS pod kątem zmian w topologii i zachowaniu przy użyciu wielu pakietów zabezpieczeń, z których każdy oferuje unikatową możliwość dotyczącą określonego typu działania sieciowego
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
RadiflowEvent |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Raporty dotyczące zarządzania lukami w zabezpieczeniach platformy Rapid7 Insight (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik danych raportów maszyn wirtualnych usługi Rapid7 Insight umożliwia pozyskiwanie raportów skanowania i danych luk w zabezpieczeniach do Microsoft Sentinel za pośrednictwem interfejsu API REST z platformy Rapid7 Insight (zarządzanej w chmurze). Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
NexposeInsightVMCloud_assets_CL |
Nie | Nie |
NexposeInsightVMCloud_vulnerabilities_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia interfejsu API REST: Funkcja InsightVMAPIKey jest wymagana dla interfejsu API REST. Aby uzyskać więcej informacji, zobacz INTERFEJS API. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń
RSA ID Plus Administracja Logs Connector
Obsługiwane przez zespółpomocy technicznej RSA
Łącznik RSA ID Plus AdminLogs Connector umożliwia pozyskiwanie zdarzeń inspekcji konsoli Administracja w chmurze do Microsoft Sentinel przy użyciu interfejsów API Administracja w chmurze.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
RSAIDPlus_AdminLogs_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Uwierzytelnianie interfejsu API RSA ID Plus: aby uzyskać dostęp do interfejsów API Administracja, wymagany jest prawidłowy token JWT zakodowany w formacie Base64URL, podpisany przy użyciu klucza interfejsu API starszej wersji administracji klienta.
Łącznik danych usługi Rubrik Security Cloud (przy użyciu Azure Functions)
Obsługiwane przez:Rubrik
Łącznik danych usługi Rubrik Security Cloud umożliwia zespołom ds. operacji zabezpieczeń integrowanie szczegółowych informacji z usług rozwiązania Rubrik Data Observability w Microsoft Sentinel. Szczegółowe informacje obejmują identyfikację nietypowego zachowania systemu plików związanego z oprogramowaniem wymuszającym okup i masowym usuwaniem, ocenę promienia wybuchu ataku wymuszającego okup oraz poufnych operatorów danych w celu nadania priorytetów i dokładniejszego zbadania potencjalnych zdarzeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Rubrik_Anomaly_Data_CL |
Tak | Tak |
Rubrik_Ransomware_Data_CL |
Tak | Tak |
Rubrik_ThreatHunt_Data_CL |
Tak | Tak |
Rubrik_Events_Data_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
Zabezpieczenia SaaS
Obsługiwane przez:Valence Security
Łączy platformę zabezpieczeń Valence SaaS Azure Log Analytics za pośrednictwem interfejsu API REST
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ValenceAlert_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
SailPoint IdentityNow (przy użyciu Azure Functions)
Obsługiwane przez:SailPoint
Łącznik danych SailPoint IdentityNow umożliwia pozyskiwanie zdarzeń wyszukiwania [SailPoint IdentityNow] do Microsoft Sentinel za pośrednictwem interfejsu API REST. Łącznik zapewnia klientom możliwość wyodrębniania informacji inspekcji z dzierżawy usługi IdentityNow. Jego celem jest jeszcze łatwiejsze wprowadzanie zdarzeń aktywności użytkowników i ładu usługi IdentityNow do Microsoft Sentinel w celu ulepszenia szczegółowych informacji z rozwiązania do monitorowania zdarzeń i zdarzeń zabezpieczeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SailPointIDN_Events_CL |
Tak | Tak |
SailPointIDN_Triggers_CL |
Nie | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia uwierzytelniania interfejsu API SailPoint IdentityNow: TENANT_ID, CLIENT_ID i CLIENT_SECRET są wymagane do uwierzytelniania.
Salesforce Service Cloud (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych usługi Salesforce Service Cloud umożliwia pozyskiwanie informacji o zdarzeniach operacyjnych usługi Salesforce do Microsoft Sentinel za pośrednictwem interfejsu API REST. Łącznik zapewnia możliwość przeglądania zdarzeń w organizacji w trybie przyspieszonym, pobierania plików dziennika zdarzeń w przyrostach godzinowych dla ostatnich działań.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SalesforceServiceCloudV2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Dostęp interfejsu API usługi Salesforce Service w chmurze: wymagany jest dostęp do interfejsu API chmury usługi Salesforce Service za pośrednictwem połączonej aplikacji.
Analiza zasobów rozwiązania Samsung Knox
Obsługiwane przez:Samsung Electronics Co., Ltd.
Łącznik danych analizy zasobów rozwiązania Samsung Knox umożliwia scentralizowanie zdarzeń i dzienników zabezpieczeń urządzeń przenośnych w celu wyświetlania dostosowanych szczegółowych informacji przy użyciu szablonu skoroszytu i identyfikowania zdarzeń na podstawie szablonów reguł analizy.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Samsung_Knox_Audit_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Entra aplikacji: aplikacja Entra musi być zarejestrowana i aprowizowana z rolą "Wydawca metryk firmy Microsoft" i skonfigurowana przy użyciu certyfikatu lub klucza tajnego klienta jako poświadczeń do bezpiecznego transferu danych. Zobacz samouczek Pozyskiwanie dzienników, aby dowiedzieć się więcej na temat tworzenia aplikacji Entra, rejestracji i konfiguracji poświadczeń.
SAP BTP
Obsługiwane przez:Microsoft Corporation
Platforma SAP Business Technology Platform (SAP BTP) łączy zarządzanie danymi, analizę, sztuczną inteligencję, tworzenie aplikacji, automatyzację i integrację w jednym, ujednoliconym środowisku.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SAPBTPAuditLog_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Identyfikator klienta i klucz tajny klienta dla interfejsu API pobierania inspekcji: włącz dostęp do interfejsu API w usłudze BTP.
SAP Enterprise Threat Detection, wersja w chmurze
Obsługiwane przez:SAP
Łącznik danych SAP Enterprise Threat Detection, cloud edition (ETD) umożliwia pozyskiwanie alertów zabezpieczeń z etd do Microsoft Sentinel, obsługując krzyżową korelację, alerty i wyszukiwanie zagrożeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SAPETDAlerts_CL |
Tak | Tak |
SAPETDInvestigations_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Identyfikator klienta i klucz tajny klienta dla interfejsu API pobierania ETD: włącz dostęp do interfejsu API w systemie ETD.
SAP LogServ (RISE), wersja prywatna S/4HANA Cloud
Obsługiwane przez:SAP
SAP LogServ to usługa SAP Enterprise Cloud Services (ECS) mająca na celu zbieranie, przechowywanie, przekazywanie i dostęp do dzienników. Usługa LogServ scentralizuje dzienniki ze wszystkich systemów, aplikacji i usług ECS używanych przez zarejestrowanego klienta.
Główne funkcje obejmują:
Zbieranie dzienników niemal w czasie rzeczywistym: możliwość integracji z Microsoft Sentinel jako rozwiązanie SIEM.
Usługa LogServ uzupełnia istniejące monitorowanie i wykrywanie zagrożeń w warstwie aplikacji SAP w Microsoft Sentinel z typami dzienników należącymi do systemu SAP ECS jako dostawca systemu. Obejmuje to dzienniki, takie jak: dziennik inspekcji zabezpieczeń SAP (AS ABAP), baza danych HANA, ŚRODOWISKO JAVA AS, ICM, sap web dispatcher, sap cloud connector, system operacyjny, sap gateway, baza danych innej firmy, sieć, DNS, serwer proxy, zapora
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SAPLogServ_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
-
Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regułach zbierania danych. Zwykle wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników.
SAP S/4HANA Cloud Public Edition
Obsługiwane przez:SAP
Łącznik danych SAP S/4HANA Cloud Public Edition (GROW with SAP) umożliwia pozyskiwanie dziennika inspekcji zabezpieczeń sap do rozwiązania Microsoft Sentinel Solution for SAP, obsługując korelację krzyżową, alerty i wyszukiwanie zagrożeń. Szukasz alternatywnych mechanizmów uwierzytelniania? Zobacz tutaj.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ABAPAuditLog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Identyfikator klienta i klucz tajny klienta dla interfejsu API pobierania inspekcji: włącz dostęp do interfejsu API w usłudze BTP.
