Соединители данных Microsoft Sentinel

• Применяется к:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

После подключения Microsoft Sentinel к рабочей области используйте соединители данных, чтобы начать прием данных в Microsoft Sentinel. Microsoft Sentinel поставляется со многими из встроенных соединителей для службы Майкрософт, которые интегрируются в режиме реального времени. Например, соединитель XDR в Microsoft Defender — это соединитель службы, который интегрирует данные из Office 365, идентификатора Microsoft Entra ID, Microsoft Defender для удостоверений и Microsoft Defender для облака Apps.

Встроенные соединители позволяют подключиться к более широкой экосистеме безопасности для продуктов, отличных от Майкрософт. Например, используйте syslog, Common Event Format (CEF) или REST API для подключения источников данных к Microsoft Sentinel.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Внимание

Microsoft Sentinel доступен в рамках общедоступной предварительной версии для единой платформы операций безопасности на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Соединители данных, предоставляемые решениями

Решения Microsoft Sentinel предоставляют пакетное содержимое безопасности, включая соединители данных, книги, правила аналитики, сборники схем и многое другое. При развертывании решения с соединителем данных вы получаете соединитель данных вместе со связанным контентом в одном развертывании.

На странице соединителей данных Microsoft Sentinel перечислены установленные или используемые соединители данных.

Портал Azure

Портал Defender

Чтобы добавить дополнительные соединители данных, установите решение, связанное с соединителем данных из Центра содержимого. Дополнительные сведения см. в следующих статьях:

• Найдите нужный соединитель данных Microsoft Sentinel
• О содержании и решениях Microsoft Sentinel
• Обнаружение содержимого Microsoft Sentinel и управление ими
• Каталог центра содержимого Microsoft Sentinel
• Решения для доменных решений на основе расширенной информационной модели безопасности (ASIM) для Microsoft Sentinel

Интеграция REST API для соединителей данных

Многие технологии безопасности предоставляют набор API для получения файлов журналов. Некоторые источники данных могут использовать эти API для подключения к Microsoft Sentinel.

Соединители данных, использующие API, интегрированы либо со стороны поставщика, либо с помощью службы "Функции Azure", как описано в следующих разделах.

Интеграция на стороне поставщика

Интеграция API, созданная поставщиком, подключается к источникам данных поставщика и отправляет данные в пользовательские таблицы журналов Microsoft Sentinel с помощью API сборщика данных Azure Monitor. Дополнительные сведения см. в статье "Отправка данных журнала в Azure Monitor" с помощью API сборщика данных HTTP.

Дополнительные сведения об интеграции REST API см. в документации вашего поставщика и в разделе Подключение источника данных к REST API Microsoft Sentinel для приема данных.

Интеграция с помощью Функции Azure

В интеграциях, в которых служба Функции Azure используется для подключения к API поставщиков услуг, сначала выполняется форматирование данных, а затем эти данные поступают в пользовательские таблицы журналов Microsoft Sentinel с помощью API сборщика данных Azure Monitor.

Дополнительные сведения см. в разделе:

• Отправка данных журнала в Azure Monitor с помощью API сборщика данных HTTP
• Подключение источника данных к Microsoft Sentinel с помощью Функции Azure
• Документация по функциям Azure

Интеграция, использующая Функции Azure, может иметь дополнительные затраты на прием данных, так как вы размещаете Функции Azure в организации Azure. Дополнительные сведения о ценах для Функций Azure.

Интеграция на основе агентов для соединителей данных

Служба Microsoft Sentinel может использовать протокол Syslog для подключения агента к любому источнику данных, способному выполнять потоковую передачу журналов в режиме реального времени. Например, большинство локальных источников данных подключаются с помощью интеграции на основе агента.

В следующих разделах рассказывается о различных типах соединителей данных Microsoft Sentinel на основе агентов. Чтобы настроить подключения с помощью механизмов на основе агента, выполните действия на каждой странице соединителя данных Microsoft Sentinel.

Системный журнал

Вы можете передавать события из устройств под управлением Linux, поддерживающих системный журнал, в Microsoft Sentinel с помощью агента Azure Monitor (AMA). В зависимости от типа устройства агент устанавливают либо непосредственно на устройстве, либо на выделенном сервере пересылки журналов на базе ОС Linux. AMA получает события из управляющей программы Syslog по протоколу UDP. Управляющая программа системного журнала перенаправит события в агент внутренне, взаимодействуя по протоколу UDS (сокеты домена Unix). Затем AMA передает эти события в рабочую область Microsoft Sentinel.

