Pozyskiwanie danych dziennika za pomocą łączników danych
Aby zbierać dane dziennika, należy połączyć źródła danych za pomocą Połączenie or danych usługi Microsoft Sentinel. Połączenie danych są dołączone do rozwiązań centrum zawartości udostępnianych przez usługę Microsoft Sentinel.
Po zainstalowaniu rozwiązania centrum zawartości zainstalowane Połączenie danych są wyświetlane w usłudze Microsoft Sentinel w Configuration | Data connectors sekcji menu. Po wybraniu strony Otwieranie łącznika szczegółowa strona łącznika jest podzielona i ma lewą pół i prawą połowę.
Lewa połowa zawiera informacje o łączniku, stanie łącznika i ostatnim odebraniu dziennika w przypadku połączenia. W dolnej części lewej strony znajdują się typy danych. Lista Data Types tabel zapisywanych przez łącznik.
Prawa połowa ma kartę Instrukcje. Karta Instrukcje może się różnić w zależności od łącznika. Ogólnie rzecz biorąc, istnieją wymagania wstępne i konfiguracja. Postępuj zgodnie z konfiguracją, aby nawiązać połączenie ze źródłem danych. Karta Następne kroki zawiera krótkie odwołanie do skoroszytów, przykładów zapytań i szablonów analitycznych. Połączenie danych można rozłączać/dezaktywować, a nie usuwać.
Uwaga
Rozwiązania centrum zawartości mogą również instalować skoroszyty, reguły analizy i zapytania wyszukiwania zagrożeń. Skoroszyty i szablony reguł analitycznych dla łączników poza pudełkiem są już dostępne w środowisku usługi Sentinel.