Rozwiązanie SecurityBridge dla systemu SAP
Obsługiwane przez:SecurityBridge
Usługa SecurityBridge zwiększa bezpieczeństwo systemu SAP, bezproblemowo integrując się z Microsoft Sentinel, umożliwiając monitorowanie w czasie rzeczywistym i wykrywanie zagrożeń w środowiskach SAP. Ta integracja umożliwia usłudze Security Operations Centers (SOC) konsolidowanie zdarzeń zabezpieczeń SAP z innymi danymi organizacyjnymi, zapewniając ujednolicony widok krajobrazu zagrożeń. Korzystając z analiz opartych na sztucznej inteligencji i Security Copilot firmy Microsoft, usługa SecurityBridge identyfikuje zaawansowane wzorce ataków i luki w zabezpieczeniach w aplikacjach SAP, w tym skanowanie kodu ABAP i oceny konfiguracji. Rozwiązanie obsługuje skalowalne wdrożenia w złożonych środowiskach SAP, zarówno lokalnych, w chmurze, jak i środowiskach hybrydowych. Dzięki wypełnieniu luki między zespołami ds. zabezpieczeń IT i SAP usługa SecurityBridge umożliwia organizacjom aktywne wykrywanie, badanie i reagowanie na zagrożenia, zwiększając ogólną postawę zabezpieczeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ABAPAuditLog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
-
Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regułach zbierania danych. Zwykle wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników.
Dzienniki Semperis Lightning
Obsługiwane przez:Semperis
Łącznik Semperis Lightning używa Azure Functions do pozyskiwania danych zabezpieczeń tożsamości Semperis Lightning do Microsoft Sentinel. Łącznik wdraża funkcję Azure i zbiera dane w niestandardowych tabelach usługi Log Analytics w celu badania i wyszukiwania zagrożeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
LightningTier0Nodes_CL |
Nie | Nie |
LightningAttackPaths_CL |
Nie | Nie |
LightningIOEResults_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia interfejsu API Semperis Lightning: klucz interfejsu API Semperis Lightning i wybrana strefa (na lub eu) są wymagane do uwierzytelnienia łącznika w usłudze Semperis Lightning.
SentinelOne
Obsługiwane przez:Microsoft Corporation
Łącznik danych SentinelOne umożliwia pozyskiwanie dzienników z interfejsu API SentinelOne do Microsoft Sentinel. Łącznik danych jest oparty na Microsoft Sentinel platformie łączników bez kodu. Używa interfejsu API SentinelOne do pobierania dzienników i obsługuje przekształcenia czasu pozyskiwania oparte na kontrolerze DCR, które analizują odebrane dane zabezpieczeń w tabeli niestandardowej, dzięki czemu zapytania nie muszą ich ponownie analizować, co zapewnia lepszą wydajność.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SentinelOneActivities_CL |
Tak | Tak |
SentinelOneAgents_CL |
Tak | Tak |
SentinelOneGroups_CL |
Tak | Tak |
SentinelOneThreats_CL |
Tak | Tak |
SentinelOneAlerts_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
SentinelOne (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik danych SentinelOne umożliwia pozyskiwanie typowych obiektów serwera SentinelOne, takich jak zagrożenia, agenci, aplikacje, działania, zasady, grupy i inne zdarzenia w Microsoft Sentinel za pośrednictwem interfejsu API REST. Zapoznaj się z dokumentacją interfejsu API: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview aby uzyskać więcej informacji. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SentinelOne_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: Wymagana jest funkcja SentinelOneAPIToken . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w usłudze
https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.
Seraphic Web Security
Obsługiwane przez:Seraphic Security
Łącznik danych Seraphic Web Security zapewnia możliwość pozyskiwania zdarzeń i alertów dotyczących zabezpieczeń sieci Web seraphic do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SeraphicWebSecurity_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Klucz interfejsu API Seraphic: klucz interfejsu API dla Microsoft Sentinel połączony z dzierżawą usługi Seraphic Web Security. Aby uzyskać ten klucz interfejsu API dla dzierżawy — przeczytaj tę dokumentację.
Konsola Administracja Silverfort
Obsługiwane przez:Silverfort
Rozwiązanie łącznika konsoli silverfort ITDR Administracja Console umożliwia pozyskiwanie zdarzeń Silverfort i logowanie się do Microsoft Sentinel. Program Silverfort udostępnia zdarzenia oparte na dziennikach systemowych i rejestrowanie przy użyciu formatu Common Event Format (CEF). Przekazując dane CEF konsoli programu Silverfort ITDR Administracja Console do Microsoft Sentinel, możesz skorzystać z korelacji & wyszukiwania, alertów i wzbogacania analizy zagrożeń na danych Silverfort przez usługę Sentinel. Aby uzyskać więcej informacji, skontaktuj się z firmą Silverfort lub zapoznaj się z dokumentacją platformy Silverfort.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CommonSecurityLog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
SlackAudit (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych SlackAudit umożliwia pozyskiwanie dzienników inspekcji usługi Slack do Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SlackAuditV2_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
UserName, SlackAudit API Key & typ akcji: aby wygenerować token dostępu, utwórz nową aplikację w usłudze Slack, a następnie dodaj niezbędne zakresy i skonfiguruj adres URL przekierowania. Aby uzyskać szczegółowe instrukcje dotyczące generowania tokenu dostępu, nazwy użytkownika i limitu nazw akcji, skorzystaj z linku.
Snowflake (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych snowflake zapewnia możliwość pozyskiwania dzienników historii logowania usługi Snowflake, dzienników historii zapytań, dzienników udzielania uprawnień przez użytkownika, dzienników przyznawania ról, dzienników historii ładowania, dzienników historii odświeżania zmaterializowanych widoków, dzienników ról, dzienników tabel, dzienników metryk magazynu tabel, dzienników użytkowników logujących się do Microsoft Sentinel przy użyciu interfejsu API SQL snowflake. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API SQL usługi Snowflake .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SnowflakeLogin_CL |
Tak | Tak |
SnowflakeQuery_CL |
Tak | Tak |
SnowflakeUserGrant_CL |
Tak | Tak |
SnowflakeRoleGrant_CL |
Tak | Tak |
SnowflakeLoad_CL |
Tak | Tak |
SnowflakeMaterializedView_CL |
Tak | Tak |
SnowflakeRoles_CL |
Tak | Tak |
SnowflakeTables_CL |
Tak | Tak |
SnowflakeTableStorageMetrics_CL |
Tak | Tak |
SnowflakeUsers_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Łącznik danych dzienników inspekcji platformy SOC Prime
Obsługiwane przez:SOC Prime
Łącznik danych dzienników inspekcji USŁUGI SOC Prime umożliwia pozyskiwanie dzienników z interfejsu API platformy SOC Prime do Microsoft Sentinel. Łącznik danych jest oparty na Microsoft Sentinel platformie łączników bez kodu. Używa interfejsu API platformy SOC Prime do pobierania dzienników inspekcji platformy SOC Prime i obsługuje przekształcenia czasu pozyskiwania oparte na kontrolerze DCR, które analizują odebrane dane zabezpieczeń w tabeli niestandardowej, co zapewnia lepszą wydajność.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SOCPrimeAuditLogs_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Łącznik danych Sonrai
Obsługiwane przez:N/A
Użyj tego łącznika danych, aby zintegrować się z usługą Sonrai Security i pobrać bilety Sonrai wysyłane bezpośrednio do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Sonrai_Tickets_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Sophos Endpoint Protection (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik danych sophos Endpoint Protection zapewnia możliwość pozyskiwania zdarzeń Sophos do Microsoft Sentinel. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Sophos Central Administracja.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SophosEP_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: token interfejsu API jest wymagany. Aby uzyskać więcej informacji, zobacz Token interfejsu API
Sophos Endpoint Protection (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych sophos Endpoint Protection umożliwia pozyskiwanie zdarzeń Sophos i alertów Sophos do Microsoft Sentinel. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją usługi Sophos Central Administracja.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SophosEPEvents_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Dostęp do interfejsu API programu Sophos Endpoint Protection: wymagany jest dostęp do interfejsu API programu Sophos Endpoint Protection za pośrednictwem jednostki usługi.
