соединители данных Microsoft Sentinel

После подключения Microsoft Sentinel в рабочую область используйте соединители данных, чтобы начать прием данных в Microsoft Sentinel. Microsoft Sentinel поставляется со многими встроенными соединителями для служб Майкрософт, которые интегрируются в режиме реального времени. Например, соединитель Microsoft Defender XDR — это соединитель между службами, который интегрирует данные из Office 365, Microsoft Entra ID, Microsoft Defender для удостоверений и Microsoft Defender for Cloud Apps.

Встроенные соединители позволяют подключиться к более широкой экосистеме безопасности для продуктов сторонних продуктов. Например, используйте системный журнал, общий формат событий (CEF) или REST API для подключения источников данных к Microsoft Sentinel.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в Microsoft Sentinel таблицах доступности облачных функций для клиентов из государственных организаций США.

Важно!

Согласно объявлению за 2024 год, после 14 сентября 2026 г. устаревший API сборщика данных HTTP больше не будет поддерживаться. Источники данных, пользовательские интеграции или соединители, использующие API сборщика данных HTTP, должны перейти на поддерживаемую альтернативу, чтобы избежать возможных прерываний приема после этой даты.

Если в настоящее время вы используете API сборщика данных HTTP, рекомендуется начать планировать миграцию на API приема журналов или платформу соединителя без кода (CCF), чтобы обеспечить непрерывный прием данных, повышение надежности, масштабируемости и долгосрочной поддержки.

Рекомендации по управлению данными для озера данных Microsoft Sentinel

При планировании соответствия требованиям и управлению данными необходимо учитывать следующие факторы:

• GDPR и хранение данных

  • Администраторы клиентов могут использовать права GDPR с помощью функции очистки для уровня аналитики. Это не влияет на уровень озера данных.
  • Определенные записи нельзя очистить из озера данных Sentinel. Озеро данных сохраняет данные приема в течение определенного периода хранения, даже если данные удаляются в источнике или на уровне аналитики.

• Интеграция с Purview. Изменения параметров Purview не влияют на данные, хранящиеся в Sentinel озера данных.

• Расположение хранилища Sentinel хранилища озера данных выбирает администратор клиента и может отличаться от основного расположения хранилища исходных служб.

Важно!

После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Соединители данных, предоставляемые решениями

Microsoft Sentinel решения предоставляют упакованое содержимое безопасности, включая соединители данных, книги, правила аналитики, сборники схем и многое другое. При развертывании решения с помощью соединителя данных соединитель данных получается вместе со связанным содержимым в одном развертывании.

На странице соединителей данных Microsoft Sentinel перечислены установленные или используемые соединители данных.

Портал Defender

Портал Azure

Чтобы добавить дополнительные соединители данных, установите решение, связанное с соединителем данных, из Центра содержимого. Дополнительные сведения см. в следующих статьях:

• Поиск соединителя данных Microsoft Sentinel
• Сведения о содержимом и решениях Microsoft Sentinel
• Обнаружение содержимого Microsoft Sentinel и управление ими
• каталог центра содержимого Microsoft Sentinel
• Доменные решения на основе расширенной информационной модели безопасности (ASIM) для Microsoft Sentinel

Создание пользовательских соединителей

Если вам не удается подключить источник данных к Microsoft Sentinel с помощью любого из доступных решений, рассмотрите возможность создания собственного соединителя источника данных. Например, многие решения безопасности предоставляют набор API для получения файлов журнала и других данных безопасности из своего продукта или службы. Эти API-интерфейсы подключаются к Microsoft Sentinel одним из следующих методов:

• API-интерфейсы источников данных настраиваются с помощью платформы соединителя без кода.
• Соединитель данных использует API приема журналов для Azure Monitor в рамках функции Azure или приложения логики.

Вы также можете использовать агент Azure Monitor напрямую или Logstash для создания пользовательского соединителя. Дополнительные сведения см. в разделе Ресурсы для создания Microsoft Sentinel настраиваемых соединителей.

Интеграция на основе агента для соединителей данных

Microsoft Sentinel могут использовать агенты, предоставляемые службой Azure Monitor (на которой основана Microsoft Sentinel) для сбора данных из любого источника данных, который может выполнять потоковую передачу журналов в режиме реального времени. Например, большинство локальных источников данных подключаются с помощью интеграции на основе агента.

В следующих разделах описаны различные типы соединителей данных на основе агента Microsoft Sentinel. Чтобы настроить подключения с помощью механизмов на основе агента, выполните действия на каждой странице соединителя данных Microsoft Sentinel.