Ниже приведен простой поток, показывающий, как Microsoft Sentinel передает данные системного журнала.

1. Встроенная в устройство управляющая программа Syslog собирает сведения о локальных событиях указанных типов и пересылает эти события в локальной среде в агент.
2. Агент передает события в рабочую область Log Analytics.
3. После успешной настройки данные будут отображаться в таблице Syslog службы Log Analytics.

Дополнительные сведения см. в руководстве по пересылке данных системного журнала в рабочую область Log Analytics с помощью агента Azure Monitor.

Common Event Format (CEF)

Разные журналы имеют разные форматы, но во многих источниках поддерживается форматирование на основе CEF. Агент Microsoft Sentinel, который фактически является агентом Log Analytics, преобразует журналы в формате CEF в формат, который может принимать служба Log Analytics.

При работе с источниками данных, которые создают данные в формате CEF, настройте агент Syslog, а затем настройте поток данных CEF. После успешной настройки данные будут отображаться в таблице CommonSecurityLog.

Дополнительные сведения см. в статье Get CEF-formatted logs from your device or (модуль) в Microsoft Sentinel.

Пользовательские журналы

Для некоторых источников данных можно собирать журналы в виде файлов на компьютерах с Windows или Linux с помощью настраиваемого агента сбора журналов Log Analytics.

Чтобы подключиться с помощью пользовательского агента сбора журналов Log Analytics, выполните действия на каждой странице соединителя данных Microsoft Sentinel. После успешной настройки данные отобразятся в пользовательских таблицах.

Дополнительные сведения см. в разделе Сбор данных в настраиваемых форматах журналов в Microsoft Sentinel с помощью агента Log Analytics.

Интеграция между службами для соединителей данных

Microsoft Sentinel использует основу Azure для предоставления поддержки службы Майкрософт и Amazon Web Services.

Дополнительные сведения см. в следующих статьях:

• Подключение Microsoft Sentinel к службам Azure, Windows, Майкрософт и Amazon
• Найдите нужный соединитель данных Microsoft Sentinel

Поддержка соединителя данных

Корпорация Майкрософт и другие организации создают соединители данных Microsoft Sentinel. Каждый соединитель данных имеет один из следующих типов поддержки, перечисленных на странице соединителя данных в Microsoft Sentinel.

Тип поддержки	Description
Поддержка Майкрософт	Относится к: Соединители данных источников данных, для которых Майкрософт является поставщиком данных и автором. Ряд соединителей данных, созданных корпорацией Майкрософт и предназначенных для источников данных сторонних поставщиков. Корпорация Майкрософт поддерживает и обслуживает соединители данных в этой категории в соответствии с планами Службы поддержки Microsoft Azure. Партнеры или сообщество поддерживают соединители данных, созданные любой стороной, отличной от Корпорации Майкрософт.
Поддерживаемые партнерами	Применимо к соединителям данных, созданных другими поставщиками, а не корпорацией Майкрософт. Компания-партнер оказывает поддержку по этим соединителям данных либо выполняет их обслуживание. Компания-партнер может быть независимым поставщиком программного обеспечения, поставщиком управляемых служб (MSP/MSSP), системным интегратором (SI) или любой организацией, контактные данные которой указаны на странице Microsoft Sentinel для этого соединителя данных. По всем проблемам, которые связаны с соединителями данных, поддерживаемыми партнерами, обращайтесь по указанным контактным данным служб поддержки этих соединителей данных.
Поддерживаемые сообществом	Применяется к соединителям данных, созданным разработчиками Майкрософт или партнерами, у которых нет перечисленных контактов для поддержки соединителя данных и обслуживания на странице соединителя данных в Microsoft Sentinel. При возникновении вопросов или проблем, связанных с такими соединителями данных, можно сообщить о проблеме в сообществе Microsoft Sentinel на GitHub.

Дополнительные сведения см. в статье "Поиск поддержки соединителя данных".

Следующие шаги

Дополнительные сведения о соединителях данных см. в следующих статьях.

• Подключение источники данных в Microsoft Sentinel с помощью соединителей данных
• Найдите нужный соединитель данных Microsoft Sentinel
• Ресурсы для создания пользовательских соединителей Microsoft Sentinel

Справочник по базовой инфраструктуре как коду (IaC) Bicep, Azure Resource Manager и Terraform для развертывания соединителей данных в Microsoft Sentinel см . в справочнике по соединителю данных Microsoft Sentinel IaC.