Symantec Integrated Cyber Defense Exchange
Obsługiwane przez:Microsoft Corporation
Łącznik Symantec ICDx umożliwia łatwe łączenie dzienników rozwiązań zabezpieczeń firmy Symantec z Microsoft Sentinel, wyświetlanie pulpitów nawigacyjnych, tworzenie niestandardowych alertów i ulepszanie badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci organizacji i zwiększyć możliwości operacji zabezpieczeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SymantecICDx_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Synqly Integration Connector
Obsługiwane przez:Synqly
Łącznik Synqly umożliwia wypychanie zdarzeń zabezpieczeń z integracji synqly do Microsoft Sentinel przy użyciu interfejsu API pozyskiwania dzienników Azure. Zdarzenia są automatycznie normalizowane do tabel usługi ASIM (Advanced Security Information Model) do użycia z analizą Microsoft Sentinel, skoroszytami i zapytaniami wyszukiwania zagrożeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Microsoft Entra ID: rola dewelopera aplikacji (lub wyższa) do tworzenia rejestracji aplikacji.
-
Microsoft Azure: rola właściciela lub administratora dostępu użytkowników w grupie zasobów w celu wdrożenia funkcji DCR i przypisania roli wydawcy metryk monitorowania.
Dziennik systemowy za pośrednictwem usługi AMA
Obsługiwane przez:Microsoft Corporation
Syslog to protokół rejestrowania zdarzeń, który jest typowy dla Linux. Aplikacje będą wysyłać komunikaty, które mogą być przechowywane na komputerze lokalnym lub dostarczane do modułu zbierającego Syslog. Po zainstalowaniu agenta Linux konfiguruje demona lokalnego dziennika systemu w celu przekazywania komunikatów do agenta. Następnie agent wysyła komunikat do obszaru roboczego.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Syslog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Poświadczenia z naruszonymi zabezpieczeniami w języku TacitRed
Obsługiwane przez:Data443 Risk Mitigation, Inc.
Pozyskiwanie wyników poświadczeń, których bezpieczeństwo zostało naruszone przez rozwiązanie TacitRed, przy użyciu struktury Common Connector Framework (CCF).
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
TacitRed_Findings_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Klucz interfejsu API TacitRed: klucz interfejsu API przechowywany w Azure Key Vault lub podany w czasie wdrażania.
Talon Insights
Obsługiwane przez:Talon Security
Łącznik Dzienniki zabezpieczeń talonu umożliwia łatwe łączenie zdarzeń szponów i dzienników inspekcji z Microsoft Sentinel, wyświetlanie pulpitów nawigacyjnych, tworzenie niestandardowych alertów i ulepszanie badania.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Talon_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Team Cymru Scout Data Connector (przy użyciu Azure Functions)
Obsługiwane przez:Team Cymru
Łącznik danych TeamCymruScout umożliwia użytkownikom wprowadzanie w Microsoft Sentinel danych użycia adresu IP, domeny i konta programu Team Cymru Scout w celu wzbogacenia.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Cymru_Scout_Domain_Data_CL |
Nie | Nie |
Cymru_Scout_IP_Data_Foundation_CL |
Nie | Nie |
Cymru_Scout_IP_Data_Details_CL |
Nie | Nie |
Cymru_Scout_IP_Data_Communications_CL |
Nie | Nie |
Cymru_Scout_IP_Data_PDNS_CL |
Nie | Nie |
Cymru_Scout_IP_Data_Fingerprints_CL |
Nie | Nie |
Cymru_Scout_IP_Data_OpenPorts_CL |
Nie | Nie |
Cymru_Scout_IP_Data_x509_CL |
Nie | Nie |
Cymru_Scout_IP_Data_Summary_Details_CL |
Nie | Nie |
Cymru_Scout_IP_Data_Summary_PDNS_CL |
Nie | Nie |
Cymru_Scout_IP_Data_Summary_OpenPorts_CL |
Nie | Nie |
Cymru_Scout_IP_Data_Summary_Certs_CL |
Nie | Nie |
Cymru_Scout_IP_Data_Summary_Fingerprints_CL |
Nie | Nie |
Cymru_Scout_Account_Usage_Data_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- Uprawnienie do przypisania roli do zarejestrowanej aplikacji: wymagane jest uprawnienie do przypisania roli do zarejestrowanej aplikacji w Microsoft Entra ID.
-
Team Cymru Scout Credentials/permissions: Wymagane są poświadczenia konta Team Cymru Scout (nazwa użytkownika, hasło).
Narażenie na tożsamość do utrzymania
Obsługiwane przez:Tenable
Łącznik narażenia na tożsamość do utrzymania umożliwia pozyskiwanie wskaźników ekspozycji, wskaźników ataków i dzienników trailflow do Microsoft Sentinel. Różne książki robocze i analizatory danych umożliwiają łatwiejsze manipulowanie dziennikami i monitorowanie środowiska usługi Active Directory. Szablony analityczne umożliwiają automatyzowanie odpowiedzi dotyczących różnych zdarzeń, ekspozycji i ataków.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Dostęp do konfiguracji tenableIE: uprawnienia do konfigurowania aparatu alertów dziennika systemowego
Zarządzanie lukami w zabezpieczeniach z możliwością utrzymania (przy użyciu Azure Functions)
Obsługiwane przez:Tenable
Łącznik danych TVM umożliwia pozyskiwanie danych dotyczących zasobów, luk w zabezpieczeniach, zgodności, zasobów WAS i luk w zabezpieczeniach w Microsoft Sentinel przy użyciu interfejsów API REST programu TVM. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik zapewnia możliwość pobierania danych, które ułatwiają badanie potencjalnych zagrożeń bezpieczeństwa, uzyskiwanie wglądu w zasoby obliczeniowe, diagnozowanie problemów z konfiguracją i nie tylko
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Tenable_VM_Asset_CL |
Tak | Tak |
Tenable_VM_Vuln_CL |
Tak | Tak |
Tenable_VM_Compliance_CL |
Tak | Tak |
Tenable_WAS_Asset_CL |
Tak | Tak |
Tenable_WAS_Vuln_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: do uzyskania dostępu do interfejsu API REST z możliwością obsługi dzierżawy jest wymagany klucz TenableAccessKey i tenableSecretKey . Aby uzyskać więcej informacji, zobacz INTERFEJS API. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń.
Microsoft Defender oparte na dzierżawie dla chmury
Obsługiwane przez:Microsoft Corporation
Microsoft Defender for Cloud to narzędzie do zarządzania zabezpieczeniami, które umożliwia wykrywanie zagrożeń i szybkie reagowanie na nie w ramach obciążeń Azure, hybrydowych i wielochmurowych. Ten łącznik umożliwia przesyłanie strumieniowe alertów zabezpieczeń MDC z usługi Microsoft 365 Defender do usługi Microsoft Sentinel, dzięki czemu można wykorzystać zalety korelacji XDR łączących kropki między zasobami, urządzeniami i tożsamościami w chmurze oraz wyświetlać dane w skoroszytach, zapytaniach oraz badać zdarzenia i reagować na nie. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityAlert |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
TheHive (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych TheHive zapewnia możliwość pozyskiwania danych platformy theHive security incident response do Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik umożliwia pobieranie przypadków, zadań i alertów z aplikacji TheHive oraz wizualizowanie ich w Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
TheHiveData |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Dostęp do interfejsu API usługi TheHive: interfejs API theHive w wersji 4 lub nowszej jest wymagany dla interfejsu API theHive.