Системный журнал и общий формат событий (CEF)

Вы можете передавать события с Linux устройств, поддерживающих системный журнал, в Microsoft Sentinel с помощью агента мониторинга Azure (AMA). Форматы журналов различаются, но многие источники поддерживают форматирование на основе CEF. В зависимости от типа устройства агент устанавливается либо непосредственно на устройстве, либо в выделенном Linux сервере пересылки журналов. AMA получает обычные сообщения о событиях Syslog или CEF из управляющей программы Syslog по протоколу UDP. Управляющая программа Системного журнала перенаправит события в агент внутренне, обмен данными через TCP или UDS (сокеты домена Unix) в зависимости от версии. Затем AMA передает эти события в рабочую область Microsoft Sentinel.

Ниже приведен простой поток, который показывает, как Microsoft Sentinel потоковую передачу данных системного журнала.

1. Встроенная управляющая программа Syslog устройства собирает локальные события указанных типов и пересылает события локально агенту.
2. Агент передает события в рабочую область Log Analytics.
3. После успешной настройки сообщения системного журнала отображаются в таблице Syslog Log Analytics, а сообщения CEF — в таблице CommonSecurityLog .

Дополнительные сведения см. в разделе Системный журнал и общий формат событий (CEF) через соединители AMA для Microsoft Sentinel.

Пользовательские журналы

Для некоторых источников данных можно собирать журналы в виде файлов на компьютерах с Windows или Linux с помощью настраиваемого агента сбора журналов Log Analytics.

Чтобы подключиться с помощью пользовательского агента сбора журналов Log Analytics, выполните действия, описанные на каждой странице соединителя данных Microsoft Sentinel. После успешной настройки данные отображаются в пользовательских таблицах.

Дополнительные сведения см. в разделе Настраиваемые журналы через соединитель данных AMA. Настройка приема данных для Microsoft Sentinel из определенных приложений.

Интеграция между службами для соединителей данных

Microsoft Sentinel использует Azure основу для предоставления встроенной поддержки служб Майкрософт и Amazon Web Services.

Дополнительные сведения см. в следующих статьях:

• Подключение Microsoft Sentinel к службам Azure, Windows, Майкрософт и Amazon
• Поиск соединителя данных Microsoft Sentinel

Поддержка соединителя данных

Как Корпорация Майкрософт, так и другие организации Microsoft Sentinel соединители данных. Каждый соединитель данных имеет один из следующих типов поддержки, перечисленных на странице соединителя данных в Microsoft Sentinel.

Тип поддержки	Описание
Поддерживаемые корпорацией Майкрософт	Применимо к: Соединители данных для источников данных, где корпорация Майкрософт является поставщиком данных и автором. Некоторые соединители данных, созданные корпорацией Майкрософт, для сторонних источников данных. Корпорация Майкрософт поддерживает и обслуживает соединители данных в этой категории в соответствии с планами поддержки Microsoft Azure. Партнеры или сообщество поддерживают соединители данных, созданные любой стороной, кроме Корпорации Майкрософт.
Поддерживается партнером	Применяется к соединителям данных, созданным не корпорацией Майкрософт. Компания-партнер обеспечивает поддержку или обслуживание этих соединителей данных. Компания-партнер может быть независимым поставщиком программного обеспечения, поставщиком управляемых услуг (MSP/MSSP), системным интегратором (SI) или любой организацией, контактные данные которой указаны на странице Microsoft Sentinel для этого соединителя данных. При любых проблемах с поддерживаемым партнером соединителем данных обратитесь к указанному контактному контакту в службу поддержки соединителя данных.
Поддержка сообщества	Применяется к соединителям данных, созданным корпорацией Майкрософт или разработчиками-партнерами, у которых нет указанных контактов для поддержки и обслуживания соединителя данных на странице соединителя данных в Microsoft Sentinel. Для вопросов или проблем, связанных с этими соединителями данных, вы можете подать о проблеме в сообществе Microsoft Sentinel GitHub.

Дополнительные сведения см. в разделе Поиск поддержки соединителя данных.

Дальнейшие действия

Дополнительные сведения о соединителях данных см. в следующих статьях.

• Подключение источников данных к Microsoft Sentinel с помощью соединителей данных
• Поиск соединителя данных Microsoft Sentinel
• Ресурсы для создания пользовательских соединителей Microsoft Sentinel

Базовый справочник по инфраструктуре как коду (IaC) bicep, Azure Resource Manager и Terraform для развертывания соединителей данных в Microsoft Sentinel см. в справочнике по соединителю данных Microsoft Sentinel IaC.