Theom
Obsługiwane przez:Theom
Łącznik danych theom umożliwia organizacjom łączenie środowiska Theom z Microsoft Sentinel. To rozwiązanie umożliwia użytkownikom otrzymywanie alertów dotyczących zagrożeń bezpieczeństwa danych, tworzenie i wzbogacanie zdarzeń, sprawdzanie statystyk i wyzwalanie podręczników SOAR w Microsoft Sentinel
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
TheomAlerts_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Analiza zagrożeń — TAXII
Obsługiwane przez:Microsoft Corporation
Microsoft Sentinel integruje się ze źródłami danych TAXII 2.0 i 2.1, aby umożliwić monitorowanie, alerty i wyszukiwanie zagrożeń przy użyciu analizy zagrożeń. Ten łącznik służy do wysyłania obsługiwanych typów obiektów STIX z serwerów TAXII do Microsoft Sentinel. Wskaźniki zagrożeń mogą obejmować adresy IP, domeny, adresy URL i skróty plików. Aby uzyskać więcej informacji, zobacz dokumentację >Microsoft Sentinel .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ThreatIntelligenceIndicator |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Platformy analizy zagrożeń
Obsługiwane przez:Microsoft Corporation
Microsoft Sentinel integruje się ze źródłami danych programu Microsoft Graph interfejs API Zabezpieczenia w celu umożliwienia monitorowania, alertów i wyszukiwania zagrożeń przy użyciu analizy zagrożeń. Ten łącznik umożliwia wysyłanie wskaźników zagrożeń do Microsoft Sentinel z platformy Analizy zagrożeń (TIP), takich jak Threat Connect, Palo Alto Networks MindMeld, MISP lub inne zintegrowane aplikacje. Wskaźniki zagrożeń mogą obejmować adresy IP, domeny, adresy URL i skróty plików. Aby uzyskać więcej informacji, zobacz dokumentację >Microsoft Sentinel .
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ThreatIntelligenceIndicator |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Interfejs API przekazywania analizy zagrożeń (wersja zapoznawcza)
Obsługiwane przez:Microsoft Corporation
Microsoft Sentinel oferuje interfejs API płaszczyzny danych w celu dostarczania analizy zagrożeń z poziomu platformy Analizy zagrożeń (TIP), takiej jak Threat Connect, Palo Alto Networks MineMeld, MISP lub inne zintegrowane aplikacje. Wskaźniki zagrożeń mogą obejmować adresy IP, domeny, adresy URL, skróty plików i adresy e-mail. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ThreatIntelligenceIndicator |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Przesyłanie łącznika zabezpieczeń (przy użyciu Azure Functions)
Obsługiwane przez:Transmit Security
Łącznik danych [Transmit Security] umożliwia pozyskiwanie typowych zdarzeń interfejs API Zabezpieczenia przesyłania do Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
TransmitSecurityActivity_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Identyfikator klienta interfejsu API REST: Wymagany jest identyfikator klienta usługi TransmitSecurityClientID . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w usłudze
https://developer.transmitsecurity.com/. -
Klucz tajny klienta interfejsu API REST: Wymagany jest element TransmitSecurityClientSecret . Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w usłudze
https://developer.transmitsecurity.com/.
Trellix Endpoint Security (za pośrednictwem struktury łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Trellix Endpoint Security umożliwia pozyskiwanie zdarzeń zabezpieczeń z punktu końcowego Trellix (ePolicy Orchestrator) do Microsoft Sentinel. Ten łącznik używa uwierzytelniania poświadczeń klienta OAuth2 i automatycznie obsługuje podział na strony w celu zbierania kompleksowych danych zabezpieczeń punktu końcowego, w tym wykrywania zagrożeń, informacji analizatora, szczegółów systemu źródłowego i docelowego oraz akcji reagowania na zagrożenia.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
TrellixEvents |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Trend Vision One (przy użyciu Azure Functions)
Obsługiwane przez:Trend Micro
Łącznik Trend Vision One umożliwia łatwe łączenie danych alertów aplikacji Workbench z Microsoft Sentinel w celu wyświetlania pulpitów nawigacyjnych, tworzenia niestandardowych alertów oraz ulepszania możliwości monitorowania i badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci/systemów organizacji i zwiększyć możliwości operacji zabezpieczeń.
Łącznik Trend Vision One jest obsługiwany w Microsoft Sentinel w następujących regionach: Australia Wschodnia, Australia Południowo-Wschodnia, Brazylia Południowa, Kanada Środkowa, Kanada Wschodnia, Indie Środkowe, Środkowe stany USA, Azja Wschodnia, Wschodnie stany USA, Wschodnie stany USA 2, Francja Środkowa, Japonia Środkowa, Korea Środkowa, Europa Północna, Norwegia Wschodnia, Południowa Afryka Północna, Południowo-Środkowe stany USA, Azja Południowo-Wschodnia, Szwecja Środkowa, Szwajcaria Północna, Zjednoczone Emiraty Arabskie Północne, Południowe Zjednoczone Królestwo, Zachodnie Zjednoczone Królestwo, Europa Zachodnia, Zachodnie stany USA, Zachodnie stany USA 2, Zachodnie stany USA 3.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
TrendMicro_XDR_WORKBENCH_CL |
Nie | Nie |
TrendMicro_XDR_RCA_Task_CL |
Nie | Nie |
TrendMicro_XDR_RCA_Result_CL |
Nie | Nie |
TrendMicro_XDR_OAT_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Token interfejsu API usługi Trend Vision One: wymagany jest token interfejsu API usługi Trend Vision One. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API usługi Trend Vision One.
Zabezpieczenia Tropico — alerty
Obsługiwane przez:TROPICO Security
Pozyskiwanie alertów zabezpieczeń z platformy zabezpieczeń Tropico w formacie OCSF Security Finding.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
{{graphQueriesTableName}} |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Zabezpieczenia Tropico — zdarzenia
Obsługiwane przez:TROPICO Security
Pozyskiwanie zdarzeń zabezpieczeń z platformy zabezpieczeń Tropico w formacie OCSF Security Finding.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
{{graphQueriesTableName}} |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Zabezpieczenia Tropico — incydenty
Obsługiwane przez:TROPICO Security
Pozyskiwanie zdarzeń sesji atakujących z platformy zabezpieczeń Tropico.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
{{graphQueriesTableName}} |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Varonis Purview Push Connector
Obsługiwane przez:Varonis
Łącznik Usługi Varonis Purview umożliwia synchronizowanie zasobów z usługi Varonis do usługi Microsoft Purview.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
VaronisResources_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
-
Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zazwyczaj wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników
Varonis SaaS
Obsługiwane przez:Varonis
Usługa Varonis SaaS zapewnia możliwość pozyskiwania alertów Varonis do Microsoft Sentinel.
Varonis priorytetyzuje głęboką widoczność danych, możliwości klasyfikacji i zautomatyzowane korygowanie dostępu do danych. Usługa Varonis tworzy jeden priorytetowy widok ryzyka dla danych, dzięki czemu można proaktywnie i systematycznie eliminować ryzyko związane z zagrożeniami wewnętrznymi i cyberatakami.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
VaronisAlerts_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
Vectra XDR (przy użyciu Azure Functions)
Obsługiwane przez:Vectra Support
Łącznik Vectra XDR umożliwia pozyskiwanie danych wykrywania vectry, inspekcji, oceniania jednostek, blokady, kondycji i jednostek do Microsoft Sentinel za pośrednictwem interfejsu API REST platformy Vectra. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją https://support.vectra.ai/s/article/KB-VS-1666 interfejsu API.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Detections_Data_CL |
Tak | Tak |
Audits_Data_CL |
Tak | Tak |
Entity_Scoring_Data_CL |
Tak | Tak |
Lockdown_Data_CL |
Tak | Tak |
Health_Data_CL |
Tak | Tak |
Entities_Data_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: Identyfikator klienta vectra i klucz tajny klienta są wymagane do zbierania danych kondycji, oceniania jednostek, jednostek, wykrywania, blokady i inspekcji. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API w usłudze
https://support.vectra.ai/s/article/KB-VS-1666.
Veeam Data Connector (przy użyciu Azure Functions)
Obsługiwane przez:Veeam Software
Łącznik danych veeam umożliwia pozyskiwanie danych telemetrycznych veeam z wielu tabel niestandardowych do Microsoft Sentinel.
Łącznik obsługuje integrację z platformami Veeam Backup & Replication, Veeam ONE i Coveware w celu zapewnienia kompleksowego monitorowania i analizy zabezpieczeń. Dane są zbierane za pośrednictwem Azure Functions i przechowywane w niestandardowych tabelach usługi Log Analytics z dedykowanymi regułami zbierania danych (DCR) i punktami końcowymi zbierania danych (DCE).
Dołączone tabele niestandardowe:
- VeeamMalwareEvents_CL: zdarzenia wykrywania złośliwego oprogramowania z usługi Veeam Backup & Replication
- VeeamSecurityComplianceAnalyzer_CL: wyniki analizatora zgodności & zabezpieczeń zebrane ze składników infrastruktury kopii zapasowych rozwiązania Veeam
- VeeamAuthorizationEvents_CL: zdarzenia autoryzacji i uwierzytelniania
- VeeamOneTriggeredAlarms_CL: Wyzwalane alarmy z serwerów Veeam ONE
- VeeamCovewareFindings_CL: Wyniki zabezpieczeń rozwiązania Coveware
- VeeamSessions_CL: Sesje veeam
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
VeeamMalwareEvents_CL |
Tak | Tak |
VeeamSecurityComplianceAnalyzer_CL |
Tak | Tak |
VeeamOneTriggeredAlarms_CL |
Tak | Tak |
VeeamAuthorizationEvents_CL |
Tak | Tak |
VeeamCovewareFindings_CL |
Tak | Tak |
VeeamSessions_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Dostęp do infrastruktury veeam: wymagany jest dostęp do usługi Veeam Backup & interfejsu API REST replikacji i platformy monitorowania Veeam ONE. Obejmuje to odpowiednie poświadczenia uwierzytelniania i łączność sieciową.
VersasecCms
Obsługiwane przez:Versasec Support
Łącznik danych VersasecCms umożliwia pozyskiwanie dzienników do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
VersasecCmsSysLogs_CL |
Nie | Nie |
VersasecCmsErrorLogs_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
VirtualMetric DataStream dla Microsoft Sentinel
Obsługiwane przez:VirtualMetric
Łącznik VirtualMetric DataStream wdraża reguły zbierania danych w celu pozyskiwania danych telemetrycznych zabezpieczeń w Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CommonSecurityLog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Rejestracja aplikacji lub Azure tożsamość zarządzana: usługa VirtualMetric DataStream wymaga tożsamości Entra identyfikatora do uwierzytelniania i wysyłania dzienników do Microsoft Sentinel. Możesz wybrać między utworzeniem rejestracji aplikacji przy użyciu identyfikatora klienta i klucza tajnego klienta lub użyciem tożsamości zarządzanej Azure w celu zwiększenia zabezpieczeń bez zarządzania poświadczeniami.
-
Przypisanie roli grupy zasobów: wybrana tożsamość (rejestracja aplikacji lub tożsamość zarządzana) musi zostać przypisana do grupy zasobów zawierającej punkt końcowy zbierania danych z następującymi rolami: Program Monitoring Metrics Publisher (do pozyskiwania dzienników) i Czytelnik monitorowania (do odczytu konfiguracji strumienia).
VirtualMetric DataStream dla Microsoft Sentinel data lake
Obsługiwane przez:VirtualMetric
Łącznik VirtualMetric DataStream wdraża reguły zbierania danych w celu pozyskiwania danych telemetrycznych zabezpieczeń w Microsoft Sentinel data lake.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CommonSecurityLog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Rejestracja aplikacji lub Azure tożsamość zarządzana: usługa VirtualMetric DataStream wymaga tożsamości Entra identyfikatora do uwierzytelniania i wysyłania dzienników do Microsoft Sentinel data lake. Możesz wybrać między utworzeniem rejestracji aplikacji przy użyciu identyfikatora klienta i klucza tajnego klienta lub użyciem tożsamości zarządzanej Azure w celu zwiększenia zabezpieczeń bez zarządzania poświadczeniami.
-
Przypisanie roli grupy zasobów: wybrana tożsamość (rejestracja aplikacji lub tożsamość zarządzana) musi zostać przypisana do grupy zasobów zawierającej punkt końcowy zbierania danych z następującymi rolami: Program Monitoring Metrics Publisher (do pozyskiwania dzienników) i Czytelnik monitorowania (do odczytu konfiguracji strumienia).
VirtualMetric Director Proxy
Obsługiwane przez:VirtualMetric
Serwer proxy usługi VirtualMetric Director wdraża aplikację funkcji Azure, aby bezpiecznie połączyć usługę VirtualMetric DataStream z usługami Azure, w tym Microsoft Sentinel, Azure Data Explorer i Azure Storage.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CommonSecurityLog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- aplikacja funkcji Azure: aplikacja funkcji Azure musi zostać wdrożona w celu hostowania serwera proxy usługi Director. Wymaga uprawnień do odczytu, zapisu i usuwania zasobów Microsoft.Web/sites w grupie zasobów w celu utworzenia aplikacji funkcji i zarządzania nią.
- Konfiguracja wirtualnego strumienia danych: do nawiązania połączenia z serwerem proxy usługi Directory potrzebny jest wirtualnymetryczny przepływ danych skonfigurowany przy użyciu poświadczeń uwierzytelniania. Serwer proxy usługi Director działa jako bezpieczny most między usługami VirtualMetric DataStream i Azure.
-
Docelowe usługi Azure Services: skonfiguruj docelowe usługi Azure, takie jak punkty końcowe zbierania danych Microsoft Sentinel, klastry Azure Data Explorer lub konta magazynu Azure, w których serwer proxy usługi Directory będzie przekazywać dane dalej.
VMRayThreatIntelligence (przy użyciu Azure Functions)
Obsługiwane przez:VMRay
Łącznik VMRayThreatIntelligence automatycznie generuje i przesyła analizę zagrożeń dla wszystkich przesyłanych do programu VMRay, poprawiając wykrywanie zagrożeń i reagowanie na zdarzenia w Sentinel. Ta bezproblemowa integracja umożliwia zespołom aktywne reagowanie na pojawiające się zagrożenia.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ThreatIntelligenceIndicator |
Tak | Nie |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure Subskrypcja: Azure Subskrypcja z rolą właściciela jest wymagana do zarejestrowania aplikacji w usłudze Azure Active Directory() i przypisania roli współautora do aplikacji w grupie zasobów.
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: wymagany jest klucz interfejsu API programu VMRay .
VMware Carbon Black Cloud (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft
Łącznik VMware Carbon Black Cloud zapewnia możliwość pozyskiwania danych Carbon Black do Microsoft Sentinel. Łącznik zapewnia wgląd w dzienniki inspekcji, powiadomień i zdarzeń w Microsoft Sentinel, aby wyświetlać pulpity nawigacyjne, tworzyć niestandardowe alerty oraz ulepszać możliwości monitorowania i badania.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CarbonBlackEvents_CL |
Nie | Nie |
CarbonBlackNotifications_CL |
Nie | Nie |
CarbonBlackAuditLogs_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- Klucze interfejsu API VMware Carbon Black: wymagany jest interfejs API carbon i/lub klucze interfejsu API na poziomie SIEM. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej o interfejsie API Carbon Black.
- W dziennikach inspekcji i zdarzeń wymagany jest identyfikator i klucz interfejsu API na poziomie czarnego interfejsu API Carbon.
- W przypadku alertów powiadomień wymagany jest identyfikator interfejsu API i klucz na poziomie dostępu Carbon Black SIEM.
-
Poświadczenia/uprawnienia interfejsu API REST platformy Amazon S3: identyfikator klucza dostępu platformy AWS, klucz dostępu tajnego platformy AWS, nazwa zasobnika AWS S3, nazwa folderu w zasobniku AWS S3 są wymagane dla interfejsu API REST usługi Amazon S3.
VMware Carbon Black Cloud za pośrednictwem platformy AWS S3 (za pośrednictwem platformy codeless Connector Framework)
Obsługiwane przez:Microsoft
VMware Carbon Black Cloud za pośrednictwem łącznika danych AWS S3 zapewnia możliwość pozyskiwania listy obserwowanych, alertów, uwierzytelniania i zdarzeń punktów końcowych za pośrednictwem usługi AWS S3 i przesyłania ich strumieniowo do tabel znormalizowanych przez usługę ASIM. Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CarbonBlack_Alerts_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Środowisko: Musisz mieć zdefiniowane i skonfigurowane następujące zasoby platformy AWS: S3, Simple Queue Service (SQS), role IAM i zasady uprawnień
-
Środowisko: do utworzenia zasobników usługi Data Forwarded do usługi AWS S3 musisz mieć czarne konto Carbon i wymagane uprawnienia.
Aby uzyskać więcej informacji, zobacz Carbon Black Data Forwarder Docs
Zdarzenia DNS systemu Windows za pośrednictwem usługi AMA
Obsługiwane przez:Microsoft Corporation
Łącznik dziennika DNS systemu Windows umożliwia łatwe filtrowanie i przesyłanie strumieniowe wszystkich dzienników analizy z serwerów DNS systemu Windows do obszaru roboczego Microsoft Sentinel przy użyciu agenta Azure Monitoring (AMA). Posiadanie tych danych w Microsoft Sentinel pomaga zidentyfikować problemy i zagrożenia bezpieczeństwa, takie jak:
- Próba rozpoznania złośliwych nazw domen.
- Nieaktualne rekordy zasobów.
- Często wykonywane zapytania dotyczące nazw domen i rozmówców klientów DNS.
- Ataki wykonywane na serwerze DNS.
Możesz uzyskać następujące informacje na temat serwerów DNS systemu Windows z Microsoft Sentinel:
- Wszystkie dzienniki scentralizowane w jednym miejscu.
- Żądanie obciążenia serwerów DNS.
- Błędy dynamicznej rejestracji DNS.
Zdarzenia DNS systemu Windows są obsługiwane przez zaawansowany model informacji SIEM (ASIM) i przesyłają strumieniowo dane do tabeli ASimDnsActivityLogs. Dowiedz się więcej.
Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ASimDnsActivityLogs |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Zapora systemu Windows
Obsługiwane przez:Microsoft Corporation
Zapora systemu Windows to aplikacja systemu Microsoft Windows, która filtruje informacje przychodzące do systemu z Internetu i blokujące potencjalnie szkodliwe programy. Oprogramowanie blokuje komunikację większości programów za pośrednictwem zapory. Użytkownicy po prostu dodają program do listy dozwolonych programów, aby umożliwić mu komunikację za pośrednictwem zapory. W przypadku korzystania z sieci publicznej zapora systemu Windows może również zabezpieczyć system, blokując wszystkie niechciane próby nawiązania połączenia z komputerem. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Zdarzenia zapory systemu Windows za pośrednictwem usługi AMA
Obsługiwane przez:Microsoft Corporation
Zapora systemu Windows to aplikacja systemu Microsoft Windows, która filtruje informacje przychodzące do systemu z Internetu i blokujące potencjalnie szkodliwe programy. Oprogramowanie zapory blokuje komunikację większości programów za pośrednictwem zapory. Aby przesyłać strumieniowo dzienniki aplikacji Zapory systemu Windows zebrane z maszyn, użyj agenta Azure Monitor (AMA), aby przesyłać strumieniowo te dzienniki do obszaru roboczego Microsoft Sentinel.
Skonfigurowany punkt końcowy zbierania danych (DCE) musi być połączony z regułą zbierania danych (DCR) utworzoną dla usługi AMA w celu zbierania dzienników. W przypadku tego łącznika usługa DCE jest automatycznie tworzona w tym samym regionie co obszar roboczy. Jeśli używasz już interfejsu DCE przechowywanego w tym samym regionie, możesz zmienić domyślny utworzony interfejs DCE i użyć istniejącego za pośrednictwem interfejsu API. Kontrolery DOMENY mogą znajdować się w zasobach z prefiksem SentinelDCE w nazwie zasobu.
Aby uzyskać więcej informacji, zapoznaj się z następującymi artykułami:
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Zdarzenia przesyłane dalej w systemie Windows
Obsługiwane przez:Microsoft Corporation
Wszystkie dzienniki przekazywania zdarzeń systemu Windows (WEF) można przesyłać strumieniowo z serwerów z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta Azure Monitor (AMA). To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci organizacji i zwiększyć możliwości operacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
WindowsEvent |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
zdarzenia Zabezpieczenia Windows za pośrednictwem usługi AMA
Obsługiwane przez:Microsoft Corporation
Wszystkie zdarzenia zabezpieczeń można przesyłać strumieniowo z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci organizacji i zwiększyć możliwości operacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityEvent |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
WithSecure Elements API (funkcja Azure)
Obsługiwane przez:WithSecure
WithSecure Elements to ujednolicona platforma zabezpieczeń cybernetycznych oparta na chmurze zaprojektowana w celu zmniejszenia ryzyka, złożoności i nieefektywności.
Podnieś poziom zabezpieczeń z punktów końcowych do aplikacji w chmurze. Uzbroić się w każdy rodzaj zagrożenia cybernetycznego, od ukierunkowanych ataków do zero-day ransomware.
WithSecure Elements łączy w sobie zaawansowane funkcje zabezpieczeń predykcyjnych, zapobiegawczych i responsywnych — wszystkie zarządzane i monitorowane za pośrednictwem jednego centrum zabezpieczeń. Nasza modularna struktura i elastyczne modele cenowe zapewniają swobodę rozwoju. Dzięki naszej wiedzy i wglądowi zawsze będziesz mieć swoją siłę i nigdy nie będziesz sam.
Dzięki Microsoft Sentinel integracji można skorelować dane zdarzeń zabezpieczeń z rozwiązania WithSecure Elements z danymi z innych źródeł, umożliwiając rozbudowane omówienie całego środowiska i szybszą reakcję na zagrożenia.
Dzięki temu rozwiązaniu funkcja Azure jest wdrażana w dzierżawie, okresowo sonduj zdarzenia zabezpieczeń WithSecure Elements.
Aby uzyskać więcej informacji, odwiedź naszą stronę internetową: https://www.withsecure.com.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
WsSecurityEvents_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia klienta interfejsu API withSecure Elements: wymagane są poświadczenia klienta.
Zapoznaj się z dokumentacją, aby dowiedzieć się więcej.
Wiz (przy użyciu Azure Functions)
Obsługiwane przez:Wiz
Łącznik Wiz umożliwia łatwe wysyłanie problemów z wizami, wyników luk w zabezpieczeniach i dzienników inspekcji do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) |
Nie | Nie |
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) |
Nie | Nie |
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia konta usługi Wiz: upewnij się, że masz identyfikator klienta konta usługi Wiz i klucz tajny klienta, adres URL punktu końcowego interfejsu API i adres URL uwierzytelniania. Instrukcje można znaleźć w dokumentacji programu Wiz.
Działanie użytkownika w dniu roboczym
Obsługiwane przez:Microsoft Corporation
Łącznik danych Aktywności użytkownika w dniu roboczym umożliwia pozyskiwanie dzienników aktywności użytkowników z interfejsu API usługi Workday do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ASimAuditEventLogs |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Dostęp do interfejsu API działania użytkownika w dniu roboczym: wymagany jest dostęp do interfejsu API działania użytkownika w dniu roboczym za pośrednictwem protokołu Oauth. Klient interfejsu API musi mieć zakres: System i musi być autoryzowany przez konto z uprawnieniami inspekcji systemu.
Miejsce pracy z Facebook (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Workplace zapewnia możliwość pozyskiwania typowych zdarzeń w miejscu pracy do Microsoft Sentinel za pośrednictwem elementów webhook. Elementy webhook umożliwiają niestandardowym aplikacjom integracji subskrybowanie zdarzeń w miejscu pracy i otrzymywanie aktualizacji w czasie rzeczywistym. W przypadku zmiany w miejscu pracy żądanie HTTPS POST z informacjami o zdarzeniu jest wysyłane do adresu URL łącznika danych wywołania zwrotnego. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją elementów webhook . Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Workplace_Facebook_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia elementów webhook: WorkplaceAppSecret, WorkplaceVerifyToken, adres URL wywołania zwrotnego są wymagane w przypadku działających elementów webhook. Zapoznaj się z dokumentacją, aby dowiedzieć się więcej na temat konfigurowania elementów webhook i konfigurowania uprawnień.
Platforma zabezpieczeń XBOW (za pośrednictwem funkcji Azure)
Obsługiwane przez:XBOW
Łącznik danych XBOW pozyskuje migawki zasobów, wyniki luk w zabezpieczeniach i działania oceny z platformy zabezpieczeń XBOW do Microsoft Sentinel. Funkcja Azure sonduje interfejs API XBOW na czasomierzu i wypycha migawki JSON zasobów do XbowAssets_CL, wzbogaconych wyników (z dowodami, przepisami poC, wpływem i środkami zaradczymi) do XbowFindings_CLzdarzeń cyklu życia i oceny do XbowAssessments_CLprogramu przy użyciu interfejsu API pozyskiwania Azure Monitor (DCE/DCR).
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
XbowAssets_CL |
Nie | Nie |
XbowFindings_CL |
Nie | Nie |
XbowAssessments_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Token interfejsu API XBOW: wymagany jest osobisty token dostępu XBOW. Wygeneruj jeden w konsoli XBOW w obszarze Ustawienia > Osobiste tokeny dostępu. Określ zakres tokenu dla organizacji, którą chcesz monitorować.
- Identyfikator organizacji XBOW: identyfikator organizacji z konta XBOW. Znajdź go w adresie URL konsoli XBOW lub za pośrednictwem interfejsu API.
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
- Niestandardowe wymagania wstępne, jeśli to konieczne, w przeciwnym razie usuń ten tag celny: Opis wszelkich niestandardowych wymagań wstępnych
-
Azure AD rejestracja aplikacji: wymagana jest rejestracja aplikacji Azure AD (jednostka usługi). Musisz ręcznie przypisać rolę wydawcy metryk monitorowania w regule zbierania danych (DCR) do tej rejestracji aplikacji po wdrożeniu.
Segment zero sieci (wypychanie)
Obsługiwane przez:Zero Networks
Łącznik wypychania segmentu zero sieci umożliwia sieciom zero wysyłanie inspekcji, działań sieciowych, działań związanych z tożsamościami i działań RPC bezpośrednio do Microsoft Sentinel w czasie rzeczywistym. Wdróż łącznik, aby utworzyć regułę zbierania danych (DCR) i aplikację Microsoft Entra, a następnie skonfiguruj aplikację Zero Networks ze szczegółami połączenia w celu wypychania zdarzeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ZNAudit_CL |
Tak | Tak |
ZNNetworkActivity_CL |
Tak | Tak |
ZNIdentityActivity_CL |
Tak | Tak |
ZNRPCActivity_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Microsoft Entra: uprawnienie do tworzenia rejestracji aplikacji w Microsoft Entra ID. Zwykle wymaga Entra roli dewelopera aplikacji identyfikatora lub nowszej.
-
Microsoft Azure: uprawnienie do przypisywania roli wydawcy metryk monitorowania w regule zbierania danych (DCR). Zwykle wymaga Azure roli właściciela rbac lub administratora dostępu użytkowników.
Inspekcja segmentu zero sieci
Obsługiwane przez:Zero Networks
Łącznik danych Inspekcja segmentu zero sieci umożliwia pozyskiwanie zdarzeń inspekcji zero sieci do Microsoft Sentinel za pośrednictwem interfejsu API REST. Ten łącznik danych używa Microsoft Sentinel natywnej funkcji sondowania.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ZNSegmentAuditNativePoller_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
Token interfejsu API zero sieci: ZeroNetworksAPIToken jest wymagany dla interfejsu API REST. Zapoznaj się z przewodnikiem po interfejsie API i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń.
ZeroFox CTI
Obsługiwane przez:ZeroFox
Łączniki danych cti ZeroFox zapewniają możliwość pozyskiwania różnych alertów analizy zagrożeń cybernetycznych ZeroFox do Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ZeroFox_CTI_advanced_dark_web_CL |
Nie | Nie |
ZeroFox_CTI_botnet_CL |
Nie | Nie |
ZeroFox_CTI_breaches_CL |
Nie | Nie |
ZeroFox_CTI_C2_CL |
Nie | Nie |
ZeroFox_CTI_compromised_credentials_CL |
Nie | Nie |
ZeroFox_CTI_credit_cards_CL |
Nie | Nie |
ZeroFox_CTI_dark_web_CL |
Nie | Nie |
ZeroFox_CTI_discord_CL |
Nie | Nie |
ZeroFox_CTI_disruption_CL |
Nie | Nie |
ZeroFox_CTI_email_addresses_CL |
Nie | Nie |
ZeroFox_CTI_exploits_CL |
Nie | Nie |
ZeroFox_CTI_irc_CL |
Nie | Nie |
ZeroFox_CTI_malware_CL |
Nie | Nie |
ZeroFox_CTI_national_ids_CL |
Nie | Nie |
ZeroFox_CTI_phishing_CL |
Nie | Nie |
ZeroFox_CTI_phone_numbers_CL |
Nie | Nie |
ZeroFox_CTI_ransomware_CL |
Nie | Nie |
ZeroFox_CTI_telegram_CL |
Nie | Nie |
ZeroFox_CTI_threat_actors_CL |
Nie | Nie |
ZeroFox_CTI_vulnerabilities_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
ZeroFox API Credentials/permissions: ZeroFox Username, ZeroFox Personal Access Token are required for ZeroFox CTI REST API (Poświadczenia/uprawnienia interfejsu API ZeroFox: ZeroFox Username, ZeroFox Personal Access Token are required for ZeroFox CTI REST API).
ZeroFox Enterprise — alerty (sondowanie plików CCF)
Obsługiwane przez:ZeroFox
Zbiera alerty z interfejsu API ZeroFox.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ZeroFoxAlertPoller_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
-
ZeroFox Personal Access Token (PAT): Wymagany jest pat ZeroFox. Można go pobrać w źródłach danych interfejsu API łączników> danych.
Zimperium Mobile Threat Defense
Obsługiwane przez:Zimperium
Łącznik Zimperium Mobile Threat Defense umożliwia łączenie dziennika zagrożeń Zimperium z Microsoft Sentinel w celu wyświetlania pulpitów nawigacyjnych, tworzenia niestandardowych alertów i ulepszania badania. Dzięki temu możesz uzyskać lepszy wgląd w poziom zagrożeń mobilnych w organizacji i zwiększyć możliwości operacji zabezpieczeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ZimperiumThreatLog_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Powiększenie raportów (przy użyciu Azure Functions)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Zoom Reports umożliwia pozyskiwanie zdarzeń raportów powiększenia do Microsoft Sentinel za pośrednictwem interfejsu API REST. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik umożliwia pobieranie zdarzeń w celu oceny potencjalnych zagrożeń bezpieczeństwa, monitorowania współpracy oraz diagnozowania i rozwiązywania problemów z konfiguracją.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Zoom_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API REST: AccountID, ClientID i ClientSecret są wymagane dla interfejsu API zoomu. Aby uzyskać więcej informacji, zobacz Interfejs API powiększenia.
Postępuj zgodnie z instrukcjami dotyczącymi konfiguracji interfejsu API zoomu.
Łącznik raportów zoomu (za pośrednictwem platformy łączników bez kodu)
Obsługiwane przez:Microsoft Corporation
Łącznik danych Zoom Reports umożliwia pozyskiwanie danych raportów zoomu do Microsoft Sentinel za pośrednictwem interfejsu API REST zoomu w wersji 2, co umożliwia monitorowanie i inspekcję użycia powiększenia w całej organizacji. Ten łącznik używa poświadczeń konta OAuth typu serwer-serwer na potrzeby uwierzytelniania i obsługuje pozyskiwanie wielu typów raportów, w tym raportów dziennego użycia na potrzeby statystyk spotkań i metryk użycia, raportów użytkowników dotyczących aktywnych/nieaktywnych informacji o hoście użytkownika, raportów telefonii na potrzeby statystyk użycia telefonii, raportów dotyczących rejestrowania i rejestrowania użycia w chmurze, dzienników operacji dla operacji administracyjnych i dzienników inspekcji, dzienniki aktywności dla działań związanych z logowaniem/wylogowywaniem użytkowników. Każdy typ raportu jest zbierany w oddzielnej konfiguracji sondowania z obsługą automatycznego dzielenia na strony przy użyciu funkcji NextPageToken. Łącznik danych jest oparty na Microsoft Sentinel Codeless Connector Framework i obsługuje przekształcenia czasu pozyskiwania oparte na modelu DCR w celu zoptymalizowania wydajności zapytań.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
ZoomV2_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Dostęp do interfejsu API zoomu: dostęp do interfejsu API REST zoomu w wersji 2 przy użyciu poświadczeń konta
Przestarzałe łączniki danych Sentinel
Uwaga
W poniższej tabeli wymieniono przestarzałe i starsze łączniki danych. Przestarzałe łączniki nie są już obsługiwane.
[Przestarzałe] Dziennik inspekcji przedsiębiorstwa w usłudze GitHub
Obsługiwane przez:Microsoft Corporation
Łącznik dziennika inspekcji usługi GitHub umożliwia pozyskiwanie dzienników usługi GitHub do Microsoft Sentinel. Łącząc dzienniki inspekcji usługi GitHub z Microsoft Sentinel, możesz wyświetlać te dane w skoroszytach, używać ich do tworzenia alertów niestandardowych i ulepszać proces badania.
Uwaga: Jeśli zamierzasz pozyskiwać zdarzenia subskrybowane w usłudze GitHub do Microsoft Sentinel, zapoznaj się z tematem Łącznik usługi GitHub (przy użyciu elementów webhook) z galerii "Łączniki danych".
UWAGA: Ten łącznik danych został przestarzały. Rozważ przejście do łącznika danych CCF dostępnego w rozwiązaniu, które zastępuje pozyskiwanie za pośrednictwem przestarzałego interfejsu API modułu zbierającego dane HTTP.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
GitHubAuditLogPolling_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Osobisty token dostępu interfejsu API usługi GitHub: do włączenia sondowania dla dziennika inspekcji organizacji potrzebny jest osobisty token dostępu usługi GitHub. Możesz użyć tokenu klasycznego z zakresem "read:org" lub precyzyjnego tokenu z zakresem "Administracja: tylko do odczytu".
-
Typ usługi GitHub Enterprise: ten łącznik będzie działać tylko w usłudze GitHub Enterprise Cloud; nie będzie obsługiwać usługi GitHub Enterprise Server.
[Przestarzałe] Łącznik danych usługi Infoblox SOC Insight za pośrednictwem starszego agenta
Obsługiwane przez:Infoblox
Łącznik danych infoblox SOC Insight umożliwia łatwe łączenie danych usługi Infoblox BloxOne SOC Insight z Microsoft Sentinel. Łącząc dzienniki z Microsoft Sentinel, możesz skorzystać z & wyszukiwania korelacji, alertów i wzbogacania analizy zagrożeń dla każdego dziennika.
Ten łącznik danych pozyskuje dzienniki CDC usługi Infoblox SOC Insight w obszarze roboczym usługi Log Analytics przy użyciu starszego agenta usługi Log Analytics.
Firma Microsoft zaleca instalację łącznika danych infoblox SOC Insight za pośrednictwem łącznika AMA. Starszy łącznik używa agenta usługi Log Analytics, który ma zostać przestarzały do 31 sierpnia 2024 r. i powinien być zainstalowany tylko wtedy, gdy usługa AMA nie jest obsługiwana.
Korzystanie z mma i ama na tej samej maszynie może powodować duplikowanie dziennika i dodatkowy koszt pozyskiwania. Więcej szczegółów.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CommonSecurityLog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
[Przestarzałe] Dzienniki zabezpieczeń IONIX (wypychanie)
Obsługiwane przez:IONIX
⚠️ Ten łącznik jest przestarzały i zostanie usunięty w czerwcu 2026 r. Zamiast tego użyj nowego łącznika "IONIX Security Logs (via Codeless Connector Framework)", który zapewnia automatyczne codzienne sondowanie bez konieczności ręcznej konfiguracji w portalu IONIX.
Łącznik danych dzienników zabezpieczeń IONIX pozyskuje dzienniki z systemu IONIX bezpośrednio do Sentinel. Łącznik umożliwia użytkownikom wizualizowanie danych, tworzenie alertów i zdarzeń oraz ulepszanie badań zabezpieczeń.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
CyberpionActionItems_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
-
Subskrypcja IONIX: subskrypcja i konto są wymagane dla dzienników IONIX.
Można go nabyć tutaj.
[Przestarzałe] Powyższy lookout
Obsługiwane przez:Lookout
Łącznik danych usługi Lookout umożliwia pozyskiwanie zdarzeń usługi Lookout do Microsoft Sentinel za pośrednictwem interfejsu API ryzyka dla urządzeń przenośnych. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją interfejsu API . Łącznik danych usługi Lookout zapewnia możliwość pobierania zdarzeń, które ułatwiają badanie potencjalnych zagrożeń bezpieczeństwa i nie tylko.
UWAGA: Ten łącznik danych został przestarzały. Rozważ przejście do łącznika danych CCF dostępnego w rozwiązaniu, które zastępuje pozyskiwanie za pośrednictwem przestarzałego interfejsu API modułu zbierającego dane HTTP.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Lookout_CL |
Nie | Nie |
Obsługa reguł zbierania danych: Obecnie nieobsługiwane
Wymagania wstępne:
- Uprawnienia microsoft.web/sites: wymagane są uprawnienia do odczytu i zapisu do Azure Functions w celu utworzenia aplikacji funkcji. Aby uzyskać więcej informacji, zobacz Azure Functions.
-
Poświadczenia/uprawnienia interfejsu API ryzyka dla urządzeń przenośnych: EnterpriseName & ApiKey są wymagane dla interfejsu API ryzyka dla urządzeń przenośnych. Aby uzyskać więcej informacji, zobacz INTERFEJS API. Sprawdź wszystkie wymagania i postępuj zgodnie z instrukcjami dotyczącymi uzyskiwania poświadczeń.
[Przestarzałe] Dzienniki i zdarzenia programu Microsoft Exchange
Obsługiwane przez:Community
Przestarzałe, użyj połączeń danych "ESI-Opt". Wszystkie zdarzenia inspekcji programu Exchange, dzienniki usług IIS, dzienniki serwera proxy HTTP i dzienniki zdarzeń zabezpieczeń można przesyłać strumieniowo z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Jest to używane przez skoroszyty zabezpieczeń programu Microsoft Exchange w celu zapewnienia szczegółowych informacji o zabezpieczeniach środowiska lokalnego programu Exchange
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Event |
Tak | Nie |
SecurityEvent |
Tak | Tak |
W3CIISLog |
Tak | Nie |
MessageTrackingLog_CL |
Tak | Tak |
ExchangeHttpProxy_CL |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Wymagania wstępne:
- Azure usługa Log Analytics będzie przestarzała w celu zbierania danych z maszyn wirtualnych innych niż Azure, zaleca się Azure Arc. Dowiedz się więcej
-
Szczegółowa dokumentacja: >UWAGA: Szczegółową dokumentację dotyczącą procedury instalacji i użycia można znaleźć tutaj
Zdarzenia zabezpieczeń za pośrednictwem starszego agenta
Obsługiwane przez:Microsoft Corporation
Wszystkie zdarzenia zabezpieczeń można przesyłać strumieniowo z maszyn z systemem Windows połączonych z obszarem roboczym Microsoft Sentinel przy użyciu agenta systemu Windows. To połączenie umożliwia wyświetlanie pulpitów nawigacyjnych, tworzenie alertów niestandardowych i ulepszanie badania. Dzięki temu możesz uzyskać więcej informacji na temat sieci organizacji i zwiększyć możliwości operacji zabezpieczeń. Aby uzyskać więcej informacji, zobacz dokumentację Microsoft Sentinel.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityEvent |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Microsoft Defender oparta na subskrypcji dla chmury (starsza wersja)
Obsługiwane przez:Microsoft Corporation
Microsoft Defender for Cloud to narzędzie do zarządzania zabezpieczeniami, które umożliwia wykrywanie zagrożeń i szybkie reagowanie na nie w ramach obciążeń Azure, hybrydowych i wielochmurowych. Ten łącznik umożliwia przesyłanie strumieniowe alertów zabezpieczeń z usługi Microsoft Defender for Cloud do Microsoft Sentinel, dzięki czemu można wyświetlać dane usługi Defender w skoroszytach, wysyłać do niego zapytania w celu generowania alertów oraz badać zdarzenia i reagować na nie.
Aby uzyskać więcej informacji>
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
SecurityAlert |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Dziennik systemowy za pośrednictwem starszego agenta
Obsługiwane przez:Microsoft Corporation
Syslog to protokół rejestrowania zdarzeń, który jest typowy dla Linux. Aplikacje będą wysyłać komunikaty, które mogą być przechowywane na komputerze lokalnym lub dostarczane do modułu zbierającego Syslog. Po zainstalowaniu agenta Linux konfiguruje demona lokalnego dziennika systemu w celu przekazywania komunikatów do agenta. Następnie agent wysyła komunikat do obszaru roboczego.
Tabele usługi Log Analytics:
| Tabela | Obsługa dcr | Pozyskiwanie tylko po jeziorze |
|---|---|---|
Syslog |
Tak | Tak |
Obsługa reguł zbierania danych:Przekształcanie obszaru roboczego DCR
Następne kroki
Więcej informacji można znaleźć w następujących artykułach: