Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены все поддерживаемые встроенные соединители данных и ссылки на шаги развертывания каждого соединителя.
Important
- Обратите внимание, что соединители данных Microsoft Sentinel в настоящее время находятся в Preview. Дополнительные условия Azure предварительных версий включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
- После арх 31, 2027 Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут направлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с July 2025 многие новые клиенты automaticly подключены и перенаправлены на портал Defender. Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию передачи на портал Defender, чтобы обеспечить плавный переход и воспользоваться полными возможностями указанными операциями безопасности, предлагаемыми Microsoft Defender. Дополнительные сведения см. на портале < Azure Azure Microsoft Sentinel> Azure для повышения безопасности.
Соединители данных доступны в рамках следующих предложений:
Решения. Многие соединители данных развертываются как часть решения Microsoft Sentinel вместе с соответствующим содержимым, такими как правила аналитики, книги и сборники схем. Дополнительные сведения см. в каталоге решений Microsoft Sentinel.
Соединители сообщества: дополнительные соединители данных предоставляются сообществом Microsoft Sentinel и можно найти в Azure Marketplace. Ответственность за документацию по соединителям данных, разработанным сообществом, несет организацию, которая создала соединитель.
Пользовательские соединители: если у вас есть источник данных, который не указан или поддерживается в данный момент, можно также создать собственный настраиваемый соединитель. Дополнительные сведения см. в разделе Resources для создания пользовательских соединителей Microsoft Sentinel.
Note
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в Cloud для клиентов государственных организаций США.
Предварительные требования для соединителя данных
Каждый соединитель данных имеет собственный набор необходимых компонентов. Предварительные требования могут включать в себя наличие определенных разрешений для рабочей области Azure, подписки или политики. Кроме того, необходимо выполнить другие требования к источнику данных партнера, к которому вы подключаетесь.
Предварительные требования для каждого соединителя данных перечислены на соответствующей странице соединителя данных в Microsoft Sentinel.
соединители данных на основе агента Azure Monitor (AMA) требуют подключения к Интернету из системы, в которой установлен агент. Включите исходящий порт 443, чтобы разрешить подключение между системой, в которой установлен агент, и Microsoft Sentinel.
Соединители системного журнала и общего формата событий (CEF)
Сбор журналов из многих устройств безопасности и устройств поддерживается соединителями данных Syslog через AMA или Common Event Format (CEF) через AMA в Microsoft Sentinel. Чтобы перенаправить данные в рабочую область Log Analytics для Microsoft Sentinel, выполните действия, описанные в Сообщения системного журнала и CEF, чтобы Microsoft Sentinel с агентом Azure Monitor. Эти шаги включают установку решения Microsoft Sentinel для устройства безопасности или устройства из концентратора Content hub в Microsoft Sentinel. Затем настройте Syslog через AMA или Common Event Format (CEF) через AMA соединитель данных, соответствующий установленному Microsoft Sentinel решению. Выполните настройку, настроив устройство безопасности или устройство. Инструкции по настройке устройства безопасности или устройства см. в одной из следующих статей:
- CEF через соединитель данных AMA — настройте конкретное устройство или устройство для приема данных Microsoft Sentinel
- Syslog через соединитель данных AMA— настройте конкретное устройство или устройство для приема данных Microsoft Sentinel
Обратитесь к поставщику решений, чтобы получить дополнительные сведения или где информация недоступна для устройства или устройства.
Пользовательские журналы через соединитель AMA
Фильтрация и прием журналов в текстовом формате из сетевых или приложений безопасности, установленных на компьютерах Windows или Linux, с помощью Custom Logs через соединитель AMA в Microsoft Sentinel. Дополнительные сведения см. в следующих статьях:
- Collect журналы из текстовых файлов с агентом Azure Monitor и приемом Microsoft Sentinel
- Custom Logs через соединитель данных AMA — настройте прием данных для Microsoft Sentinel из определенных приложений
Соединители данных Sentinel
Note
В следующей таблице перечислены соединители данных, доступные в центре содержимого Microsoft Sentinel. Соединители поддерживаются поставщиком продукта. Сведения о поддержке см. по ссылке "Поддерживаемые ".
Подсказка
Список таблиц, приема в Microsoft Sentinel и соединителей, которые их приема, см. в Microsoft Sentinel таблицах и связанных соединителях.
1Password (бессерверный)
Поддерживается:1Password
Соединитель CCF 1Password позволяет пользователю принять 1Password Audit, Signin & События ItemUsage в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OnePasswordEventLogs_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Маркер API 1Password: требуется маркер API 1Password. Сведения о создании маркера API см. в документации по 1Password .
1Password (использование Функций Azure)
Поддерживается:1Password
Решение 1Password для Microsoft Sentinel позволяет получать попытки входа, использование элементов и аудит событий из учетной записи 1Password Business с помощью API отчетов 1Password Events Reporting API. Это позволяет отслеживать и исследовать события в 1Password в Microsoft Sentinel вместе с другими приложениями и службами, которые использует ваша организация.
Используемые базовые технологии Майкрософт:
Это решение зависит от следующих технологий, некоторые из которых могут находиться в стадии предварительной версии или повлечь за собой дополнительные затраты на обработку данных или эксплуатационные расходы.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OnePasswordEventLogs_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- Маркер API событий 1Password: требуется маркер API событий 1Password. Дополнительные сведения см. в API 1Password.
Примечание: Требуется учетная запись 1Password Business
AbnormalSecurity (с помощью функции Azure)
Поддерживается:Ненормальная безопасность
Соединитель данных "Аномальная безопасность" предоставляет возможность приема журналов угроз и случаев в Microsoft Sentinel с помощью rest API rest API Abnormal Security Rest API.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ABNORMAL_THREAT_MESSAGES_CL |
нет | нет |
ABNORMAL_CASES_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Abnormal Security API Token: требуется ненормальный маркер Security API. Дополнительные сведения см. в разделе Abnormal Security API.
Примечание: Требуется ненормальная учетная запись безопасности
AIShield
Поддерживается:AIShield
соединитель AIShield позволяет пользователям подключаться к журналам пользовательского механизма защиты AIShield с помощью Microsoft Sentinel, что позволяет создавать динамические панели мониторинга, книги, записные книжки и специализированные оповещения для улучшения исследований и атак на системы искусственного интеллекта. Он дает пользователям больше сведений о безопасности активов ИИ своей организации и улучшает возможности операций безопасности систем ИИ. AIShield.GuArdIan анализирует созданное llM содержимое для выявления и устранения вредного содержимого, защиты от юридических, политик, ролей и нарушений на основе использования
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AIShield_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Примечание. Пользователи должны использовать aiShield SaaS для проведения анализа уязвимостей и развертывания пользовательских механизмов защиты, созданных вместе с их ресурсом ИИ.
Щелкните здесь , чтобы узнать больше или получить связь.
Alibaba Cloud ActionTrail (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AliCloudActionTrailLogs_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Учетные данные и разрешения REST API SLS: AliCloudAccessKeyId и AliCloudAccessKeySecret требуются для вызова API. Оператор политики ОЗУ с действием atleast
log:GetLogStoreLogsнад ресурсомacs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName}необходим для предоставления пользователю ОЗУ разрешения на вызов этой операции.
AliCloud (с помощью Azure Functions)
Поддерживается корпорацией Майкрософт
Соединитель данных AliCloud предоставляет возможность получения журналов из облачных приложений с помощью облачного API и хранения событий в Microsoft Sentinel через API REST. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AliCloud_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: AliCloudAccessKeyId и AliCloudAccessKey требуются для вызова API.
Веб-сервисы Amazon
Поддерживается корпорацией Майкрософт
Инструкции по подключению к AWS и потоковой передаче журналов CloudTrail в Microsoft Sentinel отображаются во время установки. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSCloudTrail |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Amazon Web Services CloudFront (через платформу соединителей без кода) (предварительная версия)
Поддерживается корпорацией Майкрософт
Этот соединитель данных позволяет интегрировать журналы AWS CloudFront с Microsoft Sentinel для поддержки расширенного обнаружения угроз, исследования и мониторинга безопасности. Используя Amazon S3 для хранения журналов и Amazon SQS для очереди сообщений, соединитель надежно выполняет прием журналов доступа CloudFront в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSCloudFront_AccessLog_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Amazon Web Services NetworkFirewall (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Этот соединитель данных позволяет записывать журналы брандмауэра сети AWS в Microsoft Sentinel для расширенного обнаружения угроз и мониторинга безопасности. Используя Amazon S3 и Amazon SQS, соединитель перенаправит журналы сетевого трафика, оповещения обнаружения вторжений и события брандмауэра в Microsoft Sentinel, что позволяет анализировать и корреляцию в режиме реального времени с другими данными безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSNetworkFirewallFlow |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Amazon Web Services S3
Поддерживается корпорацией Майкрософт
Этот соединитель позволяет собирать журналы служб AWS, собранные в контейнерах AWS S3, Microsoft Sentinel. Поддерживаемые в настоящее время типы данных:
- AWS CloudTrail
- Журналы потоков VPC
- AWS GuardDuty
- AWSCloudWatch
Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSGuardDuty |
Да | Да |
AWSVPCFlow |
Да | Да |
AWSCloudTrail |
Да | Да |
AWSCloudWatch |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Среда. Необходимо иметь следующие ресурсы AWS, определенные и настроенные: S3, Простая служба очередей (SQS), роли ИАМ и политики разрешений AWS, а также службы AWS, журналы которых требуется собрать.
Amazon Web Services S3 DNS Route53 (с помощью платформы соединителей без кода)
Поддерживается корпорацией Майкрософт
Этот соединитель позволяет получать журналы AWS Route 53 DNS в Microsoft Sentinel для повышения видимости и обнаружения угроз. Он поддерживает журналы запросов сопоставителя DNS, полученные непосредственно из контейнеров AWS S3, а журналы общедоступных запросов DNS и журналы аудита Маршрута 53 можно получать с помощью соединителей AWS CloudWatch и CloudTrail Microsoft Sentinel. Подробные инструкции приведены для руководства по настройке каждого типа журнала. Используйте этот соединитель для мониторинга действий DNS, обнаружения потенциальных угроз и улучшения состояния безопасности в облачных средах.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSRoute53Resolver |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Amazon Web Services S3 WAF
Поддерживается корпорацией Майкрософт
Этот соединитель позволяет прием журналов AWS WAF, собранных в контейнерах AWS S3, Microsoft Sentinel. Журналы AWS WAF — это подробные записи о трафике, который анализирует списки управления веб-доступом (ACL), необходимые для обеспечения безопасности и производительности веб-приложений. Эти журналы содержат такие сведения, как время, когда WAF AWS получил запрос, особенности запроса и действия, принятые правилом, соответствующим запросом.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSWAF |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Anvilogic
Поддерживается:Anvilogic
Соединитель данных Anvilogic позволяет извлекать интересующие события в кластере Anvilogic ADX в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Anvilogic_Alerts_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Идентификатор клиента регистрации приложений Anvilogic и секрет клиента. Для доступа к Anvilogic ADX требуется идентификатор клиента и секрет клиента из регистрации приложения Anvilogic.
Облачная безопасность ARGOS
Поддерживается:ARGOS Cloud Security
Интеграция ARGOS Cloud Security для Microsoft Sentinel позволяет иметь все важные события облачной безопасности в одном месте. Это позволяет легко создавать панели мониторинга, оповещения и сопоставлять события в нескольких системах. В целом это улучшит состояние безопасности вашей организации и реагирование на инциденты безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ARGOS_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Действия оповещений Armis (с помощью функций Azure)
Поддерживается:Armis Corporation
Соединитель действий Armis Оповещений предоставляет возможность приема оповещений и действий Armis в Microsoft Sentinel через REST API Armis. Обратитесь к документации API: https://<YourArmisInstance>.armis.com/api/v1/docs для получения дополнительной информации. Соединитель предоставляет возможность получать сведения об оповещениях и действиях из платформы Armis, а также выявлять и определять приоритеты угроз в вашей среде. Armis использует существующую инфраструктуру для обнаружения и идентификации устройств без необходимости развертывать агенты.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Armis_Alerts_CL |
нет | нет |
Armis_Activities_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: требуется секретный ключ Armis . Дополнительные сведения об API см. в документации
https://<YourArmisInstance>.armis.com/api/v1/doc
Устройства Armis (с помощью функций Azure)
Поддерживается:Armis Corporation
Соединитель устройства Armis предоставляет возможность приема устройств Armis в Microsoft Sentinel через REST API Armis. Обратитесь к документации API: https://<YourArmisInstance>.armis.com/api/v1/docs для получения дополнительной информации. Соединитель предоставляет возможность получать сведения об устройстве из платформы Armis. Armis использует существующую инфраструктуру для обнаружения и идентификации устройств без необходимости развертывать агенты. Armis также может интегрироваться с существующими средствами управления ИТ и безопасностью для идентификации и классификации каждого устройства, управляемого или неуправляемого в вашей среде.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Armis_Devices_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: требуется секретный ключ Armis . Дополнительные сведения об API см. в документации
https://<YourArmisInstance>.armis.com/api/v1/doc
Оповещения Atlassian Beacon
Поддерживается:DEFEND Ltd.
Atlassian Beacon — это облачный продукт, созданный для интеллектуального обнаружения угроз на платформах Atlassian (Jira, Confluence и Atlassian Admin). Это может помочь пользователям обнаруживать, исследовать и реагировать на рискованные действия пользователей для набора продуктов Atlassian. Решение — это настраиваемый соединитель данных из DEFENSE Ltd. Который используется для визуализации оповещений, полученных от Atlassian Beacon, для Microsoft Sentinel через приложение логики.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
atlassian_beacon_alerts_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Аудит Atlassian Confluence (с помощью платформы соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных аудита Atlassian Confluence Аудит предоставляет возможность приема Confluence Audit Records события в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ConfluenceAuditLogs_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Доступ к API Atlassian Confluence: для получения доступа к API журналов аудита Confluence требуется разрешение администрирования Confluence . Дополнительные сведения об API аудита см. в документации по API Confluence .
Atlassian Jira Audit (с помощью функций Azure)
Поддерживается корпорацией Майкрософт
Соединитель данных аудита Atlassian Jira Аудит предоставляет возможность приема Jira Audit Records события в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Jira_Audit_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: JiraAccessToken, JiraUsername требуется для REST API. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
Atlassian Jira Audit (с помощью REST API)
Поддерживается корпорацией Майкрософт
Соединитель данных аудита Atlassian Jira Аудит предоставляет возможность приема Jira Audit Records события в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Jira_Audit_v2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Доступ к API Atlassian Jira: для получения доступа к API журналов аудита Jira требуется разрешение администрирования Jira . Дополнительные сведения об API аудита см. в документации по API Jira .
Управление доступом Auth0 (с помощью функций Azure)
Поддерживается корпорацией Майкрософт
Соединитель данных Auth0 Access Management предоставляет возможность приема событий журнала Auth0 журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Auth0AM_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: требуется маркер API . Дополнительные сведения см. в разделе "Маркер API"
Журналы проверки подлинности
Поддерживается корпорацией Майкрософт
Соединитель данных Auth0 позволяет прием журналов из API Auth0 в Microsoft Sentinel. Соединитель данных основан на Microsoft Sentinel Codeless Connector Framework. Он использует API Auth0 для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не должны анализировать их снова, что приводит к повышению производительности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Auth0Logs_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Автоматизированная логика WebCTRL
Поддерживается корпорацией Майкрософт
Журналы аудита можно передавать из сервера SQL WebCTRL, размещенного на Windows компьютерах, подключенных к Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Это дает аналитические сведения о промышленных системах управления, которые отслеживаются или контролируются приложением WEBCTRL BAS.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Event |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Соединитель данных AWS EKS (через платформу соединителя без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных AWS EKS предоставляет возможность приема журналов аудита из Службы Amazon Elastic Kubernetes в Microsoft Sentinel. Этот соединитель посвящен журналам аудита EKS (формат JSON), которые содержат подробные сведения о запросах сервера API, решениях проверки подлинности и действиях кластера. Соединитель использует AWS SQS для получения уведомлений, когда новые файлы журнала аудита экспортируются в S3, обеспечивая отслеживание безопасности в режиме реального времени для кластеров Kubernetes.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSEKSLogs_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Журналы доступа к серверу AWS S3 (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Этот соединитель позволяет получать журналы доступа к серверу AWS S3 в Microsoft Sentinel. Эти журналы содержат подробные записи о запросах, выполненных в контейнерах S3, включая тип запроса, доступ к ресурсам, сведения о запросе и сведения о ответе. Эти журналы полезны для анализа шаблонов доступа, отладки проблем и обеспечения соответствия безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSS3ServerAccess |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Среда. Необходимо определить и настроить следующие ресурсы AWS: контейнер S3, простая служба очередей (SQS), роли ИАМ и политики разрешений.
Результаты Центра безопасности AWS (с помощью платформы соединителей без кода)
Поддерживается корпорацией Майкрософт
Этот соединитель позволяет получать результаты центра безопасности AWS, собранные в контейнерах AWS S3, в Microsoft Sentinel. Это помогает упростить процесс мониторинга оповещений системы безопасности и управления ими, интегрируя результаты Центра безопасности AWS с расширенными возможностями обнаружения угроз и реагирования Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSSecurityHubFindings |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Среда. У вас должны быть следующие ресурсы AWS, определенные и настроенные: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), роли IAM и политики разрешений.
Azure
Поддерживается корпорацией Майкрософт
Azure журнал действий — это журнал подписок, который содержит сведения о событиях уровня подписки, происходящих в Azure, включая события из Azure Resource Manager операционных данных, события работоспособности службы, операции записи, выполняемые в вашей подписке, и состояние действий, выполняемых в Azure. Дополнительные сведения см. в документации Microsoft Sentinel .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureActivity |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Учетная запись пакетной службы Azure
Поддерживается корпорацией Майкрософт
Azure Batch учетная запись — это уникально определяемая сущность в пакетной службе. Большинство решений пакетной службы используют Azure Storage для хранения файлов ресурсов и выходных файлов, поэтому каждая учетная запись пакетной службы обычно связана с соответствующей учетной записью хранения. Этот соединитель позволяет передавать журналы диагностики Azure Batch учетной записи в Microsoft Sentinel, что позволяет непрерывно отслеживать действия. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Политика: роль владельца, назначенная для каждой области назначения политики
Azure CloudNGFW By Palo Alto Networks
Поддерживается:Palo Alto Networks
Брандмауэр cloud Next-Generation by Palo Alto Networks — Azure native ISV Service — это брандмауэр следующего поколения Palo Alto Networks (NGFW), предоставляемый в качестве облачной службы на Azure. Вы можете обнаружить Cloud NGFW в Azure Marketplace и использовать его в виртуальных сетях Azure. С помощью Cloud NGFW вы можете получить доступ к основным возможностям NGFW, таким как идентификатор приложения, технологии фильтрации URL-адресов. Она обеспечивает защиту от угроз и обнаружение с помощью облачных служб безопасности и подписей защиты от угроз. Соединитель позволяет легко подключать журналы Cloud NGFW с Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности. Дополнительные сведения см. в документации Cloud NGFW для Azure.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
fluentbit_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Когнитивный поиск Azure
Поддерживается корпорацией Майкрософт
Azure Cognitive Search — это облачная служба поиска, которая предоставляет разработчикам инфраструктуру, API и средства для создания расширенного интерфейса поиска по поводу частного, разнородного содержимого в интернете, мобильных и корпоративных приложениях. Этот соединитель позволяет передавать журналы диагностики Azure Cognitive Search в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Политика: роль владельца, назначенная для каждой области назначения политики
Azure защита от атак DDoS
Поддерживается корпорацией Майкрософт
Подключитесь к журналам защиты от атак DDoS уровня "Стандартный" Azure через журналы диагностики общедоступных IP-адресов. Помимо основной защиты от атак DDoS на платформе, Azure защита от атак DDoS standard предоставляет расширенные возможности защиты от атак DDoS. Он автоматически настраивается для защиты определенных Azure ресурсов. Защиту можно включить во время создания виртуальных сетей. Кроме того, это можно сделать после создания. При этом не требуются никакие изменения приложения или ресурса. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Azure DevOps журналы аудита (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных журналов аудита Azure DevOps позволяет прием событий аудита из Azure DevOps в Microsoft Sentinel. Этот соединитель данных создается с помощью платформы Microsoft Sentinel Codeless Connector Framework, обеспечивая простую интеграцию. Он использует API журналов аудита Azure DevOps для получения подробных событий аудита и поддержки преобразований времени приема данных на основе DCR приема времени. Эти преобразования позволяют анализировать полученные данные аудита в настраиваемую таблицу во время приема, повышая производительность запросов, устраняя необходимость дополнительного анализа. Используя этот соединитель, вы можете получить улучшенную видимость среды Azure DevOps и упростить операции безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ADOAuditLogs_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Azure DevOps предварительные требования: убедитесь в следующем:
1. Регистрация приложения Entra в центре администрирования Microsoft Entra в разделе "Регистрация приложений".
2. В разделе "Разрешения API" добавьте разрешения в файл "Azure DevOps - vso.auditlog".
3. В разделе "Сертификаты и секреты" создайте "секрет клиента".
4. В разделе "Проверка подлинности" добавьте URI перенаправления, найденный ниже в соответствующем поле.
5. В параметрах Azure DevOps включите журнал аудита и задайте журнал аудита View audit log для пользователя. Azure DevOps аудит.
6. Убедитесь, что пользователь, назначенный для подключения соединителя данных, имеет разрешение "Просмотр журналов аудита" явно задано значение Allow (Разрешить) в любое время. Это разрешение необходимо для успешного приема журналов. Если разрешение отозвано или не предоставлено, прием данных завершится ошибкой или прерван.
Azure Концентратор событий
Поддерживается корпорацией Майкрософт
Azure Event Hubs — это платформа потоковой передачи больших данных и служба приема событий. Он может получать и обрабатывать миллионы событий в секунду. Этот соединитель позволяет передавать журналы диагностики центра событий Azure в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Политика: роль владельца, назначенная для каждой области назначения политики
Брандмауэр Azure
Поддерживается корпорацией Майкрософт
Подключение к Azure Firewall. Azure Firewall — это управляемая облачная служба безопасности сети, которая защищает Azure Virtual Network ресурсы. Это сервис брандмауэра с полным отслеживанием состояния, с высокой доступностью и неограниченными возможностями облачного масштабирования. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
нет | нет |
AZFWApplicationRule |
Да | Да |
AZFWFlowTrace |
Да | Да |
AZFWFatFlow |
Да | Да |
AZFWNatRule |
Да | Да |
AZFWDnsQuery |
Да | Да |
AZFWIdpsSignature |
Да | Да |
AZFWInternalFqdnResolutionFailure |
Да | Да |
AZFWNetworkRule |
Да | Да |
AZFWThreatIntel |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Azure Key Vault
Поддерживается корпорацией Майкрософт
Azure Key Vault — это облачная служба для безопасного хранения и доступа к секретам. Секрет — это все, к чему требуется жестко контролировать доступ, например ключи API, пароли, сертификаты или криптографические ключи. Этот соединитель позволяет передавать журналы диагностики Azure Key Vault в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Служба Azure Kubernetes (AKS)
Поддерживается корпорацией Майкрософт
Azure Kubernetes Service (AKS) — это полностью управляемая служба оркестрации контейнеров с открытым кодом, которая позволяет развертывать, масштабировать и управлять контейнерами Docker и приложениями на основе контейнеров в среде кластера. Этот соединитель позволяет передавать журналы диагностики Azure Kubernetes Service (AKS) в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Azure Logic Apps
Поддерживается корпорацией Майкрософт
Azure Logic Apps — это облачная платформа для создания и запуска автоматизированных рабочих процессов, которые интегрируют приложения, данные, службы и системы. Этот соединитель позволяет передавать журналы диагностики Azure Logic Apps в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Политика: роль владельца, назначенная для каждой области назначения политики
Azure Resource Graph
Поддерживается корпорацией Майкрософт
соединитель Azure Resource Graph предоставляет более подробные сведения о событиях Azure путем дополнения сведений о подписках Azure и Azure ресурсах.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Policy: разрешение на роль владельца для подписок Azure
Служебная шина Azure
Поддерживается корпорацией Майкрософт
Azure Service Bus — это полностью управляемый корпоративный брокер сообщений с очередями сообщений и разделами публикации и подписки (в пространстве имен). Этот соединитель позволяет передавать журналы диагностики Azure Service Bus в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Политика: роль владельца, назначенная для каждой области назначения политики
Azure SQL Базы данных
Поддерживается корпорацией Майкрософт
Azure SQL — это полностью управляемая подсистема СУБД "как услуга" (PaaS), которая обрабатывает большинство функций управления базами данных, таких как обновление, исправление, резервное копирование и мониторинг, без необходимости участия пользователей. Этот соединитель позволяет передавать журналы аудита и диагностики Azure SQL баз данных в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Учетная запись хранения Azure
Поддерживается корпорацией Майкрософт
Azure Storage учетная запись — это облачное решение для современных сценариев хранения данных. Учетная запись хранения содержит все объекты данных: BLOB-объекты, файлы, очереди, таблицы и диски. Этот соединитель позволяет передавать журналы диагностики учетных записей Azure Storage в рабочую область Microsoft Sentinel, позволяя непрерывно отслеживать действия во всех экземплярах и обнаруживать вредоносные действия в организации. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureMetrics |
нет | нет |
StorageBlobLogs |
Да | Да |
StorageQueueLogs |
Да | Да |
StorageTableLogs |
Да | Да |
StorageFileLogs |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Политика: роль владельца, назначенная для каждой области назначения политики
Azure Stream Analytics
Поддерживается корпорацией Майкрософт
Azure Stream Analytics — это аналитика в режиме реального времени и сложный механизм обработки событий, предназначенный для анализа и обработки больших объемов быстрой потоковой передачи данных из нескольких источников одновременно. Этот соединитель позволяет передавать журналы диагностики центра Azure Stream Analytics в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Политика: роль владельца, назначенная для каждой области назначения политики
Брандмауэр веб-приложений Azure (WAF)
Поддерживается корпорацией Майкрософт
Подключитесь к Azure Web Application Firewall (WAF) для шлюза приложений, Front Door или CDN. Этот WAF защищает приложения от распространенных веб-уязвимостей, таких как внедрение SQL и межсайтовые скрипты, и позволяет настраивать правила для снижения ложных срабатываний. Инструкции по потоковой передаче журналов брандмауэра веб-приложения Майкрософт в Microsoft Sentinel отображаются во время установки. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
BETTER Мобильная защита от угроз (MTD)
Поддерживается:Better Mobile Security Inc.
Соединитель BETTER MTD позволяет предприятиям подключать свои экземпляры MTD с Microsoft Sentinel, просматривать данные на панелях мониторинга, создавать пользовательские оповещения, использовать их для активации сборников схем и расширения возможностей поиска угроз. Это дает пользователям больше сведений о мобильных устройствах своей организации и возможности быстрого анализа текущей системы безопасности мобильных устройств, что улучшает их общие возможности SecOps.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BetterMTDIncidentLog_CL |
нет | нет |
BetterMTDDeviceLog_CL |
нет | нет |
BetterMTDNetflowLog_CL |
нет | нет |
BetterMTDAppLog_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
BeyondTrust PM Cloud
Поддерживается:BeyondTrust
Соединитель данных BeyondTrust Privilege Management Cloud предоставляет возможность приема журналов аудита действий и журналов событий клиента из BeyondTrust PM Cloud в Microsoft Sentinel.
Этот соединитель использует Azure Functions для извлечения данных из ОБЛАЧНОго API BeyondTrust PM и приема данных в пользовательские таблицы Log Analytics.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BeyondTrustPM_ActivityAudits_CL |
нет | нет |
BeyondTrustPM_ClientEvents_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные API для облака BeyondTrust PM: требуются идентификатор клиента OAuth и секрет клиента BeyondTrust PM Cloud OAuth. Для учетной записи API требуются следующие разрешения: аудит — только для чтения и отчетов — только для чтения
Соединитель BigID DSPM
Поддерживается:BigID
Соединитель данных BigID DSPM предоставляет возможность приема случаев BigID DSPM с затронутыми объектами и сведениями о источниках данных в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BigIDDSPMCatalog_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Доступ к API BigID DSPM: требуется доступ к API DSPM BigID через токен BigID.
Bitglass (с помощью Azure Functions)
Поддерживается корпорацией Майкрософт
Соединитель данных Bitglass предоставляет возможность получения журналов событий безопасности служб Bitglass и других событий в Microsoft Sentinel через REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BitglassLogs_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: BitglassToken и BitglassServiceURL необходимы для вызова API.
Соединитель данных Bitsight (с помощью функций Azure)
Поддерживается поддержкой:BitSight
Соединитель данных BitSight Data Connector поддерживает мониторинг кибер-рисков на основе доказательств путем привлечения данных BitSight в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BitsightAlerts_data_CL |
Да | Да |
BitsightBreaches_data_CL |
Да | Да |
BitsightCompany_details_CL |
Да | Да |
BitsightCompany_rating_details_CL |
Да | Да |
BitsightDiligence_historical_statistics_CL |
Да | Да |
BitsightDiligence_statistics_CL |
Да | Да |
BitsightFindings_data_CL |
Да | Да |
BitsightFindings_summary_CL |
Да | Да |
BitsightGraph_data_CL |
Да | Да |
BitsightIndustrial_statistics_CL |
Да | Да |
BitsightObservation_statistics_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: требуется маркер API BitSight. Дополнительные сведения о токене API см. в документации.
Журналы событий Bitwarden
Поддерживается:Bitwarden Inc
Этот соединитель содержит сведения о действиях вашей организации Bitwarden, таких как активность пользователя (вошедший в систему, измененный пароль, 2fa и т. д.), действие шифра (созданное, обновленное, удаленное, общее, и т. д.), действие коллекции, активность организации и многое другое.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BitwardenEventLogs |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Идентификатор клиента Bitwarden и секрет клиента: ключ API можно найти в консоли администрирования организации Bitwarden. Дополнительные сведения см. в документации по Bitwarden .
Box (с помощью Azure Functions)
Поддерживается корпорацией Майкрософт
Соединитель данных Box предоставляет возможность приема событий Box предприятия в Microsoft Sentinel с помощью REST API Box. Дополнительные сведения см. в документации Box .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BoxEvents_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные API Box: для проверки подлинности JWT rest API Box требуется файл JSON конфигурации Box. Дополнительные сведения см. в разделе "Проверка подлинности JWT".
События Box (CCF)
Поддерживается корпорацией Майкрософт
Соединитель данных Box предоставляет возможность приема событий Box предприятия в Microsoft Sentinel с помощью REST API Box. Дополнительные сведения см. в документации Box .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BoxEventsV2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Учетные данные API Box. Для проверки подлинности API Box требуется идентификатор клиента и секрет клиента Box. Дополнительные сведения см. в разделе "Предоставление учетных данных клиента"
-
Box Enterprise ID: Box Enterprise ID является обязательным для подключения. См. документацию по поиску идентификатора Enterprise
Check Point CloudGuard CNAPP Connector для Microsoft Sentinel
Поддерживается:Check Point
Соединитель данных CloudGuard позволяет прием событий безопасности из API CloudGuard в Microsoft Sentinel ™ с помощью платформы соединителей без кода Microsoft Sentinel. Соединитель поддерживает преобразования времени приема данных на основе DCR, которые анализируют входящие данные события безопасности в настраиваемые столбцы. Этот процесс предварительного анализа устраняет необходимость синтаксического анализа во время запроса, что приводит к повышению производительности запросов к данным.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CloudGuard_SecurityEvents_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Ключ API CloudGuard: ознакомьтесь с инструкциями, приведенными здесь , чтобы создать ключ API.
Соединитель оповещений Check Point Cyberint (через платформу соединителя без кода)
Поддерживается:Cyberint
Cyberint, компания Check Point, предоставляет интеграцию Microsoft Sentinel для упрощения критически важных оповещений и привлечения обогащенной аналитики угроз из решения бесконечности внешнего управления рисками в Microsoft Sentinel. Это упрощает процесс отслеживания состояния билетов с автоматическими обновлениями синхронизации в системах. Используя эту новую интеграцию для Microsoft Sentinel, существующие cyberint и Microsoft Sentinel клиенты могут легко извлекать журналы на основе результатов Cyberint в платформу Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
argsentdc_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Ключ API Check Point Cyberint, URL-адрес Argos и имя клиента: ключ API соединителя, URL-адрес Argos и имя клиента
Соединитель IOC Для проверки точки киберинтейнта
Поддерживается:Cyberint
Это соединитель данных для Check Point Cyberint IOC.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
iocsent_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Ключ API Check Point Cyberint и URL-адрес Argos: требуется ключ API соединителя и URL-адрес Argos.
Cisco ASA/FTD через AMA
Поддерживается корпорацией Майкрософт
Соединитель брандмауэра Cisco ASA позволяет легко подключать журналы Cisco ASA с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Чтобы собирать данные из виртуальных машин, отличных от Azure, они должны быть установлены и включены Azure Arc.
Подробнее
Cisco Cloud Security (с помощью Azure Functions)
Поддерживается корпорацией Майкрософт
Решение Cisco Cloud Security для Microsoft Sentinel позволяет получать Cisco Secure Access и Cisco Umbrellalogs, хранящихся в Amazon S3, в Microsoft Sentinel с помощью REST API Amazon S3. Дополнительные сведения см. в документации по управлению журналами Cisco Cloud Security .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cisco_Umbrella_dns_CL |
Да | Да |
Cisco_Umbrella_proxy_CL |
Да | Да |
Cisco_Umbrella_ip_CL |
Да | Да |
Cisco_Umbrella_cloudfirewall_CL |
Да | Да |
Cisco_Umbrella_firewall_CL |
Да | Да |
Cisco_Umbrella_dlp_CL |
нет | нет |
Cisco_Umbrella_ravpnlogs_CL |
нет | нет |
Cisco_Umbrella_audit_CL |
нет | нет |
Cisco_Umbrella_ztna_CL |
нет | нет |
Cisco_Umbrella_intrusion_CL |
нет | нет |
Cisco_Umbrella_ztaflow_CL |
нет | нет |
Cisco_Umbrella_fileevent_CL |
нет | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступаAWS, имя контейнера AWS S3 требуется для REST API Amazon S3.
Cisco Cloud Security (с помощью плана elastic premium) (с помощью плана Azure Functions)
Поддерживается корпорацией Майкрософт
Соединитель данных Cisco Umbrella предоставляет возможность приема событий Cisco Umbrella, хранящихся в Amazon S3, в Microsoft Sentinel с помощью REST API Amazon S3. Дополнительные сведения см. в документации по управлению журналами Cisco Umbrella .
NOTE: Этот соединитель данных использует план Azure Functions план premium для обеспечения безопасных возможностей приема данных и будет нести дополнительные затраты. Дополнительные сведения о ценах см. здесь.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cisco_Umbrella_dns_CL |
Да | Да |
Cisco_Umbrella_proxy_CL |
Да | Да |
Cisco_Umbrella_ip_CL |
Да | Да |
Cisco_Umbrella_cloudfirewall_CL |
Да | Да |
Cisco_Umbrella_firewall_CL |
Да | Да |
Cisco_Umbrella_dlp_CL |
нет | нет |
Cisco_Umbrella_ravpnlogs_CL |
нет | нет |
Cisco_Umbrella_audit_CL |
нет | нет |
Cisco_Umbrella_ztna_CL |
нет | нет |
Cisco_Umbrella_intrusion_CL |
нет | нет |
Cisco_Umbrella_ztaflow_CL |
нет | нет |
Cisco_Umbrella_fileevent_CL |
нет | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступаAWS, имя контейнера AWS S3 требуется для REST API Amazon S3.
- разрешения Virtual Network (для частного доступа): для доступа к частной учетной записи хранения требуется разрешение Network Участника в Virtual Network и подсети. Подсеть должна быть делегирована в Microsoft.Web/serverFarms для интеграции виртуальной сети приложения-функции.
Безопасность Cisco Duo (с помощью функций Azure)
Поддерживается:Cisco Systems
Соединитель данных безопасности Cisco Duo предоставляет возможность приема журналов authentication, administrator logs, журналы telephony logs, offline enrollment logs и Trust Monitor events в Microsoft Sentinel с помощью API администрирования Cisco Duo. Дополнительные сведения см. в документации по API.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CiscoDuo_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные API Cisco Duo: учетные данные API Cisco Duo с журналом предоставления разрешений требуются для API Cisco Duo. Дополнительные сведения о создании учетных данных API Cisco Duo см. в документации .
Cisco ETD (с помощью Azure Functions)
Поддерживается:N/A
Соединитель извлекает данные из API ETD для анализа угроз
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CiscoETD_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
API защиты от угроз электронной почты, ключ API, идентификатор клиента и секрет: убедитесь, что у вас есть ключ API, идентификатор клиента и секретный ключ.
Cisco Meraki (с помощью REST API)
Поддерживается корпорацией Майкрософт
Соединитель Cisco Meraki позволяет легко подключать события организации Cisco Meraki (события безопасности, изменения конфигурации и запросы API) к Microsoft Sentinel. Соединитель данных использует REST API Cisco Meraki REST API для получения журналов и поддержки преобразований времени приема данных на основе DCR приема времени который анализирует полученные данные и прием в ASIM и пользовательские таблицы в рабочей области Log Analytics. Этот соединитель данных обеспечивает преимущества таких возможностей, как фильтрация времени приема данных на основе DCR, нормализация данных.
Поддерживаемая схема ASIM:
- Сетевой сеанс
- Веб-сеанс
- Событие аудита
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ASimNetworkSessionLogs |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Ключ REST API Cisco Meraki: включение доступа к API в Cisco Meraki и создание ключа API. Дополнительные сведения см. в официальной документации по Cisco Meraki.
-
Cisco Meraki Organization Id: Получите идентификатор организации Cisco Meraki для получения событий безопасности. Выполните действия, описанные в документации , чтобы получить идентификатор организации с помощью ключа API Meraki, полученного на предыдущем шаге.
Безопасная конечная точка Cisco (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных Cisco Secure Endpoint (прежнее название — AMP для конечных точек) предоставляет возможность приема журналов безопасной конечной точки Cisco Secure Endpoint audit и events в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CiscoSecureEndpointAuditLogsV2_CL |
Да | Да |
CiscoSecureEndpointEventsV2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Учетные данные и регионы API безопасной конечной точки Cisco: чтобы создать учетные данные API и понять регионы, следуйте ссылке документа, предоставленной здесь.
Click здесь.
WAN с программным обеспечением Cisco
Поддерживается:Cisco Systems
Соединитель данных Cisco Software Defined WAN(SD-WAN) предоставляет возможность приема данных Cisco SD-WAN Системный журнал и данные Netflow в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Syslog |
Да | Да |
CiscoSDWANNetflow_CL |
нет | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Claroty xDome
Поддерживается службой поддержки клиентовxDome
Claroty xDome обеспечивает комплексные возможности управления безопасностью и оповещениями для медицинских и промышленных сетевых сред. Он предназначен для сопоставления нескольких типов источников, идентификации собранных данных и интеграции его в модели данных Microsoft Sentinel. Это приводит к тому, что вы можете отслеживать все потенциальные угрозы в медицинских и промышленных средах в одном расположении, что приводит к более эффективному мониторингу безопасности и более сильной позиции безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Cloudflare (предварительная версия) (с помощью Azure Functions)
Поддерживается:Cloudflare
Соединитель данных Cloudflare предоставляет возможность приема журналов Cloudflare в Microsoft Sentinel с помощью Cloudflare Logpush и Azure Blob Storage. Дополнительные сведения см. в документации Cloudflare.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cloudflare_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Azure Blob Storage connection string и имя контейнера: Azure Blob Storage connection string и имя контейнера, в которых журналы отправляются в Cloudflare Logpush. Дополнительные сведения см. в разделе создание Azure Blob Storage container.
Cloudflare (с использованием Blob Container) (через Codeless Connector Framework)
Поддерживается:Cloudflare
Соединитель данных Cloudflare предоставляет возможность приема журналов Cloudflare в Microsoft Sentinel с помощью Cloudflare Logpush и Azure Blob Storage. Обратитесь к документации Cloudflareдля получения дополнительной информации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CloudflareV2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Create учетной записи хранения и контейнера. Перед настройкой logpush в Cloudflare сначала создайте учетную запись хранения и контейнер в Microsoft Azure. Используйте это руководство , чтобы узнать больше о Container и Blob. Выполните действия в документации, чтобы создать учетную запись Azure Storage.
- Создайте URL-адрес SAS БОЛЬШОго двоичного объекта: требуются разрешения на создание и запись. Обратитесь к документации , чтобы узнать больше о токене Blob SAS и URL.
-
Сбор журналов из Cloudflare в контейнер BLOB-объектов. Выполните действия, описанные в документации по сбору журналов из Cloudflare в контейнер BLOB-объектов.
Коньни
Поддерживается:Cognni
Соединитель Cognni обеспечивает быструю и простую интеграцию с Microsoft Sentinel. Вы можете использовать Cognni для автономной сопоставления ранее неклассифицированной важной информации и обнаружения связанных инцидентов. Это позволяет распознавать риски для важных сведений, понимать серьезность инцидентов и исследовать сведения, необходимые для исправления, достаточно быстро, чтобы внести изменения.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CognniIncidents_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Cohesity (с помощью Azure Functions)
Поддерживается:Сплоченность
Приложения-функции "Сплоченность" предоставляют возможность приема оповещений программы-шантажистов в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cohesity_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Azure Blob Storage connection string и имя контейнера: Azure Blob Storage connection string и имя контейнера
CommvaultSecurityIQ
Поддерживается:Commvault
Эта функция Azure позволяет пользователям Commvault получать оповещения и события в Microsoft Sentinel экземпляре. С помощью правил аналитики Microsoft Sentinel может автоматически создавать инциденты Microsoft Sentinel из входящих событий и журналов.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommvaultAlerts_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- URL-адрес конечной точки среды Commvault: обязательно следуйте документации и задайте значение секрета в KeyVault.
-
Токен QSDK Commvault: обязательно следуйте документации и задайте значение секрета в KeyVault.
КонтрастностьADR
Поддерживается:Контрастность безопасности
Соединитель данных ContrastADR предоставляет возможность приема событий атаки Контрастности ADR в Microsoft Sentinel с помощью веб-перехватчика ContrastADR. Коннектор данных ContrastADR может обогащать входящие данные вебхука с помощью вызовов обогащения API ContrastADR.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ContrastADR_CL |
нет | нет |
ContrastADRIncident_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
Экспортер соединителей Corelight
Поддерживается:Corelight
Соединитель данных corelight позволяет реагировать на инциденты и охотников за угрозами, которые используют Microsoft Sentinel для более эффективной работы. Соединитель данных обеспечивает прием событий из Zeek и Suricata через датчики Corelight в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Corelight |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Cortex XDR — инциденты
Поддерживается:DEFEND Ltd.
Настраиваемый соединитель данных из DEFENSE для использования API Cortex для приема инцидентов из платформы Cortex XDR в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CortexXDR_Incidents_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Учетные данные API Cortex: маркер API Cortex требуется для REST API. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
Крибл
Поддерживается:Cribl
Соединитель Cribl позволяет легко подключать журналы Cribl (Cribl Enterprise Edition — автономные) с Microsoft Sentinel. Это дает больше сведений о безопасности конвейеров данных вашей организации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CriblInternal_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Коннектор данных CrowdStrike API (через фреймворк Codeless Connector)
Поддерживается корпорацией Майкрософт
Соединитель данных CrowdStrike Data Connector позволяет получать журналы из API CrowdStrike в Microsoft Sentinel. Этот соединитель предоставляет возможность приема crowdStrike Alerts, Detections, Hosts, Cases и Vulnerabilities в Microsoft Sentinel. Этот соединитель основан на платформе соединителя без кода Microsoft Sentinel и использует API CrowdStrike для получения журналов. Она поддерживает преобразования времени приема данных на основе DCR, чтобы запросы могли выполняться более эффективно. Дополнительные сведения см. в документации по API CrowdStrike .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CrowdStrikeAlerts |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Клиент и области API Краудстрик OAuth2: оповещения, интеграции API, журналы приложений, журналы приложений, правила корреляции, обнаружения, узлы, ресурсы, инциденты, карантинные файлы, уязвимости требуются для REST API. Дополнительные сведения см. в разделе API.
CrowdStrike Falcon Falcon Intelligence (с помощью Azure Functions)
Поддерживается корпорацией Майкрософт
Соединитель CrowdStrike Индикаторы компрометации извлекает индикаторы компрометации из API Falcon Intel и отправляет их Microsoft Sentinel Threat Intel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelIndicators |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Идентификатор клиента и секрет клиента CrowdStrike: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Учетные данные CrowdStrike должны иметь область чтения индикаторов (Falcon Intelligence).
Репликатор данных CrowdStrike Falcon (AWS S3) (через платформу соединителя без кода)
Поддерживается корпорацией Майкрософт
Соединитель репликатора данных Falcon (S3) crowdstrike Data Replicator (S3) предоставляет возможность приема данных событий FDR в Microsoft Sentinel из контейнера AWS S3, в котором передаются журналы FDR. Соединитель предоставляет возможность получать события от агентов Falcon, которые помогают изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации и многое другое.
NOTE:
1. Лицензия CrowdStrike FDR должна быть доступна и включена.
2. Соединителю требуется настроить роль IAM в AWS, чтобы разрешить доступ к контейнеру AWS S3 и не подходит для сред, использующих управляемые контейнеры CrowdStrike.
3. В средах, использующих контейнеры, управляемые CrowdStrike, настройте соединитель репликатора данных Falcon (CrowdStrike-Managed AWS S3).
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CrowdStrike_Additional_Events_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Поддерживается корпорацией Майкрософт
Этот соединитель позволяет получать данные FDR в Microsoft Sentinel с помощью Azure Functions для поддержки оценки потенциальных рисков безопасности, анализа действий совместной работы, идентификации проблем конфигурации и других операционных аналитических сведений.
NOTE:
1. Лицензия CrowdStrike FDR должна быть доступна и включена.
2. Соединитель использует проверку подлинности на основе ключа и секрета и подходит для управляемых контейнеров CrowdStrike.
3. В средах, использующих полностью принадлежащий контейнер AWS S3, корпорация Майкрософт рекомендует использовать соединитель репликатора данных Falcon (AWS S3).
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CrowdStrikeReplicatorV2 |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные или разрешения учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Дополнительные сведения см. в статье о вытягивании данных. Чтобы начать, обратитесь в службу поддержки CrowdStrike. По запросу он создаст управляемый контейнер Amazon Web Services (AWS) CrowdStrike S3 для краткосрочных целей хранения, а также учетную запись SQS (простая служба очередей) для мониторинга изменений в контейнере S3.
Системный журнал CTERA
Поддерживается:CTERA
Соединитель данных CTERA для Microsoft Sentinel предлагает возможности мониторинга и обнаружения угроз для решения CTERA. В ней содержится книга, визуализируя сумму всех операций на тип, удаление и запрещенный доступ. Он также предоставляет аналитические правила, которые обнаруживают инциденты программ-шантажистов и оповещают вас о том, что пользователь заблокирован из-за подозрительной активности программ-шантажистов. Кроме того, он помогает определить критически важные шаблоны, такие как массовый доступ к запрещенным событиям, массовым удалениям и изменениям в массовом разрешении, что обеспечивает упреждающее управление угрозами и реагирование.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Syslog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
CTM360 CyberBlindSpot (бессерверный)
Поддерживается:Cyber Threat Management 360
Соединитель CTM360 Cyber Blind Spot (CBS) обеспечивает интеграцию с платформой CBS CTM360 для приема данных безопасности в 6 типах модулей: инциденты, журналы вредоносных программ, взломаемые учетные данные, скомпрометированные карточки, нарушение домена и нарушение поддомена. Этот соединитель использует платформу CCF без кода для сбора бессерверных данных.
Типы данных:
- CBSLog_AzureV2_CL
- CBS_MalwareLogs_AzureV2_CL
- CBS_BreachedCredentials_AzureV2_CL
- CBS_CompromisedCards_AzureV2_CL
- CBS_DomainInfringement_AzureV2_CL
- CBS_SubdomainInfringement_AzureV2_CL
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CBSLog_AzureV2_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Ключ API CBS CTM360: для подключения к конечной точке API CBS требуется действительный ключ API CTM360 Cyber Blind Spot.
CTM360 HackerView (бессерверный)
Поддерживается:Cyber Threat Management 360
Соединитель HackerView CTM360 позволяет получать проблемы безопасности и уязвимости из платформы Управления внешними атаками HackerView в Microsoft Sentinel. Этот бессерверный соединитель использует REST API для автоматического извлечения данных о проблемах для анализа и корреляции с другими событиями безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
HackerViewLog_AzureV2_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Ключ API HackerView: требуется действительный ключ API HackerView с разрешениями на доступ к данным о проблемах.
Пользовательские журналы через AMA
Поддерживается корпорацией Майкрософт
Многие приложения регистрируют сведения о текстовых или JSON-файлах вместо стандартных служб ведения журнала, таких как Windows журналы событий, системный журнал или CEF. Соединитель данных пользовательских журналов позволяет собирать события из файлов как на Windows, так и на компьютерах Linux и передавать их в созданные вами пользовательские таблицы журналов. При потоковой передаче данных можно анализировать и преобразовывать содержимое с помощью DCR. После сбора данных можно применять аналитические правила, охоту, поиск, аналитику угроз, обогащение и многое другое.
ПРИМЕЧАНИЕ. Используйте этот соединитель для следующих устройств: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, Apache HTTP server, Apache Tomcat, Jboss Enterprise application platform, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP server, Oracle Weblogic server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP и AI vectra stream.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
JBossEvent_CL |
нет | нет |
JuniperIDP_CL |
Да | Да |
ApacheHTTPServer_CL |
Да | Да |
Tomcat_CL |
Да | Да |
meraki_CL |
Да | Да |
VectraStream_CL |
нет | нет |
MarkLogicAudit_CL |
нет | нет |
MongoDBAudit_CL |
Да | Да |
NGINX_CL |
Да | Да |
OracleWebLogicServer_CL |
Да | Да |
PostgreSQL_CL |
Да | Да |
SquidProxy_CL |
Да | Да |
Ubiquiti_CL |
Да | Да |
vcenter_CL |
Да | Да |
ZPA_CL |
Да | Да |
SecurityBridgeLogs_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Permissions. Чтобы собирать данные из виртуальных машин, отличных от Azure, они должны быть установлены и включены Azure Arc.
Подробнее
Аудит CyberArk
Поддерживается поддержкой:CyberArk
Соединитель данных аудита CyberArk позволяет Microsoft Sentinel получать журналы событий безопасности и другие события из службы аудита CyberArk через REST API. Эта интеграция помогает обнаруживать потенциальные риски безопасности, отслеживать действия пользователей, анализировать шаблоны совместной работы, устранять неполадки конфигурации и получать более подробные сведения о среде.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyberArk_AuditEvents_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Платформа службы аудита CyberArk: доступ к необходимым конфигурациям на платформе CyberArk Audit
CyberArkAudit (с помощью Azure Functions)
Поддерживается поддержкой:CyberArk
Соединитель данных CyberArk Audit предоставляет возможность получать журналы событий безопасности службы аудита CyberArk и другие события в Microsoft Sentinel через REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyberArk_AuditEvents_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Аудит сведений о подключениях REST API и учетных данных: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint и AuditApiBaseUrl требуются для выполнения вызовов API.
Оповещения, доступные для действий cybersixgill (с помощью функций Azure)
Поддерживается:Cybersixgill
Оповещения, доступные для действий, предоставляют настраиваемые оповещения на основе настроенных ресурсов
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyberSixgill_Alerts_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: для выполнения вызовов API требуются Client_ID и Client_Secret .
Оповещения о визуальном представлении Cyble
Поддерживается поддержкой:Cyble
Соединитель данных Cyble Vision Alerts соединитель данных CCF позволяет приему оповещений об угрозах из Cyble Vision в Microsoft Sentinel с помощью соединителя платформы соединителя без кода. Он собирает данные оповещений через API, нормализует его и сохраняет его в настраиваемой таблице для расширенного обнаружения, корреляции и ответа.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CybleVisionAlerts_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Маркер API Cyble Vision: требуется маркер API от платформы Cyble Vision.
Cyborg Security Hunter Хант пакеты охоты
Поддерживается безопасностью:Cyborg
Cyborg Security является ведущим поставщиком передовых решений по поиску угроз, с миссией по расширению возможностей организаций с передовыми технологиями и средствами совместной работы для упреждающего обнаружения и реагирования на кибер-угрозы. Флагманское предложение Cyborg Security, платформа HUNTER, объединяет мощные аналитические данные, курированное содержимое охоты на угрозы и комплексные возможности управления охотой для создания динамической экосистемы для эффективных операций охоты на угрозы.
Выполните действия, чтобы получить доступ к сообществу Cyborg Security и настроить возможности Open in Tool на платформе HUNTER.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityEvent |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Соединитель данных Cyera DSPM Microsoft Sentinel
Поддерживается:Cyera Inc
Соединитель данных Cyera DSPM позволяет подключаться к клиенту DSPM Cyera и приему классификаций, ресурсов, проблем и определений удостоверений в Microsoft Sentinel. Соединитель данных построен на платформе соединителя без кода Microsoft Sentinel и использует API Cyera для получения телеметрии DSPM Cyera после получения, можно сопоставить с событиями безопасности, создавая настраиваемые столбцы, чтобы запросы не должны анализировать его снова, что приводит к повышению производительности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyeraClassifications_CL |
нет | нет |
CyeraAssets_CL |
нет | нет |
CyeraAssets_MS_CL |
нет | нет |
CyeraIssues_CL |
нет | нет |
CyeraIdentities_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
cyFIRMA Attack Surface
Поддерживается:CYFIRMA
N/A
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaASCertificatesAlerts_CL |
Да | Да |
CyfirmaASConfigurationAlerts_CL |
Да | Да |
CyfirmaASDomainIPReputationAlerts_CL |
Да | Да |
CyfirmaASOpenPortsAlerts_CL |
Да | Да |
CyfirmaASCloudWeaknessAlerts_CL |
Да | Да |
CyfirmaASDomainIPVulnerabilityAlerts_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Интеллект бренда CYFIRMA
Поддерживается:CYFIRMA
N/A
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaBIDomainITAssetAlerts_CL |
Да | Да |
CyfirmaBIExecutivePeopleAlerts_CL |
Да | Да |
CyfirmaBIProductSolutionAlerts_CL |
Да | Да |
CyfirmaBISocialHandlersAlerts_CL |
Да | Да |
CyfirmaBIMaliciousMobileAppsAlerts_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
CYFIRMA Скомпрометированные учетные записи
Поддерживается:CYFIRMA
Соединитель данных CYFIRMA Скомпрометированных учетных записей обеспечивает простое прием журналов из API DeCYFIR/DeTCT в Microsoft Sentinel. В основе платформы соединителей без кода Microsoft Sentinel используется API DeCYFIR/DeTCT для получения журналов. Кроме того, он поддерживает преобразования времени приема данных на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость синтаксического анализа во время запроса, повышения производительности и эффективности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaCompromisedAccounts_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Киберразведка CYFIRMA
Поддерживается:CYFIRMA
Соединитель данных киберразведки CYFIRMA обеспечивает простое прием журналов из API DeCYFIR в Microsoft Sentinel. В основе платформы соединителей без кода Microsoft Sentinel используется API оповещений DeCYFIR для получения журналов. Кроме того, он поддерживает преобразования времени приема данных на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость синтаксического анализа во время запроса, повышения производительности и эффективности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaIndicators_CL |
Да | Да |
CyfirmaThreatActors_CL |
Да | Да |
CyfirmaCampaigns_CL |
Да | Да |
CyfirmaMalware_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Цифровой риск CYFIRMA
Поддерживается:CYFIRMA
Соединитель данных CYFIRMA Digital Risk Alerts обеспечивает простое прием журналов из API DeCYFIR/DeTCT в Microsoft Sentinel. В основе платформы соединителей без кода Microsoft Sentinel используется API оповещений DeCYFIR для получения журналов. Кроме того, он поддерживает преобразования времени приема данных на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость синтаксического анализа во время запроса, повышения производительности и эффективности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaDBWMPhishingAlerts_CL |
Да | Да |
CyfirmaDBWMRansomwareAlerts_CL |
Да | Да |
CyfirmaDBWMDarkWebAlerts_CL |
Да | Да |
CyfirmaSPESourceCodeAlerts_CL |
Да | Да |
CyfirmaSPEConfidentialFilesAlerts_CL |
Да | Да |
CyfirmaSPEPIIAndCIIAlerts_CL |
Да | Да |
CyfirmaSPESocialThreatAlerts_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Аналитика уязвимостей CYFIRMA
Поддерживается:CYFIRMA
Соединитель данных аналитики уязвимостей CYFIRMA обеспечивает простое прием журналов из API DeCYFIR в Microsoft Sentinel. В основе платформы соединителей Microsoft Sentinel без кода используется API CYFIRMA для получения журналов. Кроме того, он поддерживает преобразования времени приема данных на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость синтаксического анализа во время запроса, повышения производительности и эффективности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaVulnerabilities_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
События безопасности Cynerio
Поддерживается:Cynerio
Соединитель Cynerio позволяет легко подключать события безопасности Cynerio с Microsoft Sentinel для просмотра событий IDS. Это дает более подробное представление о настройке сетевой безопасности организации и улучшении возможностей операций безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CynerioEvent_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Аналитика угроз Cyren
Поддерживается:Data443 Risk Mitigation, Inc.
Прием индикаторов репутации IP-адресов и URL-адресов вредоносных программ из Cyren с помощью Common Connector Framework (CCF).
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cyren_Indicators_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Cyren JWT Token: токены JWT, хранящиеся в Azure Key Vault или предоставленные во время развертывания.
Соединитель Darktrace для REST API Microsoft Sentinel
Поддерживается:Darktrace
Соединитель REST API Darktrace отправляет события в режиме реального времени из Darktrace в Microsoft Sentinel и предназначен для использования с решением Darktrace для Sentinel. Соединитель записывает журналы в пользовательскую таблицу журналов с названием "darktrace_model_alerts_CL". Нарушения модели, инциденты, выявленные ИИ-аналитиком, системные оповещения и оповещения по электронной почте могут быть обработаны. Дополнительные фильтры можно настроить на странице конфигурации системы Darktrace. Данные отправляются в Sentinel с основных серверов Darktrace.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
darktrace_model_alerts_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Предварительные требования darktrace: для использования этого соединителя данных требуется главный мастер Darktrace под управлением версии 5.2+ . Данные отправляются в API сборщика данных HTTP Azure Monitor API сборщика данных HTTP по протоколу HTTPs из мастеров Darktrace, поэтому требуется исходящее подключение из мастера Darktrace в Microsoft Sentinel REST API.
- Фильтрация данных Darktrace: во время настройки можно настроить дополнительную фильтрацию на странице "Конфигурация системы Darktrace", чтобы ограничить объем или типы отправленных данных.
-
Try решение Darktrace Sentinel: вы можете получить большую часть этого соединителя, установив решение Darktrace для Microsoft Sentinel. Это позволит книгам визуализировать данные оповещений и правила аналитики для автоматического создания оповещений и инцидентов из нарушений модели Darktrace и инцидентов аналитика ИИ.
DataBa
Поддерживается:Datastore
Соединитель DataMware предоставляет возможность отправки данных телеметрии платформы в режиме реального времени из среды DataMware непосредственно в Microsoft Sentinel с помощью шаблона push-отправки без кода (CCF). Этот соединитель выполняет прием журналов аудита, операционных оповещений и инвентаризации устройств в пользовательские таблицы Log Analytics для анализа, оповещения и визуализации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
databahn_audit_logs_CL |
нет | нет |
databahn_alerts_CL |
нет | нет |
databahn_device_inventory_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Datalake2Sentinel
Поддерживается:Orange Cyberdefense
Это решение устанавливает соединитель Datalake2Sentinel, созданный с помощью платформы CTI без кода, и позволяет автоматически прием индикаторов аналитики угроз из Datalake Orange Cyberdefense платформы CTI в Microsoft Sentinel через REST API индикаторов отправки. После установки решения настройте и включите этот соединитель данных, следуя инструкциям в представлении решения "Управление".
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Dataminr Pulse Alerts Connector (с помощью Azure Functions)
Поддержка:Dataminr
Соединитель данных Dataminr Pulse Alerts Data Connector обеспечивает аналитику, на основе искусственного интеллекта в режиме реального времени, в Microsoft Sentinel для ускорения обнаружения угроз и реагирования.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DataminrPulse_Alerts_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Azure подписка: Azure подписка с ролью владельца требуется для регистрации приложения в Microsoft Entra ID и назначения роли участника в группе ресурсов.
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- Обязательные учетные данные и разрешения Dataminr:
a. У пользователей должен быть допустимый идентификатор клиента API Dataminr Pulse и секрет для использования этого соединителя данных.
b. На веб-сайте Dataminr Pulse Watchlist необходимо настроить один или несколько списков отслеживания пульса Dataminr.
Datawiza DAP
Поддерживается:Datawiza Technology Inc.
Подключает журналы DAP Datawiza к Azure Log Analytics через интерфейс REST API
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
datawizaserveraccess_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Derdack SIGNL4
Поддерживается:Derdack
Когда критически важные системы завершаются сбоем или инцидентами безопасности, SIGNL4 перестраивает "последнюю милю" сотрудникам, инженерам, ИТ-администраторам и работникам в этой области. Он добавляет в службы, системы и процессы в режиме реального времени в режиме реального времени. SIGNL4 уведомляет о постоянной мобильной отправке, SMS-тексте и голосовых звонках с подтверждением, отслеживанием и эскалацией. Интегрированное планирование обязанностей и смены гарантирует, что правильные люди оповещены в нужное время.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityIncident |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Digital Shadows Searchlight (с помощью Azure Functions)
Поддерживается:Цифровые тени
Соединитель данных Digital Shadows обеспечивает прием инцидентов и оповещений от цифрового средства поиска теней в Microsoft Sentinel с помощью REST API. Соединитель предоставит сведения об инцидентах и оповещениях, чтобы помочь в изучении, диагностике и анализе потенциальных рисков и угроз безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DigitalShadows_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: идентификатор учетной записи Digital Shadows, секрет и ключ необходимы. Дополнительные сведения об API см. в
https://portal-digitalshadows.com/learn/searchlight-api/overview/descriptionдокументации.
DNS
Поддерживается корпорацией Майкрософт
Соединитель журналов DNS позволяет легко подключать журналы аналитики и аудита DNS с Microsoft Sentinel и другими связанными данными, чтобы улучшить исследование.
Если включить коллекцию журналов DNS, вы можете:
- Определите клиентов, пытающихся устранить вредоносные доменные имена.
- Определение устаревших записей ресурсов.
- Определите часто запрашиваемые доменные имена и разговорные DNS-клиенты.
- Просмотр нагрузки запросов на DNS-серверах.
- Просмотр динамических сбоев регистрации DNS.
Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DnsEvents |
Да | Да |
DnsInventory |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Соединитель данных Doppel
Поддерживается:Doppel
Соединитель данных основан на Microsoft Sentinel для событий и оповещений Doppel и поддерживает преобразования времени приема данных на < основе DCR> приема времени, который анализирует полученные данные событий безопасности в настраиваемые столбцы, чтобы запросы не нуждались в повторном анализе, что привело к повышению производительности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DoppelTable_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft Entra идентификатор клиента, идентификатор клиента и секрет клиента: Microsoft Entra ID требуется идентификатор клиента и секрет клиента для проверки подлинности приложения. Кроме того, для назначения зарегистрированному приложению роли издателя метрик мониторинга группы ресурсов требуется уровень доступа глобального администратора или владельца.
-
Requires Workspace ID, DCE-URI, DCR-ID: необходимо получить идентификатор рабочей области Log Analytics, URI приема журналов DCE и неизменяемый идентификатор DCR для конфигурации.
Перетаскивание уведомлений через Cloud Sitestore
Поддерживается:Dragos Inc
Dragos Platform является ведущей промышленной платформой кибербезопасности, она предлагает комплексное обнаружение кибер-угроз операционной технологии (OT), созданное неоценимым опытом промышленной кибербезопасности. Это решение позволяет просматривать данные уведомлений dragos Platform в Microsoft Sentinel, чтобы аналитики безопасности могли просматривать потенциальные события кибербезопасности, происходящие в их промышленных средах.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DragosAlerts_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Доступ к API Dragos Sitestore: учетная запись пользователя Sitestore с разрешением
notification:read. Эта учетная запись также должна иметь ключ API, который можно предоставить Sentinel.
Соединитель событий Druva
Поддерживается:Druva Inc
Предоставляет возможность приема событий Druva из API Druva
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DruvaSecurityEvents_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Доступ к API Druva: ДЛЯ проверки подлинности API Druva требуется идентификатор клиента и секрет клиента.
Dynamics 365 Finance и Operations
Поддерживается корпорацией Майкрософт
Dynamics 365 для финансов и операций — это комплексное решение для планирования ресурсов предприятия (ERP), которое объединяет финансовые и операционные возможности, помогающие предприятиям управлять своими повседневными операциями. Он предлагает ряд функций, позволяющих предприятиям оптимизировать рабочие процессы, автоматизировать задачи и получить аналитические сведения о производительности операций.
Соединитель данных Dynamics 365 Finance и операций выполняет прием Dynamics 365 Finance и действий администратора операций и журналов аудита, а также журналов бизнес-процессов и действий приложений в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
FinanceOperationsActivity_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Microsoft Entra регистрация приложения: идентификатор клиента приложения и секрет, используемые для доступа к Dynamics 365 Finance и операциям.
Dynamics365
Поддерживается корпорацией Майкрософт
Соединитель действий common Data Service (CDS) Dynamics 365 предоставляет сведения о действиях администратора, пользователя и поддержки, а также событиях ведения журнала Microsoft Social Engagement. Подключив журналы Dynamics 365 CRM к Microsoft Sentinel, вы можете просматривать эти данные в книгах, использовать его для создания пользовательских оповещений и улучшения процесса исследования.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Dynamics365Activity |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Атаки Dynatrace
Поддерживается:Dynatrace
Этот соединитель использует REST API атак Dynatrace для приема обнаруженных атак в Microsoft Sentinel Log Analytics
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceAttacks_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace с включенным приложением Application Security , узнайте больше о платформе Dynatrace.
-
Маркер доступа Dynatrace: вам нужен маркер доступа Dynatrace, маркер должен иметь область атак чтения (атаки.read ).
Журналы аудита Dynatrace
Поддерживается:Dynatrace
Этот соединитель использует REST API Dynatrace Audit Logs для приема журналов аудита клиента в Microsoft Sentinel Log Analytics
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceAuditLogs_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace, чтобы узнать больше о платформе Dynatrace Start your free пробной версии.
-
Маркер доступа Dynatrace: требуется маркер доступа Dynatrace, маркер должен иметь область "Чтение журналов аудита " (auditLogs.read).
Проблемы dynatrace
Поддерживается:Dynatrace
Этот соединитель использует REST API Dynatrace для приема событий проблем в Microsoft Sentinel Log Analytics
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceProblems_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace, чтобы узнать больше о платформе Dynatrace Start your free пробной версии.
-
Маркер доступа Dynatrace: вам нужен маркер доступа Dynatrace, маркер должен иметь область чтения (problems.read ).
Уязвимости среды выполнения Dynatrace
Поддерживается:Dynatrace
Этот соединитель использует REST API Dynatrace Security API для приема обнаруженных уязвимостей среды выполнения в Microsoft Sentinel Log Analytics.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceSecurityProblems_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace с включенным приложением Application Security , узнайте больше о платформе Dynatrace.
-
Маркер доступа Dynatrace: требуется маркер доступа Dynatrace, маркер должен иметь область безопасности чтения (securityProblems.read).
Агент Elastic (автономный)
Поддерживается корпорацией Майкрософт
Соединитель данных Elastic Agent предоставляет возможность приема журналов эластичных агентов, метрик и данных безопасности в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ElasticAgentEvent |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Включите настраиваемые предварительные требования, если для подключения требуется - в противном случае удалите таможни: описание любого пользовательского предварительного требования
События безопасности браузера Ermes
Поддерживается:Ermes Cyber Security S.p.A.
События безопасности браузера Ermes
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ErmesBrowserSecurityEvents_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Идентификатор клиента Ermes и секрет клиента: включение доступа к API в Ermes. Обратитесь в службу поддержки кибербезопасности Ermes , чтобы получить дополнительные сведения.
Защита платформы ESET (с помощью функций Azure)
Поддерживается интеграциями:ESET Enterprise
Соединитель данных ESET Protect Platform позволяет пользователям внедрять данные обнаружения из ESET Protect Platform с помощью предоставленного rest API Integration REST API. REST API интеграции выполняется как запланированное приложение-функция Azure.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
IntegrationTable_CL |
Да | Да |
IntegrationTableIncidents_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- Permission для регистрации приложения в Microsoft Entra ID: требуются достаточные разрешения для регистрации приложения в клиенте Microsoft Entra.
-
Permission для назначения роли зарегистрированным приложению: требуется разрешение на назначение роли издателя метрик мониторинга зарегистрированным приложению в Microsoft Entra ID.
Локальный сборщик Аналитики безопасности Exchange
Поддерживается:Community
Соединитель, используемый для отправки конфигурации локальной безопасности Exchange для анализа Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ESIExchangeConfig_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Учетная запись службы с ролью управления организацией: учетная запись службы, которая запускает скрипт в качестве запланированной задачи, должна иметь возможность получения всех необходимых сведений о безопасности.
-
Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.
Exchange Security Insights Online Collector (с помощью Azure Functions)
Поддерживается:Community
Соединитель, используемый для отправки конфигурации безопасности Exchange Online для анализа Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ESIExchangeOnlineConfig_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- microsoft.automation/automationaccounts permissions: требуется разрешение на чтение и запись для создания Azure Automation с модуля Runbook. Дополнительные сведения см. в разделе "Учетная запись службы автоматизации".
- разрешения Microsoft.Graph. Разрешения Groups.Read, Users.Read и Auditing.Read требуются для получения сведений о пользователях или группах, связанных с назначениями Exchange Online. Дополнительные сведения см. в документации.
Exchange Online разрешения : разрешение Exchange.ManageAsApp иGlobal Reader или < Для получения Exchange Online конфигурации безопасности.See документации, чтобы узнать больше > Роль требуется.-
(Необязательно) Разрешения хранилища журналов: участник данных BLOB-объектов хранилища в учетную запись хранения, связанную с управляемым удостоверением учетной записи службы автоматизации, или идентификатор приложения является обязательным для хранения журналов. Дополнительные сведения см. в документации.
Соединитель данных обнаружения дополнительных перехватчиков (с помощью функций Azure)
Поддерживается поддержкой:ExtraHop
Соединитель данных ExtraHop Обнаружения данных позволяет импортировать данные обнаружения из ExtraHop RevealX для Microsoft Sentinel с помощью полезных данных веб-перехватчика.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ExtraHop_Detections_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Azure подписка: Azure подписка с ролью владельца требуется для регистрации приложения в Microsoft Entra ID и назначения роли участника в группе ресурсов.
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Разрешения ExtraHop RevealX: для системы ExtraHop RevealX требуется следующее: 1.Система RevealX должна работать под управлением встроенного ПО версии 9.9.2 или более поздней.
2.Система RevealX должна быть подключена к облачным службам ExtraHop.
3.Ваша учетная запись пользователя должна иметь права системного администрирования в RevealX 360 или полной записи в RevealX Enterprise.
F5 BIG-IP
Поддерживается сетями:F5
Соединитель брандмауэра F5 позволяет легко подключать журналы F5 к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
F5Telemetry_LTM_CL |
нет | нет |
F5Telemetry_system_CL |
Да | Да |
F5Telemetry_ASM_CL |
нет | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Веб-канал Интернета вещей
Поддерживается:Feedly Inc
Соединитель данных Feedly IoC предоставляет возможность приема индикаторов компрометации (IoCs) из API канала в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
feedly_indicators_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Доступ к API веб-канала. Требуется доступ к API веб-канала. Вам нужен маркер API веб-канала с доступом к потокам IoC, которые вы хотите принять. Создание маркера API в https://feedly.com/i/team/api
Соединитель push-уведомлений Flare
Поддерживается:Flare
Соединитель Flare предоставляет возможность приема данных аналитики угроз и раскрытия данных из Flare в Microsoft Sentinel. Flare идентифицирует цифровые ресурсы вашей компании, которые были общедоступными из-за человеческих ошибок или вредоносных атак, включая утечку учетных данных, открытые облачные контейнеры, упоминания темного веб-сайта и многое другое.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
FireworkV2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR).
-
Flare: разрешение на настройку интеграции Microsoft Sentinel в Flare.
Принудительное защита от потери данных
Поддерживается:Community
Соединитель Forcepoint DLP (Защита от потери данных) позволяет автоматически экспортировать данные инцидентов защиты от потери данных из Forcepoint DLP в Microsoft Sentinel в режиме реального времени. Это расширяет видимость действий пользователей и инцидентов потери данных, обеспечивает дополнительную корреляцию с данными из рабочих нагрузок Azure и других веб-каналов и улучшает возможности мониторинга с помощью книг внутри Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ForcepointDLPEvents_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Предразведчик
Поддерживается корпорацией Майкрософт
Соединитель данных Forescout предоставляет возможность приема событий Forescout в Microsoft Sentinel. Дополнительные сведения см. в документации Forescout.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ForescoutEvent |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Монитор свойств узла Forescout
Поддерживается корпорацией Майкрософт
Соединитель монитора свойств узла Forescout позволяет подключать свойства узла из платформы Forescout с помощью Microsoft Sentinel, просматривать, создавать пользовательские инциденты и улучшать исследование. Это дает более подробную информацию о сети организации и улучшает возможности операций безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ForescoutHostProperties_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- требование Forescout Plugin. Убедитесь, что подключаемый модуль Forescout Microsoft Sentinel запущен на платформе Forescout
Fortinet FortiNDR Cloud
Поддерживается:Fortinet
Соединитель данных Fortinet FortiNDR Cloud предоставляет возможность приема данных Fortinet FortiNDR Cloud в Microsoft Sentinel с помощью облачного API FortiNDR
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
FncEventsSuricata_CL |
нет | нет |
FncEventsObservation_CL |
нет | нет |
FncEventsDetections_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- Учетные данные MetaStream: идентификатор ключа доступа AWS, секретный ключ доступа AWS, код облачной учетной записи FortiNDR требуется для получения данных о событиях.
-
Учетные данные API: маркер API FortiNDR Cloud API, для получения данных обнаружения требуются идентификаторы UUID облачной учетной записи FortiNDR .
Поддерживается:Гаррисон
Соединитель Garrison ULTRA Удаленные журналы позволяет приему удаленных журналов Garrison ULTRA в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Garrison_ULTRARemoteLogs_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Гаррисон УЛЬТРА: чтобы использовать этот соединитель данных, необходимо иметь активную лицензию Garrison ULTRA .
GCP Cloud Run (с помощью платформы соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных GCP Cloud Run предоставляет возможность приема журналов запросов cloud Run в Microsoft Sentinel с помощью Pub/Sub. Дополнительные сведения см. в обзоре Cloud Run.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPCloudRun |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
GCP Cloud SQL (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных GCP Cloud SQL предоставляет возможность приема журналов аудита в Microsoft Sentinel с помощью API GCP Cloud SQL. Дополнительные сведения см. в документации по журналам аудита Cloud SQL GCP.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPCloudSQL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Журналы аудита gCP Pub/Sub
Поддерживается корпорацией Майкрософт
Журналы аудита Google Cloud Platform (GCP), полученные из соединителя Microsoft Sentinel, позволяют записывать три типа журналов аудита: журналы действий администратора, журналы доступа к данным и журналы прозрачности доступа. Журналы аудита облака Google записывают след, который практикующие специалисты могут использовать для мониторинга доступа и обнаружения потенциальных угроз в ресурсах Google Cloud Platform (GCP).
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPAuditLogs |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
GCP Pub/Sub Load Balancer журналы (через платформу соединителей без кода).
Поддерживается корпорацией Майкрософт
Google Cloud Platform (GCP) Load Balancer журналы предоставляют подробные сведения о сетевом трафике, захватывая как входящие, так и исходящие действия. Эти журналы используются для мониторинга шаблонов доступа и выявления потенциальных угроз безопасности в ресурсах GCP. Кроме того, эти журналы также включают журналы GCP Web Application Firewall (WAF), повышая способность эффективно обнаруживать и устранять риски.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPLoadBalancerLogs_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Журналы потоков GCP Pub/Sub VPC (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Журналы потоков VPC Google Cloud Platform (GCP) позволяют отслеживать активность сетевого трафика на уровне VPC, позволяя отслеживать шаблоны доступа, анализировать производительность сети и обнаруживать потенциальные угрозы в ресурсах GCP.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPVPCFlow |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Соединитель Gigamon AMX
Поддерживается:Gigamon
Соединитель Gigamon предоставляет возможность считывать необработанные данные событий из Gigamon в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GigamonV2_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей
GitHub (с помощью веб-перехватчиков)
Поддерживается корпорацией Майкрософт
Соединитель данных веб-перехватчика GitHub предоставляет возможность приема GitHub подписанных событий в Microsoft Sentinel с помощью событий веб-перехватчика GitHub. Соединитель предоставляет возможность получать события в Microsoft Sentinel, что помогает изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации и многое другое.
Note: Если вы намерены принять журналы аудита Github, см. раздел GitHub Enterprise Audit Log Connector из коллекции "Data Connectors".
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
githubscanaudit_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
GitHub Корпоративный журнал аудита (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель журнала аудита GitHub предоставляет возможность приема GitHub журналов в Microsoft Sentinel. Подключив журналы аудита GitHub к Microsoft Sentinel, эти данные можно просмотреть в книгах, использовать его для создания пользовательских оповещений и улучшения процесса исследования.
Note: Если вы намерены принять GitHub подписанных событий в Microsoft Sentinel, обратитесь к коллекции соединителей GitHub (с помощью веб-перехватчиков) из коллекции "Data Connectors".
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GitHubAuditLogsV2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
GitHub маркер личного доступа API. Чтобы включить опрос для журнала аудита Enterprise, убедитесь, что прошедший проверку подлинности пользователь является администратором Предприятия и имеет GitHub личный маркер доступа (классический) с областью
read:audit_log. -
GitHub тип Enterprise: этот соединитель будет работать только с GitHub Enterprise Cloud; он не будет поддерживать GitHub Enterprise Server.
Google ApigeeX (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных Google ApigeeX предоставляет возможность приема журналов аудита в Microsoft Sentinel с помощью API Apigee Google. Дополнительные сведения см. в документации по API Google Apigee .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPApigee |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Google Cloud Platform CDN (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных CDN для Google Cloud Platform предоставляет возможность приема журналов аудита Cloud CDN и журналов трафика cloud CDN в Microsoft Sentinel с помощью API подсистемы вычислений. Дополнительные сведения см. в документе обзора продукта .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPCDN |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Google Cloud Platform Cloud IDS (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных Google Cloud Platform IDS предоставляет возможность приема журналов трафика Cloud IDS, журналов угроз и журналов аудита в Microsoft Sentinel с помощью API Google Cloud IDS. Дополнительные сведения см. в документации по API Cloud IDS .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPIDS |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Google Cloud Platform Cloud Monitoring (с помощью платформы соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных google Cloud Platform Cloud Monitoring использует журналы мониторинга из Google Cloud в Microsoft Sentinel с помощью API мониторинга облака Google. Дополнительные сведения см. в документации по API облачного мониторинга .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPMonitoring |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Подсистема вычислений Google Cloud Platform (с помощью платформы соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных вычислительной подсистемы Google Cloud Platform предоставляет возможность приема журналов аудита вычислительных подсистем в Microsoft Sentinel с помощью API Cloud Compute Engine Google. Дополнительные сведения см. в документации по API cloud Compute Engine .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPComputeEngine |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Google Cloud Platform DNS (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных DNS Google Cloud Platform предоставляет возможность приема журналов облачных запросов DNS и журналов аудита облачных DNS в Microsoft Sentinel с помощью API DNS Google Cloud. Дополнительные сведения см. в документации по API Облачных DNS .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPDNS |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Google Cloud Platform IAM (с помощью codeless Connector Framework)
Поддерживается корпорацией Майкрософт
Соединитель данных Google Cloud Platform IAM предоставляет возможность приема журналов аудита, связанных с действиями управления удостоверениями и доступом (IAM) в Google Cloud в Microsoft Sentinel с помощью API Google IAM. Дополнительные сведения см. в документации по API IAM GCP .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPIAM |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Google Cloud Platform NAT (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных NAT Google Cloud Platform предоставляет возможность приема журналов аудита NAT Облака и журналов трафика NAT в Microsoft Sentinel с помощью API подсистемы вычислений. Дополнительные сведения см. в документе обзора продукта .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPNATAudit |
Да | Да |
GCPNAT |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Google Cloud Platform Resource Manager (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных Google Cloud Platform Resource Manager предоставляет возможность приема журналов Resource Manager Admin Activity and Data Access Audit в Microsoft Sentinel с помощью API облачных Resource Manager. Дополнительные сведения см. в документе обзора продукта .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPResourceManager |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Модуль Google Kubernetes (с помощью платформы соединителей без кода)
Поддерживается корпорацией Майкрософт
Журналы подсистемы Google Kubernetes (GKE) позволяют записывать действия кластера, поведение рабочей нагрузки и события безопасности, позволяя отслеживать рабочие нагрузки Kubernetes, анализировать производительность и обнаруживать потенциальные угрозы в кластерах GKE.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GKEAudit |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Центр управления безопасностью Google
Поддерживается корпорацией Майкрософт
Центр управления безопасностью Google Cloud Platform (GCP) — это комплексная платформа управления безопасностью и рисками для Google Cloud, полученная из соединителя Sentinel. Он предлагает такие функции, как инвентаризация активов и их обнаружение, обнаружение уязвимостей и угроз, а также смягчение и исправление рисков, которые помогут вам получить представление о безопасности и потенциальных угрозах для данных вашей организации. Эта интеграция позволяет выполнять задачи, связанные с выводами и ресурсами более эффективно.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GoogleCloudSCC |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Действия рабочей области Google (через платформу соединителя без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных Google Workspace Действия предоставляет возможность приема событий действий из API Google Workspace API в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GoogleWorkspaceReports |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Доступ к API рабочей области Google. Требуется доступ к API действий Google Workspace через Oauth.
Аналитика угроз GreyNoise
Поддерживается:GreyNoise
Этот соединитель данных устанавливает приложение-функцию Azure для скачивания индикаторов GreyNoise один раз в день и вставляет их в таблицу ThreatIntelligenceIndicator в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Ключ API GreyNoise: получите ключ API GreyNoiseздесь.
Соединитель Halcyon
Поддерживается:Halcyon
Соединитель Halcyon предоставляет возможность отправлять данные из Halcyon в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
HalcyonAuthenticationEvents_CL |
Да | Да |
HalcyonDnsActivity_CL |
Да | Да |
HalcyonFileActivity_CL |
Да | Да |
HalcyonNetworkSession_CL |
Да | Да |
HalcyonProcessEvent_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft Entra создание разрешений. Разрешения для создания регистрации приложения в Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
-
Разрешения назначения ролей: разрешения на запись, необходимые для назначения роли издателя метрик мониторинга правилу сбора данных (DCR). Обычно требуется роль "Владелец" или "Администратор доступа пользователей" на уровне группы ресурсов.
Данные ресурса безопасности Holm (с помощью функций Azure)
Поддерживается:Holm Security
Соединитель предоставляет возможность опроса данных из Центра безопасности Holm в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
net_assets_CL |
нет | нет |
web_assets_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Holm Security API Token: требуется токен Holm Security API.
Токен API безопасности Holm
IIS журналов серверов Microsoft Exchange
Поддерживается:Community
[Вариант 5]. Использование агента Azure Monitor — вы можете передавать все журналы IIS из компьютеров Windows, подключенных к рабочей области Microsoft Sentinel с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
W3CIISLog |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
Illumio Insights
Поддерживается:Illumio
Соединитель данных Illumio Insights позволяет получать журналы из API Illumio в Microsoft Sentinel. Соединитель данных основан на Microsoft Sentinel Codeless Connector Framework. Он использует API Illumio для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не должны анализировать их снова, что приводит к повышению производительности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
IlumioInsights |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Сводка по Аналитике Illumio
Поддерживается:Illumio
Соединитель сводных данных Illumio Insights предоставляет возможность приема отчетов Illumio аналитики безопасности и анализа угроз в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API Illumio . Соединитель предоставляет возможность получать ежедневные и еженедельные сводные отчеты из Illumio и визуализировать их в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
IllumioInsightsSummary_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Доступ к API Illumio: доступ к API Illumio требуется для api сводки Illumio Insights.
Illumio SaaS (с помощью Azure Functions)
Поддерживается:Illumio
соединитель Illumio предоставляет возможность приема событий в Microsoft Sentinel. Соединитель предоставляет возможность приема событий аудита и потоков из контейнера AWS S3.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Illumio_Auditable_Events_CL |
Да | Да |
Illumio_Flow_Events_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- Учетные данные или разрешения учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Если вы используете контейнер s3, предоставляемый Illumio, обратитесь в службу поддержки Illumio. По запросу они предоставят вам имя контейнера AWS S3, URL-адрес AWS SQS и учетные данные AWS для доступа к ним.
-
Ключ и секрет API Illumio: ILLUMIO_API_KEY, ILLUMIO_API_SECRET требуется для работы книги, чтобы подключиться к SaaS PCE и получить ответы API.
Imperva Cloud WAF (с помощью Azure Functions)
Поддерживается корпорацией Майкрософт
Соединитель данных Imperva Cloud WAF предоставляет возможность интеграции и приема событий Web Application Firewall в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по интеграции с журналами. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ImpervaWAFCloud_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI требуются для API. Дополнительные сведения см. в разделе "Настройка процесса интеграции журналов". Проверьте все требования и следуйте инструкциям по получению учетных данных. Обратите внимание, что этот соединитель использует формат события журнала CEF.
Дополнительные сведения о формате журнала.
Infoblox Cloud Data Connector через AMA
Поддерживается:Infoblox
Соединитель облачных данных Infoblox позволяет легко подключать данные Infoblox к Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами корреляции поиска, оповещения и обогащения аналитики угроз для каждого журнала.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Соединитель данных Infoblox через REST API
Поддерживается:Infoblox
Соединитель данных Infoblox позволяет легко подключать данные TIDE Infoblox и данные Dossier с помощью Microsoft Sentinel. Подключив данные к Microsoft Sentinel, вы можете воспользоваться преимуществами корреляции поиска, оповещений и обогащения аналитики угроз для каждого журнала.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Failed_Range_To_Ingest_CL |
нет | нет |
Infoblox_Failed_Indicators_CL |
нет | нет |
dossier_whois_CL |
нет | нет |
dossier_whitelist_CL |
нет | нет |
dossier_tld_risk_CL |
нет | нет |
dossier_threat_actor_CL |
нет | нет |
dossier_rpz_feeds_records_CL |
нет | нет |
dossier_rpz_feeds_CL |
нет | нет |
dossier_nameserver_matches_CL |
нет | нет |
dossier_nameserver_CL |
нет | нет |
dossier_malware_analysis_v3_CL |
нет | нет |
dossier_inforank_CL |
нет | нет |
dossier_infoblox_web_cat_CL |
нет | нет |
dossier_geo_CL |
нет | нет |
dossier_dns_CL |
нет | нет |
dossier_atp_threat_CL |
нет | нет |
dossier_atp_CL |
нет | нет |
dossier_ptr_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Azure подписка: Azure подписка с ролью владельца требуется для регистрации приложения в Microsoft Entra ID и назначения роли участника в группе ресурсов.
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: требуется ключ API Infoblox . Дополнительные сведения об API см. в документации по справочнику по REST API
Infoblox SOC Insights Data Connector через AMA
Поддерживается:Infoblox
Соединитель данных Infoblox SOC Insights позволяет легко подключать данные Infoblox BloxOne SOC Insights с Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами корреляции поиска, оповещения и обогащения аналитики угроз для каждого журнала.
Этот соединитель данных отправляет журналы Infoblox SOC Insights CDC в рабочую область Log Analytics с помощью нового агента Azure Monitor. Узнайте больше о приеме с помощью нового агента Azure Monitor here. Корпорация Майкрософт рекомендует использовать этот соединитель данных.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
Соединитель данных Infoblox SOC Insights через REST API
Поддерживается:Infoblox
Соединитель данных Infoblox SOC Insights позволяет легко подключать данные Infoblox BloxOne SOC Insights с Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами корреляции поиска, оповещения и обогащения аналитики угроз для каждого журнала.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
InfobloxInsight_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Соединитель данных InfoSecGlobal
Поддерживается:InfoSecGlobal
Используйте этот соединитель данных для интеграции с InfoSec Crypto Analytics и получения данных непосредственно в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
InfoSecAnalytics_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Журналы безопасности IONIX
Поддерживается:IONIX
Соединитель данных журналов безопасности IONIX отправляет журналы из системы IONIX непосредственно в Sentinel. Соединитель позволяет пользователям визуализировать свои данные, создавать оповещения и инциденты и улучшать исследования безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyberpionActionItems_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Подписка IONIX: для журналов IONIX требуется подписка и учетная запись.
Его можно получить здесь.
Соединитель данных об злоупотреблении IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать standard_abuse наборы данных и вставить его в пользовательскую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Abuse_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных IPinfo ASN
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_ASN наборов данных и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_ASN_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных оператора IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_carrier наборов данных и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Carrier_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных компании IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать standard_company наборы данных и вставить его в пользовательскую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Company_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных IPinfo Core
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания основных наборов данных и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_CORE_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных ASN страны IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания country_asn наборов данных и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Country_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных домена IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_domain наборов данных и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Domain_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных IPinfo Iplocation
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_location наборов данных и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Location_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель расширенных данных IPinfo Iplocation
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать standard_location_extended наборы данных и вставить его в пользовательскую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Location_extended_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных IPinfo Plus
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать наборы данных Plus и вставить его в пользовательскую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_PLUS_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных конфиденциальности IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать standard_privacy наборы данных и вставить его в пользовательскую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Privacy_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель расширенных данных IPinfo Для конфиденциальности
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать standard_privacy наборы данных и вставить его в пользовательскую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Privacy_extended_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных ResProxy для IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания наборов данных ResProxy и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_RESIDENTIAL_PROXY_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных IPinfo RIRWHOIS
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания наборов данных RIRWHOIS и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_RIRWHOIS_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных RWHOIS IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания наборов данных RWHOIS и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_RWHOIS_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных IPinfo WHOIS ASN
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать WHOIS_ASN наборы данных и вставить его в пользовательскую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_ASN_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных IPinfo WHOIS MNT
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания WHOIS_MNT наборов данных и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_MNT_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных IPinfo WHOIS NET
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания WHOIS_NET наборов данных и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_NET_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных ОРГАНИЗАЦИИ IPinfo WHOIS
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания WHOIS_ORG наборов данных и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_ORG_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Соединитель данных POC IPinfo WHOIS
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания WHOIS_POC наборов данных и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_POC_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API IPinfo: получите здесь маркер API IPinfo.
Аудит администратора браузера Island Enterprise (опрос CCF)
Поддерживается:Island
Соединитель Island Admin предоставляет возможность приема журналов аудита администратора острова в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Island_Admin_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Ключ API острова: требуется ключ API острова.
Активность пользователя браузера Island Enterprise (опрос CCF)
Поддерживается:Island
Соединитель Island предоставляет возможность приема журналов действий пользователей острова в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Island_User_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Ключ API острова: требуется ключ API острова.
Соединитель push-уведомлений Jamf Protect
Поддерживается:Jamf Software, LLC
Соединитель Jamf Protect предоставляет возможность считывать необработанные данные событий из Jamf Protect в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
jamfprotecttelemetryv2_CL |
Да | Да |
jamfprotectunifiedlogs_CL |
Да | Да |
jamfprotectalerts_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей
JoeSandboxThreatIntelligence (с помощью функций Azure)
Поддерживается:Стефан Бюльманн
Соединитель JoeSandboxThreatIntelligence автоматически создает и передает аналитику угроз для всех отправк в JoeSandbox, повышая уровень обнаружения угроз и реагирования на инциденты в Sentinel. Такая бесшовная интеграция даёт командам возможность проактивно реагировать на возникающие угрозы.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Azure подписка: Azure подписка с ролью владельца требуется для регистрации приложения в azure Active Directory() и назначения роли участника приложения в группе ресурсов.
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: требуется ключ API JoeSandbox .
Соединитель push-уведомлений системы безопасности keeper
Поддерживается безопасностью:Keeper
Соединитель Keeper Security предоставляет возможность считывать необработанные данные событий из Keeper Security в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
KeeperSecurityEventNewLogs_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей
LastPass Enterprise — отчеты (опрос CCF)
Поддерживается:Коллективный консультации
Соединитель LastPass Enterprise предоставляет возможность журналов отчетов LastPass (аудит) в Microsoft Sentinel. Соединитель обеспечивает видимость имен входа и действий в LastPass (например, чтение и удаление паролей).
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
LastPassNativePoller_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Ключ API LastPass и CID: требуется ключ API LastPass и CID. Дополнительные сведения см. в разделе API LastPass.
Соединитель обнаружения мобильных угроз Lookout (с помощью платформы соединителя без кода) (предварительная версия)
Поддерживается:Lookout
Соединитель данных Lookout Mobile Threat Detection предоставляет возможность приема событий, связанных с рисками безопасности мобильных устройств, в Microsoft Sentinel через API мобильных рисков. Дополнительные сведения см. в документации по API. Этот соединитель помогает изучить потенциальные риски безопасности, обнаруженные на мобильных устройствах.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
LookoutMtdV2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
IoCs и утечка учетных данных (с использованием Azure Functions)
Поддерживается:Cognyte Luminar
Коннектор Luminar IOCs и утекших учетных данных позволяет интегрировать данные IOC, основанные на аналитике, и записи об утечках, связанные с клиентом, которые идентифицируются Luminar.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Azure подписка: Azure подписка с ролью владельца требуется для регистрации приложения в azure Active Directory() и назначения роли участника приложения в группе ресурсов.
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: идентификатор клиента Luminar, секрет клиента Luminar и идентификатор учетной записи Luminar .
MailGuard 365
Поддерживается:MailGuard 365
Улучшенная безопасность электронной почты MailGuard 365 для Microsoft 365. Эксклюзивный для Microsoft Marketplace, MailGuard 365 интегрирован с Microsoft 365 безопасностью (включительно. Defender) для повышения защиты от расширенных угроз электронной почты, таких как фишинг, программ-шантажистов и сложные атаки BEC.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MailGuard365_Threats_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
MailRisk по безопасной практике (с помощью Azure Functions)
Поддерживается:Secure Practice
Соединитель данных для отправки сообщений электронной почты из MailRisk в Microsoft Sentinel Log Analytics.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MailRiskEmails_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные API. Также требуется пара ключей API Secure Practice, которая создается в параметрах на портале администрирования. Если вы потеряли секрет API, можно создать новую пару ключей (ПРЕДУПРЕЖДЕНИЕ: любые другие интеграции с помощью старой пары ключей перестают работать).
Microsoft 365 (ранее Office 365)
Поддерживается корпорацией Майкрософт
Соединитель журнала действий Microsoft 365 (ранее Office 365) предоставляет аналитические сведения о текущих действиях пользователей. Вы получите сведения об операциях, таких как скачивание файлов, запросы на доступ, изменения в событиях группы, наборе почтовых ящиков и сведения о пользователе, выполняющем действия. Подключив журналы Microsoft 365 к Microsoft Sentinel эти данные можно использовать для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения процесса исследования. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OfficeActivity |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Управление рисками предварительной оценки Microsoft 365
Поддерживается корпорацией Майкрософт
Microsoft 365 Insider Risk Management — это решение для обеспечения соответствия требованиям в Microsoft 365, которое помогает свести к минимуму внутренние риски, позволяя обнаруживать, исследовать и действовать на вредоносных и непреднамеренных действиях в организации. Аналитики рисков в вашей организации могут быстро выполнить соответствующие действия, чтобы убедиться, что пользователи соответствуют стандартам соответствия вашей организации.
Политики внутренних рисков позволяют выполнять следующие действия.
- определите типы рисков, которые необходимо определить и обнаружить в организации.
- решите, какие действия следует предпринять в ответ, включая эскалацию случаев в Microsoft Advanced eDiscovery при необходимости.
Это решение создает оповещения, которые могут видеть клиенты Office в решении "Управление внутренними рисками" в центре соответствия требованиям Microsoft 365. Дополнительные сведения об управлении внутренними рисками.
Эти оповещения можно импортировать в Microsoft Sentinel с помощью этого соединителя, что позволяет просматривать, исследовать и реагировать на них в более широком контексте угроз организации. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Журналы событий безопасности контроллеров домена Майкрософт Active-Directory
Поддерживается:Community
[Вариант 3 и 4]. Использование -You агента Azure Monitor может передавать часть или все журналы событий безопасности контроллеров домена из компьютеров Windows, подключенных к рабочей области Microsoft Sentinel с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityEvent |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
Microsoft Copilot
Поддерживается:Microsoft
Соединитель Microsoft Copilot журналов в Microsoft Sentinel позволяет легко получать журналы действий, созданных Copilot, в Microsoft Sentinel для расширенного обнаружения угроз, исследования и реагирования. Она собирает данные телеметрии из служб Microsoft Copilot, таких как данные об использовании, запросы и системные ответы, а также приемы в Microsoft Sentinel, позволяя группам безопасности отслеживать неправильное использование, обнаруживать аномалии и поддерживать соответствие политикам организации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CopilotActivity |
нет | Да |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
Microsoft Dataverse
Поддерживается корпорацией Майкрософт
Microsoft Dataverse — это масштабируемая и безопасная платформа данных, которая позволяет организациям хранить и управлять данными, используемыми бизнес-приложениями. Соединитель данных Microsoft Dataverse предоставляет возможность приема журналов действий Dataverse и Dynamics 365 CRM из журнала аудита Microsoft Purview в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DataverseActivity |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
- Micorosft Purview Audit: необходимо активировать аудит Microsoft Purview (стандартный или премиум).
- Production Dataverse: ведение журнала действий доступно только для рабочих сред. Другие типы, такие как песочница, не поддерживают ведение журнала действий.
-
Параметры аудита dataverse: параметры аудита должны быть настроены как глобально, так и на уровне сущности или таблицы. Дополнительные сведения см. в разделе "Параметры аудита Dataverse".
Microsoft Defender для облачных приложений
Поддерживается корпорацией Майкрософт
Подключаясь к Microsoft Defender for Cloud Apps вы получите представление о облачных приложениях, получите сложную аналитику для выявления и борьбы с киберугрозами и контроля того, как перемещаются данные.
- Определение теневых ИТ-облачных приложений в сети.
- Управление и ограничение доступа на основе условий и контекста сеанса.
- Используйте встроенные или пользовательские политики для совместного использования данных и предотвращения потери данных.
- Определение использования с высоким риском и получение оповещений для необычных действий пользователей с помощью аналитики поведения Майкрософт и возможностей обнаружения аномалий, включая действия программы-шантажисты, невозможное путешествие, подозрительные правила пересылки электронной почты и массовую загрузку файлов.
- Массовая загрузка файлов
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
нет | нет |
McasShadowItReporting |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Microsoft Defender для конечной точки
Поддерживается корпорацией Майкрософт
Microsoft Defender for Endpoint — это платформа безопасности, предназначенная для предотвращения, обнаружения, исследования и реагирования на сложные угрозы. Платформа создает предупреждения, когда в организации обнаруживаются подозрительные события безопасности. Получение оповещений, созданных в Microsoft Defender for Endpoint для Microsoft Sentinel, чтобы эффективно анализировать события безопасности. Можно создавать правила, строить панели мониторинга и разрабатывать сборники схем для немедленного реагирования. Дополнительные сведения см. в документации Microsoft Sentinel >.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Microsoft Defender для удостоверений
Поддерживается корпорацией Майкрософт
Подключите Microsoft Defender for Identity, чтобы получить представление о событиях и аналитике пользователей. Microsoft Defender for Identity идентифицирует, обнаруживает и помогает исследовать расширенные угрозы, скомпрометированные удостоверения и вредоносные действия, направленные на вашу организацию. Microsoft Defender for Identity позволяет аналитикам SecOp и специалистам по безопасности обнаруживать расширенные атаки в гибридных средах:
- Мониторинг пользователей, поведения сущностей и действий с помощью аналитики на основе обучения
- Защита удостоверений пользователей и учетных данных, хранящихся в Active Directory
- Выявление и исследование подозрительных действий пользователей и расширенных атак в цепочке убийств
- Предоставление четкой информации об инциденте на простой временной шкале для быстрого выполнения
Дополнительные сведения см. в документации Microsoft Sentinel >.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Microsoft Defender для Интернета вещей
Поддерживается корпорацией Майкрософт
Получите аналитические сведения о безопасности Интернета вещей, подключив оповещения Microsoft Defender for IoT к Microsoft Sentinel. Вы можете получить встроенные метрики и данные оповещений, включая тренды для оповещений, топ оповещений и разбивку оповещений по степени серьезности. Вы также можете получить сведения о рекомендациях, предоставленных центрам Интернета вещей, включая топ рекомендаций и рекомендации по степени серьезности. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Microsoft Defender for Office 365 (предварительная версия)
Поддерживается корпорацией Майкрософт
Microsoft Defender for Office 365 защищает вашу организацию от вредоносных угроз, связанных с сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы. При приеме оповещений Microsoft Defender for Office 365 в Microsoft Sentinel можно включить сведения об угрозах на основе электронной почты и URL-адресов в более широкий анализ рисков и соответствующие сценарии реагирования на сборку.
Будут импортированы следующие типы оповещений.
- Обнаружен потенциально вредоносный URL-адрес
- Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки
- Сообщения электронной почты, содержащие фишинговые URL-адреса, удаленные после доставки
- Электронная почта, сообщаемая пользователем как вредоносная программа или фишинг
- Обнаруженные шаблоны отправки подозрительных сообщений электронной почты
- Пользователь, ограниченный от отправки электронной почты
Эти оповещения можно увидеть клиентами Office в Центре безопасности и соответствия требованиям Office**.
Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Microsoft Defender Аналитика угроз
Поддерживается корпорацией Майкрософт
Microsoft Sentinel предоставляет возможность импорта аналитики угроз, созданной корпорацией Майкрософт, для включения мониторинга, оповещения и охоты. Используйте этот соединитель данных для импорта индикаторов компрометации (IOCs) из Microsoft Defender аналитики угроз (MDTI) в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов и т. д.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Microsoft Defender XDR
Поддерживается корпорацией Майкрософт
Microsoft Defender XDR — это единый, встроенный, предварительно и после брейщовый набор защиты предприятия, который защищает конечную точку, удостоверение, электронную почту и приложения, а также помогает обнаруживать, предотвращать, исследовать и автоматически реагировать на сложные угрозы.
Microsoft Defender XDR набор включает:
- Microsoft Defender for Endpoint (средство защиты для конечных точек)
- Microsoft Defender for Identity
- Microsoft Defender для Office 365
- Управление угрозами и уязвимостями
- Microsoft Defender для облачных приложений
Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityIncident |
Да | Да |
SecurityAlert |
Да | Да |
DeviceEvents |
Да | Да |
EmailEvents |
Да | Да |
IdentityLogonEvents |
Да | Да |
CloudAppEvents |
Да | Да |
AlertEvidence |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Идентификатор Microsoft Entra
Поддерживается корпорацией Майкрософт
Получите аналитические сведения о Microsoft Entra ID путем подключения журналов аудита и входа к Microsoft Sentinel для сбора аналитических сведений о сценариях Microsoft Entra ID. Журналы входа предоставляют сведения об использовании приложений, политиках условного доступа, а также об устаревшем способе проверки подлинности. Вы можете получить сведения об использовании самостоятельного сброса пароля (SSPR), Microsoft Entra ID действия управления, такие как пользователь, группа, роль, управление приложениями с помощью таблицы журналов аудита. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SigninLogs |
Да | Да |
AuditLogs |
Да | Да |
AADNonInteractiveUserSignInLogs |
Да | Да |
AADServicePrincipalSignInLogs |
Да | Да |
AADManagedIdentitySignInLogs |
Да | Да |
AADProvisioningLogs |
Да | Да |
ADFSSignInLogs |
Да | Да |
AADUserRiskEvents |
Да | Да |
AADRiskyUsers |
Да | Да |
NetworkAccessTraffic |
Да | Да |
AADRiskyServicePrincipals |
Да | Да |
AADServicePrincipalRiskEvents |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Ресурсы идентификатора Microsoft Entra
Поддерживается корпорацией Майкрософт
Соединитель данных ресурсов идентификатора записи предоставляет более подробные сведения о данных о действиях, дополняя сведения о ресурсах. Данные из этого соединителя используются для создания графов рисков данных в Purview. Если вы включили эти графы, деактивация этого соединителя не позволит создавать графы. Узнайте о графе риска данных.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правила сбора данных: В настоящее время не поддерживается
Защита идентификаторов Microsoft Entra
Поддерживается корпорацией Майкрософт
Microsoft Entra ID Protection предоставляет консолидированное представление о пользователях риска, событиях рисках и уязвимостях с возможностью немедленного устранения рисков и настройке политик для автоматического исправления будущих событий. Эта служба создана на основе опыта корпорации Майкрософт в области защиты идентификации пользователей и работает чрезвычайно точно, получая сведения о более чем 13 миллиардах входов в день. Интеграция оповещений Майкрософт Microsoft Entra ID Protection с Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения исследования. Дополнительные сведения см. в документации Microsoft Sentinel .
Получение идентификатора Microsoft Entra ID Premium P1/P2
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Microsoft Exchange Журналы аудита администратора по журналам событий
Поддерживается:Community
[Вариант 1] Использование агента Azure Monitor . Вы можете передавать все события аудита Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. Это используется Microsoft Exchange книги безопасности для предоставления аналитических сведений о безопасности локальной среды Exchange.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Event |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
Microsoft Exchange журналы прокси-сервера HTTP
Поддерживается:Community
[Вариант 7] С помощью агента Azure Monitor можно передавать журналы HTTP-прокси и журналы событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование. Подробнее
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ExchangeHttpProxy_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
Microsoft Exchange Журналы и события
Поддерживается:Community
[Вариант 2]. Использование агента Azure Monitor — вы можете передавать все параметры безопасности Exchange и Журналы событий приложения из Windows компьютеров, подключенных к рабочей области Microsoft Sentinel с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Event |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
Microsoft Exchange Журналы отслеживания сообщений
Поддерживается:Community
[Вариант 6] С помощью агента Azure Monitor — вы можете потоковую передачу всех сообщений Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Эти журналы можно использовать для отслеживания потока сообщений в среде Exchange. Этот соединитель данных основан на варианте 6 Microsoft Exchange вики-сайт безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MessageTrackingLog_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
Microsoft Power Automate
Поддерживается корпорацией Майкрософт
Power Automate — это служба Майкрософт, которая помогает пользователям создавать автоматизированные рабочие процессы между приложениями и службами для синхронизации файлов, получения уведомлений, сбора данных и т. д. Она упрощает автоматизацию задач, повышает эффективность, уменьшая ручную, повторяющуюся задачу и повышая производительность. Соединитель данных Power Automate предоставляет возможность приема журналов действий Power Automate из журнала аудита Microsoft Purview в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PowerAutomateActivity |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
-
Micorosft Purview Audit: необходимо активировать аудит Microsoft Purview (стандартный или премиум).
Microsoft Power Platform действия администратора
Поддерживается корпорацией Майкрософт
Microsoft Power Platform — это набор с низким кодом или без кода, позволяющий разработчикам и гражданам, и профессиональным разработчикам оптимизировать бизнес-процессы, позволяя создавать пользовательские приложения, автоматизацию рабочих процессов и анализ данных с минимальным кодом. Соединитель данных администратора Power Platform предоставляет возможность приема журналов действий администратора Power Platform из журнала аудита Microsoft Purview в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PowerPlatformAdminActivity |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
-
Micorosft Purview Audit: необходимо активировать аудит Microsoft Purview (стандартный или премиум).
Microsoft PowerBI
Поддерживается корпорацией Майкрософт
Microsoft PowerBI — это коллекция программных служб, приложений и соединителей, которые работают вместе, чтобы превратить несвязанные источники данных в последовательные, визуально иммерсивные и интерактивные аналитические сведения. Данные могут быть электронной таблицей Excel, коллекцией облачных и локальных гибридных хранилищ данных или хранилищем данных другого типа. Этот соединитель позволяет передавать журналы аудита PowerBI в Microsoft Sentinel, что позволяет отслеживать действия пользователей в среде PowerBI. Вы можете фильтровать данные аудита по диапазону дат, пользователю, панели мониторинга, отчету, набору данных и типу действия.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PowerBIActivity |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Microsoft Project
Поддерживается:Microsoft
Microsoft Project (MSP) — это программное обеспечение для управления проектами. В зависимости от плана Microsoft Project позволяет планировать проекты, назначать задачи, управлять ресурсами, создавать отчеты и многое другое. Этот соединитель позволяет передавать журналы аудита Azure Project в Microsoft Sentinel для отслеживания действий проекта.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProjectActivity |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Microsoft Purview
Поддерживается корпорацией Майкрософт
Подключитесь к Microsoft Purview, чтобы обеспечить обогащение конфиденциальности данных Microsoft Sentinel. Журналы классификации данных и меток конфиденциальности из Microsoft Purview сканирования можно получать и визуализировать с помощью книг, аналитических правил и т. д. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PurviewDataSensitivityLogs |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Microsoft Purview Information Protection
Поддерживается корпорацией Майкрософт
Microsoft Purview Information Protection помогает обнаруживать, классифицировать, защищать и управлять конфиденциальной информацией в любом месте или в пути. С помощью этих возможностей вы можете узнать данные, определить элементы, которые чувствительны и получить представление о том, как они используются для более эффективной защиты данных. Метки конфиденциальности — это базовая возможность, которая обеспечивает действия защиты, применение шифрования, ограничений доступа и визуальных пометок. Интеграция журналов Microsoft Purview Information Protection с Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения исследования. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MicrosoftPurviewInformationProtection |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Аудит Mimecast
Поддерживается:Mimecast
Соединитель данных для Mimecast Audit предоставляет клиентам видимость событий безопасности, связанных с событиями аудита и проверки подлинности в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения о действиях пользователей, помочь в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель, : аудит
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Audit_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Azure подписка: Azure подписка с ролью владельца требуется для регистрации приложения в Microsoft Entra ID и назначения роли участника в группе ресурсов.
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.
Поддерживается:Mimecast
Соединитель данных для
Продукты Mimecast, включенные в соединитель: аудит и проверка подлинности
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MimecastAudit_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации:
- mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast
- mimecastPassword: пароль для выделенного пользователя администратора Mimecast
- mimecastAppId: идентификатор приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast
- mimecastAppKey: ключ приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast
- mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast
- mimecastBaseURL: URL-адрес базового API Mimecast
Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование | Службы | Интеграция API и платформы.
Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
- приложение Functions. Для использования этого соединителя необходимо зарегистрировать Azure App.
- Идентификатор приложения
- Идентификатор арендатора
- Идентификатор клиента
- Секрет клиента
Обучение осведомленности Mimecast
Поддерживается:Mimecast
Соединитель данных для Mimecast Awareness Training предоставляет клиентам видимость событий безопасности, связанных с технологиями проверки целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений.
Продукты Mimecast, включенные в соединитель, :
- Сведения о производительности
- Сведения о безопасной оценке
- Данные пользователя
- Сведения о списке наблюдения
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Awareness_Performance_Details_CL |
Да | Да |
Awareness_SafeScore_Details_CL |
Да | Да |
Awareness_User_Data_CL |
Да | Да |
Awareness_Watchlist_Details_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Azure подписка: Azure подписка с ролью владельца требуется для регистрации приложения в Microsoft Entra ID и назначения роли участника в группе ресурсов.
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.
Интегрированная среда Mimecast Cloud
Поддерживается:Mimecast
Соединитель данных для Mimecast Cloud Integrated предоставляет клиентам видимость событий безопасности, связанных с технологиями облачной интегрированной проверки в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cloud_Integrated_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Azure подписка: Azure подписка с ролью владельца требуется для регистрации приложения в Microsoft Entra ID и назначения роли участника в группе ресурсов.
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.
Mimecast Intelligence для Майкрософт — Microsoft Sentinel (с помощью Azure Functions)
Поддерживается:Mimecast
Соединитель данных для Mimecast Intelligence для Майкрософт предоставляет региональную аналитику угроз, курированную с помощью технологий проверки электронной почты Mimecast с предварительно созданными панелями мониторинга, чтобы аналитики могли просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на расследование.
Необходимые продукты и функции Mimecast:
- Безопасный шлюз электронной почты Mimecast
- Аналитика угроз Mimecast
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации:
- mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast
- mimecastPassword: пароль для выделенного пользователя администратора Mimecast
- mimecastAppId: идентификатор приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast
- mimecastAppKey: ключ приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast
- mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast
- mimecastBaseURL: URL-адрес базового API Mimecast
Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование | Службы | Интеграция API и платформы.
Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
- приложение Functions. Для использования этого соединителя необходимо зарегистрировать Azure App.
- Идентификатор приложения
- Идентификатор арендатора
- Идентификатор клиента
- Секрет клиента
Безопасный шлюз электронной почты Mimecast
Поддерживается:Mimecast
Соединитель данных для Mimecast Secure Email Gateway позволяет легко собирать журналы из безопасного шлюза электронной почты для получения сведений о электронной почте и активности пользователей в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Необходимые продукты и функции Mimecast:
- Облачный шлюз Mimecast
- Предотвращение утечки данных Mimecast
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Seg_Cg_CL |
Да | Да |
Seg_Dlp_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Azure подписка: Azure подписка с ролью владельца требуется для регистрации приложения в Microsoft Entra ID и назначения роли участника в группе ресурсов.
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.
Mimecast Secure Email Gateway (с помощью Azure Functions)
Поддерживается:Mimecast
Соединитель данных для Mimecast Secure Email Gateway позволяет легко собирать журналы из безопасного шлюза электронной почты для получения сведений о электронной почте и активности пользователей в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Необходимые продукты и функции Mimecast:
- Безопасный шлюз электронной почты Mimecast
- Предотвращение утечки данных Mimecast
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MimecastSIEM_CL |
нет | нет |
MimecastDLP_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации:
- mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast
- mimecastPassword: пароль для выделенного пользователя администратора Mimecast
- mimecastAppId: идентификатор приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast
- mimecastAppKey: ключ приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast
- mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast
- mimecastBaseURL: URL-адрес базового API Mimecast
Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование | Службы | Интеграция API и платформы.
Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
- приложение Functions. Для использования этого соединителя необходимо зарегистрировать Azure App.
- Идентификатор приложения
- Идентификатор арендатора
- Идентификатор клиента
- Секрет клиента
Mimecast Targeted Threat Protection
Поддерживается:Mimecast
Соединитель данных для Mimecast Targeted Threat Protection предоставляет клиентам видимость событий безопасности, связанных с технологиями проверки целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений.
Продукты Mimecast, включенные в соединитель, :
- Защита URL-адреса
- Защита олицетворения
- Защита вложений
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ttp_Url_CL |
Да | Да |
Ttp_Attachment_CL |
Да | Да |
Ttp_Impersonation_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Azure подписка: Azure подписка с ролью владельца требуется для регистрации приложения в Microsoft Entra ID и назначения роли участника в группе ресурсов.
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.
Mimecast Targeted Threat Protection (с помощью Azure Functions)
Поддерживается:Mimecast
Соединитель данных для Mimecast Targeted Threat Protection предоставляет клиентам видимость событий безопасности, связанных с технологиями проверки целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений.
Продукты Mimecast, включенные в соединитель, :
- Защита URL-адреса
- Защита олицетворения
- Защита вложений
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MimecastTTPUrl_CL |
нет | нет |
MimecastTTPAttachment_CL |
нет | нет |
MimecastTTPImpersonation_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- Учетные данные и разрешения REST API. Для настройки интеграции вам потребуется следующее:
- mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast
- mimecastPassword: пароль для выделенного пользователя администратора Mimecast
- mimecastAppId: идентификатор приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast
- mimecastAppKey: ключ приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast
- mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast
- mimecastBaseURL: URL-адрес базового API Mimecast
Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование | Службы | Интеграция API и платформы.
Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
MISP2Sentinel
Поддерживается:Community
Это решение устанавливает соединитель MISP2Sentinel, который позволяет автоматически отправлять индикаторы угроз из MISP в Microsoft Sentinel через REST API отправки индикаторов. После установки решения настройте и включите этот соединитель данных, следуя инструкциям в представлении решения "Управление".
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Журналы MongoDB Atlas
Поддерживается:MongoDB
Соединитель logs MongoDBAtlas Logs позволяет отправлять журналы базы данных MongoDB Atlas в Microsoft Sentinel через API администрирования Atlas MongoDB. Обратитесь к документации API для получения дополнительной информации. Коннектор предоставляет возможность получать различные сообщения логов базы данных для указанных хостов и проекта.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MDBALogTable_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: требуется идентификатор клиента учетной записи службы MongoDB Atlas и секрет клиента . Дополнительные сведения см. в статье о создании учетной записи службы
MuleSoft Cloudhub (с помощью Azure Functions)
Поддерживается корпорацией Майкрософт
Соединитель данных MuleSoft Cloudhub предоставляет возможность получения журналов из приложений Cloudhub с помощью API Cloudhub и дополнительных событий в Microsoft Sentinel через REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MuleSoft_Cloudhub_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername и MuleSoftPassword необходимы для вызова API.
Защита NC
Поддерживается:archTIS
NC Protect Data Connector (archtis.com) предоставляет возможность приема журналов и событий пользователя в Microsoft Sentinel. Соединитель обеспечивает видимость журналов и событий защиты пользователей NC в Microsoft Sentinel для улучшения возможностей мониторинга и исследования
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NCProtectUAL_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Защита NC: у вас должен быть запущенный экземпляр NC Protect для O365.
Обратитесь к нам.
Оповещения и события Netskope
Поддерживается:Netskope
Оповещения и события безопасности Netskope
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NetskopeAlerts_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- URL-адрес организации Netskope: соединитель данных Netskope требует предоставления URL-адреса организации. Url-адрес организации можно найти, войдите на портал Netskope.
-
Ключ API Netskope: соединитель данных Netskope требует предоставления допустимого ключа API. Вы можете создать его, следуя документации По Netskope.
Соединитель данных Netskope
Поддерживается:Netskope
Соединитель данных Netskope предоставляет следующие возможности:
- NetskopeToAzureStorage:
- Получение данных о оповещениях и событиях Netskope из Netskope и прием в хранилище Azure. 2. StorageToSentinel:
- Получение данных о оповещениях и событиях Netskope из хранилища Azure и приема в настраиваемую таблицу журналов в рабочей области Log Analytics. 3. WebTxMetrics:
- Получите данные WebTxMetrics из Netskope и приема в настраиваемую таблицу журналов в рабочей области Log Analytics.
Дополнительные сведения о REST API см. в следующих документациях:
- Документация по API Netskope:
https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/ 2. Azure документации по хранилищу: /azure/storage/common/storage-introduction 3. Документация по Аналитике журналов Майкрософт: /azure/azure-monitor/logs/log-analytics-overview
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
alertscompromisedcredentialdata_CL |
нет | нет |
alertsctepdata_CL |
нет | нет |
alertsdlpdata_CL |
нет | нет |
alertsmalsitedata_CL |
нет | нет |
alertsmalwaredata_CL |
нет | нет |
alertspolicydata_CL |
нет | нет |
alertsquarantinedata_CL |
нет | нет |
alertsremediationdata_CL |
нет | нет |
alertssecurityassessmentdata_CL |
нет | нет |
alertsubadata_CL |
нет | нет |
eventsapplicationdata_CL |
нет | нет |
eventsauditdata_CL |
нет | нет |
eventsconnectiondata_CL |
нет | нет |
eventsincidentdata_CL |
нет | нет |
eventsnetworkdata_CL |
нет | нет |
eventspagedata_CL |
нет | нет |
Netskope_WebTx_metrics_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Azure подписка: Azure подписка с ролью владельца требуется для регистрации приложения в azure Active Directory() и назначения роли участника приложения в группе ресурсов.
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: требуется клиент Netskope и токен API Netskope . Дополнительные сведения об API см. в документации по справочнику по REST API
Соединитель данных веб-транзакций Netskope
Поддерживается:Netskope
Соединитель данных Netskope Web Transactions предоставляет функциональные возможности образа Docker для извлечения данных Netskope Web Transactions из google pubsublite, обработки данных и приема обработанных данных в Log Analytics. В рамках этого соединителя данных две таблицы будут сформированы в Log Analytics, один для данных веб-транзакций и других ошибок, возникающих во время выполнения.
Дополнительные сведения о веб-транзакциях см. в следующей документации:
- Документация по Netskope Web Transactions:
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NetskopeWebtxData_CL |
нет | нет |
NetskopeWebtxErrors_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Azure подписка: Azure подписка с ролью владельца требуется для регистрации приложения в Microsoft Entra ID и назначения роли участника в группе ресурсов.
- разрешения Microsoft.Compute. Требуется разрешение на чтение и запись для Azure виртуальных машин. Дополнительные сведения см. в разделе Azure виртуальных машин.
- Учетные данные и разрешения transactionEvents: требуется клиент Netskope и токен API Netskope. Дополнительные сведения см. в разделе "События транзакций".
-
Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
Группы безопасности сети
Поддерживается корпорацией Майкрософт
Azure группы безопасности сети (NSG) позволяют фильтровать сетевой трафик и от Azure ресурсов в виртуальной сети Azure. Группа безопасности сети включает правила, разрешающие или запрещающие трафик в подсеть виртуальной сети, сетевой интерфейс или оба.
При включении ведения журнала для NSG можно собрать следующие типы данных журнала ресурсов:
- Событие: Записи регистрируются, для которых правила NSG применяются к виртуальным машинам на основе MAC-адреса.
- Счетчик правил: Содержит записи для того, сколько раз применяется каждое правило NSG для запрета или разрешения трафика. Состояние этих правил регистрируется каждые 300 секунд.
Этот соединитель позволяет передавать журналы диагностики NSG в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
NordPass
Поддерживается:NordPass
Интеграция NordPass с Microsoft Sentinel SIEM через API позволяет автоматически передавать данные журнала действий из NordPass в Microsoft Sentinel и получать аналитические сведения в режиме реального времени, такие как действия элементов, все попытки входа и уведомления системы безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NordPassEventLogs_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Убедитесь, что группа resource и рабочая область Log Analytics расположены в том же регионе, чтобы можно было развернуть Azure Functions.
- Add Microsoft Sentinel в созданную рабочую область Log Analytics.
- Создайте URL-адрес и маркер API Microsoft Sentinel на панели администрирования NordPass, чтобы завершить интеграцию Azure Functions. Обратите внимание, что для этого вам потребуется учетная запись NordPass Enterprise.
-
Important: Этот соединитель использует Azure Functions для получения журналов действий из NordPass в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Azure Functions.
Обсидиановый разъём для обмена данными
Поддерживается:Obsidian Security
Соединитель Datasidian Datasharing предоставляет возможность считывать необработанные данные событий из Obsidian Datasharing в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ObsidianActivity_CL |
нет | нет |
ObsidianThreat_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей
Единый вход Okta
Поддерживается корпорацией Майкрософт
Соединитель данных Okta Single Sign-On (SSO) предоставляет возможность приема журналов аудита и событий из API журнала журнала Okta Sysem в Microsoft Sentinel. Соединитель данных основан на платформе Microsoft Sentinel Codeless Connector Framework и использует API системного журнала Okta для получения событий. Соединитель поддерживает преобразования времени приема данных на основе DCR, которые анализируют полученные данные событий безопасности в настраиваемые столбцы, чтобы запросы не должны повторно анализировать их, что приводит к повышению производительности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OktaSSO |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Токен API Okta: маркер API Okta. Следуйте приведенным ниже инструкциям , чтобы создать документацию , чтобы узнать больше об API системного журнала Okta.
Единый Sign-On Okta (с помощью функций Azure)
Поддерживается корпорацией Майкрософт
Соединитель Okta Single Sign-On (SSO) предоставляет возможность приема журналов аудита и событий из API Okta в Microsoft Sentinel. Соединитель обеспечивает видимость этих типов журналов в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Okta_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API Okta: требуется маркер API Okta. Дополнительные сведения об API системного журнала Okta см. в документации.
Onapsis Defense: интеграция несоответвленного обнаружения угроз SAP и Intel с Microsoft Sentinel
Поддерживается:Onapsis
Предоставление команд безопасности с глубокой видимостью уникальных эксплойтов, нулевого дня и действий субъектов угроз; подозрительное поведение пользователя или программы предварительной оценки; скачивание конфиденциальных данных; нарушения системы безопасности; и многое другое - все обогащены экспертами SAP в Onapsis.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Onapsis_Defend_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правилах сбора данных. Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Платформа IAM OneLogin (с помощью платформы соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных OneLogin предоставляет возможность приема распространенных событий платформы OneLogin IAM в Microsoft Sentinel через REST API с помощью API OneLogin и OneLogin Users API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OneLoginEventsV2_CL |
Да | Да |
OneLoginUsersV2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Учетные данные API OneLogin IAM. Чтобы создать учетные данные API, перейдите по ссылке документа, предоставленной здесь, щелкните здесь.
Убедитесь, что у владельца учетной записи или администратора есть тип учетной записи, чтобы создать учетные данные API.
После создания учетных данных API вы получите идентификатор клиента и секрет клиента.
OneTrust
Поддерживается:OneTrust, LLC
Соединитель OneTrust для Microsoft Sentinel предоставляет возможность практически в режиме реального времени видеть, где конфиденциальные данные находятся или исправлены в Google Cloud и других поддерживаемых источниках данных OneTrust.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OneTrustMetadataV3_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей
Соединитель данных Open Systems
Поддерживается:Open Systems
API журналов Open Systems Microsoft Sentinel Connector предоставляет возможность приема журналов Open Systems в Microsoft Sentinel с помощью API журналов Open Systems.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OpenSystemsZtnaLogs_CL |
нет | нет |
OpenSystemsFirewallLogs_CL |
нет | нет |
OpenSystemsAuthenticationLogs_CL |
нет | нет |
OpenSystemsProxyLogs_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Azure Container Apps, контроллеров домена и контроллеров домена: требуются разрешения для развертывания Azure Container Apps, управляемых сред, правил сбора данных (DCR) и конечных точек сбора данных (DCEs). Обычно это рассматривается с помощью роли "Участник" в подписке или группе ресурсов.
- Разрешения назначения ролей: разрешения на создание назначений ролей (специально "Издатель метрик мониторинга" на контроллерах домена) требуются для развертывания пользователя или субъекта-службы.
- Required Credentials for ARM Template: Во время развертывания необходимо указать: конечную точку API журналов открытых систем и connection string, а также учетные данные субъекта-службы (идентификатор клиента, секрет клиента, объект или идентификатор участника).
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Пользовательские предварительные требования при необходимости удаляются в противном случае этот таможенный тег: описание любых пользовательских предварительных требований
Инфраструктура Oracle Cloud (с помощью платформы соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных Oracle Cloud Infrastructure (OCI) предоставляет возможность приема журналов OCI из
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OCI_LogsV2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Доступ к API потоковой передачи OCI: требуется доступ к API потоковой передачи OCI через ключи подписывания API.
Оповещения системы безопасности Orca
Поддерживается:Orca Security
Соединитель оповещений системы безопасности Orca позволяет легко экспортировать журналы оповещений в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OrcaAlerts_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Palo Alto Cortex XDR
Поддерживается корпорацией Майкрософт
Соединитель данных Palo Alto Cortex XDR позволяет прием журналов из API XDR Palo Alto Cortex в Microsoft Sentinel. Соединитель данных основан на Microsoft Sentinel Codeless Connector Framework. Он использует API XDR Palo Alto Cortex XDR для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не нуждались в повторном анализе, что приводит к повышению производительности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PaloAltoCortexXDR_Incidents_CL |
Да | Да |
PaloAltoCortexXDR_Endpoints_CL |
Да | Да |
PaloAltoCortexXDR_Audit_Management_CL |
Да | Да |
PaloAltoCortexXDR_Audit_Agent_CL |
Да | Да |
PaloAltoCortexXDR_Alerts_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Palo Alto Cortex Xpanse (с помощью codeless Connector Framework)
Поддерживается корпорацией Майкрософт
Соединитель данных Palo Alto Cortex Xpanse отправляет оповещения в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CortexXpanseAlerts_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Palo Alto Prisma Cloud CSPM (через codeless Connector Framework)
Поддерживается корпорацией Майкрософт
Соединитель данных Palo Alto Prisma Cloud CSPM позволяет подключаться к экземпляру Palo Alto Prisma Cloud CSPM и приему оповещений (https://pan.dev/prisma-cloud/api/cspm/alerts/) и Журналы аудита (https://pan.dev/prisma-cloud/api/cspm/audit-logs/) в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PaloAltoPrismaCloudAlertV2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Palo Alto Prisma Cloud CWPP (с помощью REST API)
Поддерживается корпорацией Майкрософт
Соединитель данных Palo Alto Prisma Cloud CWPP позволяет подключаться к экземпляру Palo Alto Prisma Cloud CWPP и приему оповещений в Microsoft Sentinel. Соединитель данных основан на платформе соединителя без кода Microsoft Sentinel и использует API Prisma Cloud для получения событий безопасности и поддерживает преобразования времени приема данных на основе DCR приема времени который анализирует полученные данные события безопасности в настраиваемые столбцы, чтобы запросы не должны повторно анализировать их, что приводит к повышению производительности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PrismaCloudCompute_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Ключ API PrismaCloudCompute: требуется имя пользователя и пароль API Palo Alto Prisma Cloud CWPP Monitor. Дополнительные сведения см. в разделе PrismaCloudCompute SIEM API.
Pathlock Inc.: Обнаружение и реагирование угроз для SAP
Поддерживается:Pathlock Inc.
Разъём Pathlock специально разработан для SAP и по умолчанию пересылает только события, связанные с безопасностью, минимизируя объём данных и шум, при этом сохраняя гибкость для передачи всех источников журналов при необходимости. Каждое событие обогащено контекстом процесса business, что позволяет Microsoft Sentinel решения для аналитики SAP различать операционные шаблоны от реальных угроз и определять приоритеты, что действительно имеет значение.
Такой подход, основанный на точности, помогает командам безопасности значительно сократить количество ложных срабатываний, сосредоточить расследования и ускорить среднее время обнаружения (MTTD ) и среднее время реагирования (MTTR). Библиотека Pathlock состоит из более чем 1500 специфических для SAP сигнатур обнаружения в 70+ источниках журналов, решение выявляет сложные поведения атак, слабости конфигурации и аномалии доступа.
Объединяя бизнес-контекстную аналитику с продвинутой аналитикой, Pathlock позволяет предприятиям повышать точность обнаружения, оптимизировать действия реагирования и поддерживать непрерывный контроль в своих SAP-средах — без добавления сложности или избыточных уровней мониторинга.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ABAPAuditLog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правилах сбора данных. Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Журналы действий Периметра 81
Поддерживается:Периметр 81
Соединитель журналов действий Периметра 81 позволяет легко подключать журналы действий Периметра 81 с Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Perimeter81_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Устройства с люминофором
Поддерживается:Ловоинк.
Соединитель устройства Изуминия обеспечивает возможность приема журналов данных устройства в Microsoft Sentinel через REST API для фосфора. Соединитель обеспечивает видимость устройств, зарегистрированных в Фосфоре. Этот соединитель данных извлекает сведения о устройствах вместе с соответствующими оповещениями.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Phosphorus_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Учетные данные и разрешения REST API: требуется ключ API Для фосфора . Убедитесь, что ключ API, связанный с пользователем, имеет разрешения на управление параметрами.
Следуйте этим инструкциям, чтобы включить разрешения "Управление параметрами".
- Войдите в приложение «Фосфор»
- Перейдите в раздел "Параметры" —> "Группы"
- Выбор группы пользователя интеграции является частью
- Перейдите к разделу "Действия продукта" —> переключите разрешение "Управление параметрами".
Ping One (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Этот соединитель использует журналы действий audit из платформы PingOne Identity в Microsoft Sentinel с помощью платформы соединителей без кода.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PingOne_AuditActivitiesV2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Соединитель данных Prancer
Поддерживается интеграцией:Prancer PenSuiteAI
Соединитель данных Prancer предоставляет возможность приема данных Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] и PAC для обработки данных через Microsoft Sentinel. Дополнительные сведения см. в документации Prancer .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
prancer_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Включите настраиваемые предварительные требования, если для подключения требуется - в противном случае удалите таможни: описание любого пользовательского предварительного требования
Аналитика угроз Microsoft Defender уровня "Премиум"
Поддерживается корпорацией Майкрософт
Microsoft Sentinel предоставляет возможность импорта аналитики угроз, созданной корпорацией Майкрософт, для включения мониторинга, оповещения и охоты. Используйте этот соединитель данных для импорта индикаторов компрометации (IOCs) из premium Microsoft Defender аналитики угроз (MDTI) в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов и т. д. Примечание. Это платный соединитель. Чтобы использовать и прием данных из него, приобретите номер SKU "ДОСТУП к API MDTI" из Центра партнеров.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Проверка безопасности электронной почты по запросу (с помощью платформы соединителей без кода)
Поддерживается:Proofpoint, Inc.
Соединитель данных Proofpoint On Demand Email Security обеспечивает получение данных Proofpoint on Demand Email Protection, позволяет пользователям проверять прослеживаемость сообщений, проводить мониторинг активности электронной почты, угроз и кражи данных злоумышленниками и злонамеренными инсайдерами. Коннектор предоставляет возможность просматривать события в вашей организации на ускоренной основе и получать файлы журналов событий с почасовым интервалом для недавних действий.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProofpointPODMailLog_CL |
Да | Да |
ProofpointPODMessage_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Учетные данные и разрешения API Websocket: ProofpointClusterID и ProofpointToken необходимы. Дополнительные сведения см. в разделе API.
Проверка безопасности электронной почты по запросу (с помощью платформы соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных Proofpoint On Demand Email Security обеспечивает получение данных Proofpoint on Demand Email Protection, позволяет пользователям проверять прослеживаемость сообщений, проводить мониторинг активности электронной почты, угроз и кражи данных злоумышленниками и злонамеренными инсайдерами. Коннектор предоставляет возможность просматривать события в вашей организации на ускоренной основе и получать файлы журналов событий с почасовым интервалом для недавних действий.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProofpointPODMailLog_CL |
Да | Да |
ProofpointPODMessage_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Учетные данные и разрешения API Websocket: ProofpointClusterID и ProofpointToken необходимы. Дополнительные сведения см. в разделе API.
Proofpoint TAP (с помощью платформы соединителей без кода)
Поддерживается:Proofpoint, Inc.
Соединитель Proofpoint Targeted Attack Protection (TAP) предоставляет возможность приема журналов и событий Proofpoint TAP в Microsoft Sentinel. Соединитель обеспечивает видимость событий сообщения и щелчка в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Да | Да |
ProofPointTAPMessagesBlockedV2_CL |
Да | Да |
ProofPointTAPClicksPermittedV2_CL |
Да | Да |
ProofPointTAPClicksBlockedV2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Ключ API Proofpoint TAP: субъект-служба API Proofpoint TAP и секрет требуются для доступа к API SIEM Для проверки подлинности. Дополнительные сведения см. в разделе API Proofpoint SIEM.
Proofpoint TAP (с помощью платформы соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель Proofpoint Targeted Attack Protection (TAP) предоставляет возможность приема журналов и событий Proofpoint TAP в Microsoft Sentinel. Соединитель обеспечивает видимость событий сообщения и щелчка в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Да | Да |
ProofPointTAPMessagesBlockedV2_CL |
Да | Да |
ProofPointTAPClicksPermittedV2_CL |
Да | Да |
ProofPointTAPClicksBlockedV2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Ключ API Proofpoint TAP: субъект-служба API Proofpoint TAP и секрет требуются для доступа к API SIEM Для проверки подлинности. Дополнительные сведения см. в разделе API Proofpoint SIEM.
QscoutAppEventsConnector (через платформу соединителей без кода)
Поддерживается:Quokka
Прием событий приложения Qscout в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
QscoutAppEvents_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Идентификатор организации Qscout: API требует идентификатор организации в Qscout.
-
Ключ API организации Qscout: API требует ключа API организации в Qscout.
Qualys VM KnowledgeBase (с помощью Azure Functions)
Поддерживается корпорацией Майкрософт
Соединитель Qualys Vulnerability Management (VM) KnowledgeBase (KB) предоставляет возможность приема последних данных уязвимостей из Qualys KB в Microsoft Sentinel.
Эти данные могут использоваться для корреляции и обогащения выявленных уязвимостей, обнаруженных соединителем данных Qualys Vulnerability Management (VM).
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
QualysKB_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Ключ API Qualys: требуется имя пользователя и пароль API виртуальных машин Qualys. Дополнительные сведения см. в разделе API виртуальных машин Qualys.
Управление уязвимостями Qualys (с помощью платформы соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных Qualys Vulnerability Management (VM) предоставляет возможность приема данных обнаружения уязвимостей узла в Microsoft Sentinel через API Qualys. Соединитель обеспечивает видимость данных об обнаружении узлов из проверок вольверности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
QualysHostDetectionV3_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Доступ к API и роли. Убедитесь, что пользователь виртуальной машины Qualys имеет роль читателя или более поздней версии. Если роль — читатель, убедитесь, что для учетной записи включен доступ к API. Роль аудитора не поддерживается для доступа к API. Дополнительные сведения см. в документе api обнаружения узлов виртуальных машин Qualys и сравнения ролей пользователей .
Radiflow iSID через AMA
Поддерживается:Radiflow
iSID обеспечивает неразрушительный мониторинг распределенных сетей ICS для изменений в топологии и поведении, используя несколько пакетов безопасности, каждый из которых предлагает уникальную возможность, относящуюся к конкретному типу сетевой активности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
RadiflowEvent |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Rapid7 Insights Insights Platform Management Reports (с помощью Azure Functions)
Поддерживается корпорацией Майкрософт
Соединитель данных отчетов Rapid7 Insights Отчет предоставляет возможность приема отчетов сканирования и данных уязвимостей в Microsoft Sentinel через REST API с платформы Rapid7 Insights (управляемой в облаке). Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NexposeInsightVMCloud_assets_CL |
нет | нет |
NexposeInsightVMCloud_vulnerabilities_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные REST API: InsightsVMAPIKey требуется для REST API. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных
Разъём RSA ID Plus Admin Logs
Поддерживается группойподдержки:RSA
Соединитель RSA ID Plus AdminLogs предоставляет возможность приема команд аудита консоли администрирования Azure в Microsoft Sentinel с помощью API для администрирования облака.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
RSAIDPlus_AdminLogs_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Проверка подлинности API RSA ID Plus: для доступа к API администрирования требуется допустимый маркер JWT в кодировке Base64URL, подписанный ключом API устаревшего администрирования клиента.
Соединитель облачных данных Rubrik Security (с помощью функций Azure)
Поддерживается:Rubrik
Соединитель облачных данных Rubrik Security позволяет группам по операциям безопасности интегрировать аналитические сведения из служб наблюдения за данными Rubrik в Microsoft Sentinel. Эти аналитические сведения включают идентификацию аномального поведения файловой системы, связанного с программ-шантажистов и массовым удалением, оценку радиуса взрыва атаки программы-шантажистов и операторов конфиденциальных данных, чтобы определить приоритеты и быстрее исследовать потенциальные инциденты.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Rubrik_Anomaly_Data_CL |
Да | Да |
Rubrik_Ransomware_Data_CL |
Да | Да |
Rubrik_ThreatHunt_Data_CL |
Да | Да |
Rubrik_Events_Data_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
Безопасность SaaS
Поддерживается безопасностью:Valence
Подключает платформу безопасности SaaS Valence Azure Log Analytics через интерфейс REST API
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ValenceAlert_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
SailPoint IdentityNow (с помощью Azure Functions)
Поддерживается:SailPoint
Соединитель данных SailPoint IdentityNow предоставляет возможность приема событий поиска [SailPoint IdentityNow] в Microsoft Sentinel через REST API. Соединитель предоставляет клиентам возможность извлекать сведения аудита из своего клиента IdentityNow. Он предназначен для того, чтобы упростить перенос событий пользователя IdentityNow и управления в Microsoft Sentinel для улучшения аналитических сведений из решения для мониторинга инцидентов безопасности и событий.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SailPointIDN_Events_CL |
Да | Да |
SailPointIDN_Triggers_CL |
нет | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные проверки подлинности API SailPoint IdentityNow: для проверки подлинности требуются учетные данные TENANT_ID, CLIENT_ID и CLIENT_SECRET.
Cloud Salesforce Service Cloud (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных Salesforce Service Cloud предоставляет возможность приема сведений о рабочих событиях Salesforce в Microsoft Sentinel через REST API. Соединитель предоставляет возможность просматривать события в организации на ускоренной основе, получать файлы журналов событий почасового увеличения для последних действий.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SalesforceServiceCloudV2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Доступ к облачному API Salesforce: требуется доступ к облачному API Службы Salesforce через подключенное приложение.
Samsung Knox Asset Intelligence
Поддерживается:Samsung Electronics Co., Ltd.
Samsung Knox Asset Intelligence Data Connector позволяет централизировать события и журналы мобильной безопасности для просмотра настраиваемых аналитических сведений с помощью шаблона книги и выявления инцидентов на основе шаблонов правил аналитики.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Samsung_Knox_Audit_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Приложение Entra: приложение Entra должно быть зарегистрировано и подготовлено с ролью "Издатель метрик Майкрософт" и настроено с помощью сертификата или секрета клиента в качестве учетных данных для безопасной передачи данных. Дополнительные сведения о создании, регистрации и настройке учетных данных записей см. в руководстве по приему журналов.
SAP BTP
Поддерживается корпорацией Майкрософт
Платформа SAP Business Technology Platform (SAP BTP) объединяет управление данными, аналитику, искусственный интеллект, разработку приложений, автоматизацию и интеграцию в одной единой среде.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SAPBTPAuditLog_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Идентификатор клиента и секрет клиента для API получения аудита: включение доступа к API в BTP.
Sap Enterprise Threat Detection, cloud edition
Поддерживается:SAP
Соединитель данных SAP Enterprise Threat Detection, cloud edition (ETD) позволяет прием оповещений системы безопасности из ETD в Microsoft Sentinel, поддерживая кросс-корреляцию, оповещения и поиск угроз.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SAPETDAlerts_CL |
Да | Да |
SAPETDInvestigations_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Идентификатор клиента и секрет клиента для API извлечения ETD: включение доступа к API в ETD.
SAP LogServ (RISE), частный выпуск S/4HANA Cloud
Поддерживается:SAP
SAP LogServ — это служба SAP Enterprise Cloud Services (ECS), предназначенная для сбора, хранения, пересылки и доступа к журналам. LogServ центрирует журналы из всех систем, приложений и служб ECS, используемых зарегистрированным клиентом.
Основные функции:
Почти коллекция журналов в режиме реального времени: возможность интегрироваться в Microsoft Sentinel как решение SIEM.
LogServ дополняет существующий мониторинг угроз и обнаружение угроз на уровне приложений SAP в Microsoft Sentinel с типами журналов, принадлежащими SAP ECS в качестве поставщика системы. К ним относятся такие журналы: журнал аудита безопасности SAP (AS ABAP), база данных HANA, AS JAVA, ICM, веб-диспетчер SAP, SAP Cloud Connector, OS, шлюз SAP, 3-сторонная база данных, сеть, DNS, прокси-сервер, брандмауэр
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SAPLogServ_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правилах сбора данных. Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
SAP S/4HANA Cloud Public Edition
Поддерживается:SAP
Соединитель данных SAP S/4HANA Cloud Public Edition (GROW с SAP) позволяет получать журнал аудита безопасности SAP в Microsoft Sentinel решение для SAP, поддерживающее перекрестную корреляцию, оповещения и поиск угроз. Ищете альтернативные механизмы проверки подлинности? См. раздел here.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ABAPAuditLog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Идентификатор клиента и секрет клиента для API получения аудита: включение доступа к API в BTP.
Решение SecurityBridge для SAP
Поддерживается:SecurityBridge
SecurityBridge повышает безопасность SAP, интегрируя их с Microsoft Sentinel, обеспечивая мониторинг и обнаружение угроз в режиме реального времени в средах SAP. Эта интеграция позволяет центрам безопасности (SOCS) консолидировать события безопасности SAP с другими данными организации, предоставляя унифицированное представление о ландшафте угроз. Использование аналитики с поддержкой искусственного интеллекта и Copilot безопасности Майкрософт, SecurityBridge определяет сложные шаблоны атак и уязвимости в приложениях SAP, включая сканирование кода ABAP и оценки конфигурации. Решение поддерживает масштабируемые развертывания в сложных ландшафтах SAP, локальных, в облаке или гибридных средах. Благодаря преодолению разрыва между ИТ-специалистами и группами безопасности SAP SecurityBridge позволяет организациям заранее обнаруживать, исследовать и реагировать на угрозы, повышая общую безопасность.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ABAPAuditLog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правилах сбора данных. Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Журналы молнии Semperis
Поддерживается:Semperis
Соединитель Semperis Lightning использует Функции Azure для приема данных безопасности удостоверений Semperis Lightning в Microsoft Sentinel. Соединитель развертывает функцию Azure и собирает данные в пользовательские таблицы Log Analytics для исследования и поиска угроз.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
LightningTier0Nodes_CL |
нет | нет |
LightningAttackPaths_CL |
нет | нет |
LightningIOEResults_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные API Молнии Semperis: ключ API Молнии Semperis и выбранная зона (na или eu) требуются для проверки подлинности соединителя в Semperis Lightning.
SentinelOne
Поддерживается корпорацией Майкрософт
Соединитель данных SentinelOne позволяет прием журналов из API SentinelOne в Microsoft Sentinel. Соединитель данных основан на Microsoft Sentinel Codeless Connector Framework. Он использует API SentinelOne для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не должны повторно анализировать их, что приводит к повышению производительности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SentinelOneActivities_CL |
Да | Да |
SentinelOneAgents_CL |
Да | Да |
SentinelOneGroups_CL |
Да | Да |
SentinelOneThreats_CL |
Да | Да |
SentinelOneAlerts_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
SentinelOne (с помощью функций Azure)
Поддерживается корпорацией Майкрософт
Соединитель данных SentinelOne предоставляет возможность приема распространенных объектов сервера SentinelOne, таких как угрозы, агенты, приложения, действия, политики, группы и другие события в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SentinelOne_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: требуется SentinelOneAPIToken . Дополнительные сведения об API см. в
https://<SOneInstanceDomain>.sentinelone.net/api-doc/overviewдокументации.
Серафическая веб-безопасность
Поддерживается:Seraphic Security
Соединитель данных Seraphic Web Security предоставляет возможность приема Seraphic Web Security событий и оповещений в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SeraphicWebSecurity_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- ключ API Seraphic API: ключ API для Microsoft Sentinel подключен к клиенту Seraphic Web Security. Чтобы получить этот ключ API для клиента, ознакомьтесь с этой документацией.
Консоль администрирования Silverfort
Поддерживается:Silverfort
Решение соединителя Silverfort соединитель консоли администрирования ITDR позволяет прием событий Silverfort и вход в Microsoft Sentinel. Silverfort предоставляет события на основе системного журнала и ведение журнала с помощью общего формата событий (CEF). Перенаправляя данные CEF консоли администрирования Silverfort ITDR в Microsoft Sentinel, вы можете воспользоваться преимуществами поиска Sentinels и корреляции, оповещения и обогащения аналитики угроз на данных Silverfort. Обратитесь к Silverfort или обратитесь к документации Silverfort для получения дополнительных сведений.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
SlackAudit (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных SlackAudit предоставляет возможность приема журналов аудита Slack Audit в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SlackAuditV2_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
UserName, SlackAudit API Key и Action Type: Чтобы создать маркер доступа, создайте новое приложение в Slack, а затем добавьте необходимые области и настройте URL-адрес перенаправления. Подробные инструкции по созданию маркера доступа, имени пользователя и ограничения имени действия см. в этой ссылке.
Snowflake (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных Snowflake предоставляет возможность приема журналов Snowflake Login History Logs, ЖурналыQueryUser-Grant Logs, Role-Grant Logs, Load History Logs, Roles LogsTables Logs, Table Storage Metrics Logs, Users Logs в Microsoft Sentinel с помощью API SQL Snowflake. Дополнительные сведения см. в документации по API SQL Snowflake .
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SnowflakeLogin_CL |
Да | Да |
SnowflakeQuery_CL |
Да | Да |
SnowflakeUserGrant_CL |
Да | Да |
SnowflakeRoleGrant_CL |
Да | Да |
SnowflakeLoad_CL |
Да | Да |
SnowflakeMaterializedView_CL |
Да | Да |
SnowflakeRoles_CL |
Да | Да |
SnowflakeTables_CL |
Да | Да |
SnowflakeTableStorageMetrics_CL |
Да | Да |
SnowflakeUsers_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Соединитель данных аудита платформы SOC Prime Platform
Поддерживается:SOC Prime
Соединитель данных SOC Prime Audit Logs позволяет прием журналов из API премьер-платформы SOC в Microsoft Sentinel. Соединитель данных основан на Microsoft Sentinel Codeless Connector Framework. Он использует API премьер-платформы SOC для получения журналов аудита платформы SOC Prime и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, что приводит к повышению производительности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SOCPrimeAuditLogs_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Соединитель данных Sonrai
Поддерживается:N/A
Используйте этот соединитель данных для интеграции с Sonrai Security и получения билетов Sonrai, отправленных непосредственно в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Sonrai_Tickets_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Sophos Endpoint Protection (с помощью Azure Functions)
Поддерживается корпорацией Майкрософт
Соединитель данных Sophos Endpoint Protection предоставляет возможность приема событий Sophos в Microsoft Sentinel. Дополнительные сведения см. в документации по центру администрирования Sophos.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SophosEP_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: требуется маркер API . Дополнительные сведения см. в разделе "Маркер API"
Sophos Endpoint Protection (с помощью REST API)
Поддерживается корпорацией Майкрософт
Соединитель данных Sophos Endpoint Protection предоставляет возможность приема событий Sophos и в Microsoft Sentinel. Дополнительные сведения см. в документации по центру администрирования Sophos.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SophosEPEvents_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Доступ к API Sophos Endpoint Protection: требуется доступ к API Sophos Endpoint Protection через субъект-службу.
Интегрированный обмен киберзащиты Symantec
Поддерживается корпорацией Майкрософт
Соединитель Symantec ICDx позволяет легко подключать журналы решений безопасности Symantec с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SymantecICDx_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Соединитель интеграции Synqly
Поддерживается:Synqly
Соединитель Synqly предоставляет возможность отправки событий безопасности из интеграции Synqly с Microsoft Sentinel с помощью API приема журналов Azure. События автоматически нормализуются в таблицы ASIM (расширенная информационная модель безопасности) для использования с аналитикой Microsoft Sentinel, книгами и поисковыми запросами.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Идентификатор Microsoft Entra: роль разработчика приложений (или выше) для создания регистраций приложений.
-
Microsoft Azure: роль владельца или администратора доступа пользователей в группе ресурсов для развертывания DCR и назначения роли издателя метрик мониторинга.
Системный журнал через AMA
Поддерживается корпорацией Майкрософт
Системный журнал Syslog — это протокол ведения журнала событий, который обычно используется в Linux. Приложения отправляют сообщения, которые могут храниться на локальном компьютере или передаваться в сборщик системного журнала. Если агент для Linux установлен, он настраивает локальный демон syslog для отправки журналов агенту. Агент затем отправляет сообщение в рабочее пространство.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Syslog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Скомпрометированные учетные данные TacitRed
Поддерживается:Data443 Risk Mitigation, Inc.
Прием скомпрометированных данных из TacitRed с помощью Common Connector Framework (CCF).
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TacitRed_Findings_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- ключ API TacitRed: ключ API, хранящийся в Azure Key Vault или предоставленный во время развертывания.
Талон Инсайты
Поддерживается:Talon Security
Соединитель журналов безопасности Talon позволяет легко подключать события Talon и журналы аудита с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Talon_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Team Cymru Data Connector (using Azure Functions)
Поддерживается:Team Cymru
Соединитель данных TeamCymruScout Data Connector позволяет пользователям использовать IP-адрес Группы Cymru Scout, данные об использовании домена и учетной записи в Microsoft Sentinel для обогащения.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cymru_Scout_Domain_Data_CL |
нет | нет |
Cymru_Scout_IP_Data_Foundation_CL |
нет | нет |
Cymru_Scout_IP_Data_Details_CL |
нет | нет |
Cymru_Scout_IP_Data_Communications_CL |
нет | нет |
Cymru_Scout_IP_Data_PDNS_CL |
нет | нет |
Cymru_Scout_IP_Data_Fingerprints_CL |
нет | нет |
Cymru_Scout_IP_Data_OpenPorts_CL |
нет | нет |
Cymru_Scout_IP_Data_x509_CL |
нет | нет |
Cymru_Scout_IP_Data_Summary_Details_CL |
нет | нет |
Cymru_Scout_IP_Data_Summary_PDNS_CL |
нет | нет |
Cymru_Scout_IP_Data_Summary_OpenPorts_CL |
нет | нет |
Cymru_Scout_IP_Data_Summary_Certs_CL |
нет | нет |
Cymru_Scout_IP_Data_Summary_Fingerprints_CL |
нет | нет |
Cymru_Scout_Account_Usage_Data_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- Permission для назначения роли зарегистрированным приложению. Требуется разрешение на назначение роли зарегистрированного приложения в Microsoft Entra ID.
-
Учетные данные и разрешения команды Cymru Scout: требуется учетная запись Группы Cymru Scout (имя пользователя, пароль).
Десять удостоверений
Поддерживается:Tenable
Соединитель тенебельного воздействия удостоверений позволяет использовать индикаторы воздействия, индикаторы атак и журналов следов для приема в Microsoft Sentinel. Различные рабочие книги и средства синтаксического анализа данных позволяют более легко управлять журналами и отслеживать среду Active Directory. Шаблоны аналитики позволяют автоматизировать ответы в отношении различных событий, воздействия и атак.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Доступ к конфигурации TenableIE: разрешения на настройку подсистемы оповещений системного журнала
Управление десятью уязвимостями (с помощью функций Azure)
Поддерживается:Tenable
Соединитель данных TVM предоставляет возможность приема ресурсов, уязвимостей, соответствия требованиям и уязвимостей WAS в Microsoft Sentinel с помощью REST API TVM. Дополнительные сведения см. в документации по API. Соединитель предоставляет возможность получать данные, которые помогают изучить потенциальные риски безопасности, получить представление о вычислительных ресурсах, диагностировать проблемы конфигурации и многое другое
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Tenable_VM_Asset_CL |
Да | Да |
Tenable_VM_Vuln_CL |
Да | Да |
Tenable_VM_Compliance_CL |
Да | Да |
Tenable_WAS_Asset_CL |
Да | Да |
Tenable_WAS_Vuln_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API. Для доступа к Тенеблируемому REST API требуется как TenableAccessKey , так и TenableSecretKey . Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
Tenant на основе Microsoft Defender for Cloud
Поддерживается корпорацией Майкрософт
Microsoft Defender for Cloud — это средство управления безопасностью, которое позволяет обнаруживать и быстро реагировать на угрозы в Azure, гибридных и многооблачных рабочих нагрузках. Этот соединитель позволяет передавать оповещения системы безопасности MDC из Microsoft 365 Defender в Microsoft Sentinel, чтобы можно было использовать преимущества корреляции XDR, соединяющие точки между облачными ресурсами, устройствами и удостоверениями, а также просматривать данные в книгах, запросах и анализе инцидентов и реагировании на них. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
TheHive (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных TheHive предоставляет возможность приема данных платформы реагирования на инциденты TheHive в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель предоставляет возможность получать варианты, задачи и оповещения из TheHive и визуализировать их в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TheHiveData |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Доступ к APIHive: для API TheHive версии 4 и более поздних версий требуется доступ для API TheHive.
Теом
Поддерживается:Theom
Соединитель данных Theom позволяет организациям подключать среду Theom к Microsoft Sentinel. Это решение позволяет пользователям получать оповещения о рисках безопасности данных, создавать и дополнять инциденты, проверять статистику и запускать сборники схем SOAR в Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TheomAlerts_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Аналитика угроз — TAXII
Поддерживается корпорацией Майкрософт
Microsoft Sentinel интегрируется с источниками данных TAXII 2.0 и 2.1 для включения мониторинга, оповещения и охоты с помощью аналитики угроз. Используйте этот соединитель для отправки поддерживаемых типов объектов STIX с серверов TAXII в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов. Дополнительные сведения см. в документации Microsoft Sentinel >.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Платформы аналитики угроз
Поддерживается корпорацией Майкрософт
Microsoft Sentinel интегрируется с источниками данных Microsoft Graph Security API для включения мониторинга, оповещения и охоты с помощью аналитики угроз. Используйте этот соединитель для отправки индикаторов угроз в Microsoft Sentinel из платформы аналитики угроз (TIP), например Threat Connect, Palo Alto Networks MindMeld, MISP или других интегрированных приложений. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов. Дополнительные сведения см. в документации Microsoft Sentinel >.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
API отправки аналитики угроз (предварительная версия)
Поддерживается корпорацией Майкрософт
Microsoft Sentinel предлагает API плоскости данных для привлечения аналитики угроз из платформы аналитики угроз (TIP), например Threat Connect, Palo Alto Networks MineMeld, MISP или других интегрированных приложений. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса, хэши файлов и адреса электронной почты. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Соединитель безопасности передачи (с помощью функций Azure)
Поддерживается:Передача безопасности
Соединитель данных [Передача безопасности] предоставляет возможность приема распространенных событий передачи Security API в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TransmitSecurityActivity_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Идентификатор клиента REST API: Требуется Идентификатор клиента TransmitSecurityClientID . Дополнительные сведения об API см. в
https://developer.transmitsecurity.com/документации. -
Секрет клиента REST API: требуется ПередачаSecurityClientSecret . Дополнительные сведения об API см. в
https://developer.transmitsecurity.com/документации.
Безопасность конечной точки Trellix (через платформу соединителей без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных безопасности конечных точек Trellix позволяет получать события безопасности из Trellix ePO (ePolicy Orchestrator) в Microsoft Sentinel. Этот соединитель использует проверку подлинности учетных данных клиента OAuth2 и автоматически обрабатывает разбивку на страницы для сбора комплексных данных безопасности конечных точек, включая обнаружение угроз, сведения об анализаторе, сведения о источнике и целевой системе, а также действия реагирования на угрозы.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TrellixEvents |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Trend Vision One (с помощью Azure Functions)
Поддерживается:Trend Micro
Соединитель Trend Vision One позволяет легко подключать данные оповещений Workbench с Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования. Это дает вам больше сведений о сетях и системах вашей организации и улучшает возможности операций безопасности.
Соединитель Trend Vision One поддерживается в Microsoft Sentinel в следующих регионах: Восточная Австралия, Юго-Восточная Австралия, Южная Бразилия, Центральная Канада, Восточная Канада, Центральная Индия, Центральная Часть США, Восточная часть США, Восточная часть США, Восточная Часть США, Восточная Корея, Северная Европа, Восточная Европа, Южная Африка, Северная Африка, Южная Африка, Юго-Восточная Азия, Центральная Швеция, Центральная Швеция Северная Швейцария, Северная ЧАСТЬ ОАЭ, Южная Часть Великобритании, Западная Европа, Западная часть США, Западная часть США 2, Западная часть США 3.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TrendMicro_XDR_WORKBENCH_CL |
нет | нет |
TrendMicro_XDR_RCA_Task_CL |
нет | нет |
TrendMicro_XDR_RCA_Result_CL |
нет | нет |
TrendMicro_XDR_OAT_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Маркер API Для распознавания трендов: требуется маркер API для распознавания трендов. Дополнительные сведения об API Trend Vision One см. в документации.
Безопасность Tropico — оповещения
Поддерживается безопасностью:TROPICO
Прием оповещений системы безопасности от платформы безопасности Tropico в формате поиска безопасности OCSF.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
{{graphQueriesTableName}} |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Безопасность Tropico — события
Поддерживается безопасностью:TROPICO
Прием событий безопасности из платформы безопасности Tropico в формате поиска безопасности OCSF.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
{{graphQueriesTableName}} |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Безопасность Тропико — инциденты
Поддерживается безопасностью:TROPICO
Прием инцидентов сеанса злоумышленника из платформы безопасности Tropico.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
{{graphQueriesTableName}} |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Соединитель push-уведомлений Varonis Purview
Поддерживается:Varonis
Соединитель Varonis Purview предоставляет возможность синхронизации ресурсов из Varonis с Microsoft Purview.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
varonisresources_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей
Varonis SaaS
Поддерживается:Varonis
Varonis SaaS предоставляет возможность приема Varonis Alerts в Microsoft Sentinel.
Varonis определяет глубинную видимость данных, возможности классификации и автоматическое исправление для доступа к данным. Varonis создает одно приоритетное представление риска для ваших данных, поэтому вы можете упреждающим и систематически устранять риск от внутренних угроз и кибератак.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
VaronisAlerts_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
Vectra XDR (с помощью Azure Functions)
Поддерживается поддержкой:Vectra
Соединитель Vectra XDR предоставляет возможность приема данных обнаружения Vectra, аудита, оценки сущностей, блокировки, работоспособности и сущностей в Microsoft Sentinel через REST API Vectra. Обратитесь к документации API: https://support.vectra.ai/s/article/KB-VS-1666 для получения дополнительной информации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Detections_Data_CL |
Да | Да |
Audits_Data_CL |
Да | Да |
Entity_Scoring_Data_CL |
Да | Да |
Lockdown_Data_CL |
Да | Да |
Health_Data_CL |
Да | Да |
Entities_Data_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: идентификатор клиента Vectra и секрет клиента требуются для сбора данных работоспособности, оценки сущностей, обнаружения, блокировки и аудита. Дополнительные сведения об API см. в
https://support.vectra.ai/s/article/KB-VS-1666документации.
Соединитель данных Veeam (с помощью функций Azure)
Поддерживается:Veeam Software
Veeam Data Connector позволяет прием данных телеметрии Veeam из нескольких пользовательских таблиц в Microsoft Sentinel.
Соединитель поддерживает интеграцию с платформами Veeam Backup & Replication, Veeam ONE и Coveware для обеспечения комплексного мониторинга и аналитики безопасности. Данные собираются через Azure Functions и хранятся в пользовательских таблицах Log Analytics с выделенными правилами сбора данных (DCR) и конечными точками сбора данных (DCE).
Пользовательские таблицы включали:
- VeeamMalwareEvents_CL: события обнаружения вредоносных программ из Veeam Backup и репликации
- VeeamSecurityComplianceAnalyzer_CL. Результаты анализатора безопасности и соответствия требованиям, собранные из компонентов инфраструктуры резервного копирования Veeam
- VeeamAuthorizationEvents_CL: события авторизации и проверки подлинности
- VeeamOneTriggeredAlarms_CL. Активация предупреждений с серверов Veeam ONE
- VeeamCovewareFindings_CL: результаты безопасности решения Coveware
- VeeamSessions_CL: сеансы Veeam
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
VeeamMalwareEvents_CL |
Да | Да |
VeeamSecurityComplianceAnalyzer_CL |
Да | Да |
VeeamOneTriggeredAlarms_CL |
Да | Да |
VeeamAuthorizationEvents_CL |
Да | Да |
VeeamCovewareFindings_CL |
Да | Да |
VeeamSessions_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Доступ к инфраструктуре Veeam: требуется доступ к REST API резервного копирования и репликации Veeam ONE. Сюда входят соответствующие учетные данные проверки подлинности и сетевое подключение.
VersasecCms
Поддерживается поддержкой:Versasec
Соединитель данных VersasecCms позволяет прием журналов в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
VersasecCmsSysLogs_CL |
нет | нет |
VersasecCmsErrorLogs_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
VirtualMetric DataStream для Microsoft Sentinel
Поддерживается:VirtualMetric
Соединитель VirtualMetric DataStream развертывает правила сбора данных для приема данных телеметрии безопасности в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Регистрация приложения или управляемое удостоверение Azure. Для проверки подлинности и отправки журналов в Microsoft Sentinel требуется удостоверение Идентификатора записи. Можно выбрать создание регистрации приложений с идентификатором клиента и секретом клиента или с помощью управляемого удостоверения Azure для повышения безопасности без управления учетными данными.
-
Назначение роли группы ресурсов: выбранное удостоверение (регистрация приложений или управляемое удостоверение) должно быть назначено группе ресурсов, содержащей конечную точку сбора данных со следующими ролями: издатель метрик мониторинга (для приема журналов) и средство чтения мониторинга (для чтения конфигурации потока).
VirtualMetric DataStream для озера данных Microsoft Sentinel
Поддерживается:VirtualMetric
Соединитель VirtualMetric DataStream развертывает правила сбора данных для приема данных телеметрии безопасности в Microsoft Sentinel озера данных.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Регистрация Приложений или Azure Управляемое удостоверение. Для проверки подлинности и отправки журналов в Microsoft Sentinel озера данных требуется удостоверение Entra ID. Можно выбрать создание регистрации приложений с идентификатором клиента и секретом клиента или с помощью управляемого удостоверения Azure для повышения безопасности без управления учетными данными.
-
Назначение роли группы ресурсов: выбранное удостоверение (регистрация приложений или управляемое удостоверение) должно быть назначено группе ресурсов, содержащей конечную точку сбора данных со следующими ролями: издатель метрик мониторинга (для приема журналов) и средство чтения мониторинга (для чтения конфигурации потока).
Прокси-сервер директора виртуальной метрики
Поддерживается:VirtualMetric
Прокси-сервер виртуального директора развертывает приложение-функцию Azure для безопасного моста VirtualMetric DataStream с Azure службами, включая Microsoft Sentinel, Azure Data Explorer и Azure Storage.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- приложение-функция Azure. Для размещения прокси-сервера директора необходимо развернуть приложение-функцию Azure. Требуется разрешение на чтение, запись и удаление ресурсов Microsoft.Web/sites в группе ресурсов для создания приложения-функции и управления ими.
- Конфигурация VirtualMetric DataStream: для подключения к прокси-серверу директора требуется VirtualMetric DataStream, настроенная с учетными данными проверки подлинности. Прокси-сервер директора выступает в качестве безопасного моста между VirtualMetric DataStream и службами Azure.
-
Target Azure Services. Настройте целевые службы Azure, такие как конечные точки сбора данных Microsoft Sentinel, кластеры Azure Data Explorer или учетные записи Azure Storage, в которых прокси-сервер директора перенаправляет данные.
VMRayThreatIntelligence (с помощью Azure Functions)
Поддерживается:VMRay
VMRayThreatIntelligence connector автоматически генерирует и передаёт разведданные угрозы для всех отправлений в VMRay, улучшая обнаружение угроз и реагирование на инциденты в Sentinel. Такая бесшовная интеграция даёт командам возможность проактивно реагировать на возникающие угрозы.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | нет |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Azure подписка: Azure подписка с ролью владельца требуется для регистрации приложения в azure Active Directory() и назначения роли участника приложения в группе ресурсов.
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: требуется ключ API VMRay .
VMware Carbon Black Cloud (с помощью Azure Functions)
Поддерживается:Microsoft
Соединитель VMware Carbon Black Cloud предоставляет возможность приема данных в Microsoft Sentinel. Соединитель обеспечивает видимость журналов аудита, уведомлений и событий в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CarbonBlackEvents_CL |
нет | нет |
CarbonBlackNotifications_CL |
нет | нет |
CarbonBlackAuditLogs_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- Ключи API VMware Carbon Black: необходимы ключи API черного углерода и (или) API уровня SIEM. Дополнительные сведения об API углеродного черного цвета см. в документации.
- Для журналов аудита и событий требуется идентификатор API уровня доступа углеродного черного цвета и ключ.
- Для оповещений уведомлений требуется идентификатор API уровня доступа углеродного черного siEM и ключ.
-
Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступаAWS, имя контейнера AWS S3, имя папки в контейнере AWS S3 требуются для REST API Amazon S3.
VMware Carbon Black Cloud через AWS S3
Поддерживается:Microsoft
VMware Carbon Black Cloud через соединитель данных AWS S3 предоставляет возможность приема списков наблюдения, оповещений, событий проверки подлинности и конечных точек через AWS S3 и потоковую передачу их в нормализованные таблицы ASIM. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CarbonBlack_Alerts_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Среда. У вас должны быть следующие ресурсы AWS, определенные и настроенные: S3, Простая служба очередей (SQS), роли ИАМ и политики разрешений
-
Среда. Для создания контейнеров AWS S3 необходимо иметь учетную запись черного углерода и необходимые разрешения.
Дополнительные сведения см. в документации по пересылке данных углеродного черного цвета
Windows СОБЫТИЯ DNS через AMA
Поддерживается корпорацией Майкрософт
Соединитель журналов DNS Windows позволяет легко фильтровать и передавать все журналы аналитики с Windows DNS-серверов в рабочую область Microsoft Sentinel с помощью агента мониторинга Azure (AMA). Наличие этих данных в Microsoft Sentinel помогает выявлять проблемы и угрозы безопасности, такие как:
- Попытка разрешить вредоносные доменные имена.
- Устаревшие записи ресурсов.
- Часто запрашиваются доменные имена и разговорные DNS-клиенты.
- Атаки, выполняемые на DNS-сервере.
Вы можете получить следующие сведения о Windows DNS-серверах из Microsoft Sentinel:
- Все журналы, централизованные в одном месте.
- Загрузка запроса на DNS-серверы.
- Динамические сбои регистрации DNS.
Windows события DNS поддерживаются расширенной информационной моделью SIEM (ASIM) и передают данные в таблицу ASimDnsActivityLogs. Подробнее.
Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ASimDnsActivityLogs |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Windows Брандмауэр
Поддерживается корпорацией Майкрософт
Windows Брандмауэр — это приложение Microsoft Windows, которое фильтрует сведения, поступающие в систему из Интернета, и блокирует потенциально опасные программы. Программное обеспечение блокирует передачу большинства программ через брандмауэр. Пользователи просто добавляют программу в список разрешенных программ, чтобы разрешить ему взаимодействовать через брандмауэр. При использовании общедоступной сети Windows Брандмауэр также может защитить систему, блокируя все незапрошенные попытки подключения к компьютеру. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правила сбора данных: В настоящее время не поддерживается
Windows события брандмауэра через AMA
Поддерживается корпорацией Майкрософт
Windows Брандмауэр — это приложение Microsoft Windows, которое фильтрует информацию, поступающие в систему из Интернета, и блокирует потенциально опасные программы. Программное обеспечение брандмауэра блокирует взаимодействие большинства программ через брандмауэр. Для потоковой передачи журналов приложений брандмауэра Windows, собранных с компьютеров, используйте агент Azure Monitor (AMA) для потоковой передачи этих журналов в рабочую область Microsoft Sentinel.
Для сбора журналов необходимо связать настроенную конечную точку сбора данных (DCE). Для этого соединителя DCE автоматически создается в том же регионе, что и рабочая область. Если вы уже используете DCE, хранящийся в том же регионе, можно изменить созданный по умолчанию DCE и использовать существующий через API. Контроллеры домена могут находиться в ресурсах с префиксом SentinelDCE в имени ресурса.
Дополнительные сведения см. в следующих статьях:
- конечные точки коллекции Data в Azure Monitor
- документация Microsoft Sentinel
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правила сбора данных: В настоящее время не поддерживается
Windows перенаправленные события
Поддерживается корпорацией Майкрософт
Вы можете передавать все журналы пересылки событий Windows (WEF) из серверов Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Azure Monitor (AMA). Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
WindowsEvent |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Windows Security События через AMA
Поддерживается корпорацией Майкрософт
Вы можете передавать все события безопасности с Windows компьютеров, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityEvent |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
WithSecure Elements API (функция Azure)
Поддерживается:WithSecure
WithSecure Elements — это единая облачная платформа кибербезопасности, предназначенная для снижения риска, сложности и неэффективности.
Повышение безопасности от конечных точек до облачных приложений. Вооружитесь всеми типами киберугрышных угроз, от целевых атак до программ-шантажистов нулевого дня.
WithSecure Elements объединяет мощные прогнозные, профилактические и адаптивные возможности безопасности — все управляемые и отслеживаемые через единый центр безопасности. Наша модульная структура и гибкие модели ценообразования дают вам свободу развиваться. С нашим опытом и пониманием, вы всегда будете иметь возможность - и вы никогда не будете одиноки.
Интеграция Microsoft Sentinel позволяет сопоставить события безопасности из решения WithSecure Elements с данными из других источников, что позволяет получить широкий обзор всей среды и ускорить реакцию на угрозы.
С помощью этого решения Azure Функция развертывается в клиенте, периодически опрашивая события безопасности WithSecure Elements.
Дополнительные сведения см. на нашем веб-сайте: https://www.withsecure.com
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
WsSecurityEvents_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
С учетными данными клиента APISecure Elements: необходимы учетные данные клиента.
Дополнительные сведения см. в документации.
Wiz (с помощью Azure Functions)
Поддерживается:Wiz
Соединитель Wiz позволяет легко отправлять журналы проблем Wiz, Результаты уязвимостей и журналы аудита в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) |
нет | нет |
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) |
нет | нет |
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные учетной записи службы Wiz. Убедитесь, что у вас есть идентификатор клиента и секрет клиента Wiz, URL-адрес конечной точки API и URL-адрес проверки подлинности. Инструкции можно найти в документации По Wiz.
Действие пользователя Workday
Поддерживается корпорацией Майкрософт
Соединитель данных данных Workday пользовательских данных предоставляет возможность приема журналов действий пользователей из API в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ASimAuditEventLogs |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
-
Доступ к API действий пользователя Workday: требуется доступ к API действий пользователя Workday через Oauth. Клиент API должен иметь область действия: система и она должна быть авторизована учетной записью с разрешениями системного аудита.
Workplace из Facebook (с помощью Azure Functions)
Поддерживается корпорацией Майкрософт
Соединитель данных Workplace предоставляет возможность приема распространенных событий Workplace в Microsoft Sentinel через веб-перехватчики. С помощью веб-перехватчиков настраиваемые приложения интеграции могут подписываться на события в Workplace и получать обновления в режиме реального времени. При изменении в Workplace запрос HTTPS POST со сведениями о событии отправляется в URL-адрес соединителя данных обратного вызова. Дополнительные сведения см. в документации по веб-перехватчикам . Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Workplace_Facebook_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения веб-перехватчиков: WorkplaceAppSecret, WorkplaceVerifyToken, URL-адрес обратного вызова необходим для работы веб-перехватчиков. Дополнительные сведения о настройке веб-перехватчиков и настройке разрешений см. в документации.
Платформа безопасности XBOW (через функцию Azure)
Поддерживается:XBOW
Соединитель данных XBOW отправляет моментальные снимки ресурсов, результаты уязвимостей и действия оценки из платформы безопасности XBOW в Microsoft Sentinel. Функция Azure опрашивает API XBOW в таймере и отправляет моментальные снимки XbowAssets_CLресурса JSON в , обогащенные результаты (с доказательствами, рецептами PoC, воздействием и устранением рисков) XbowFindings_CLв события XbowAssessments_CLжизненного цикла оценки и в события жизненного цикла оценки с помощью API приема Azure Monitor (DCE/DCR).
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
XbowAssets_CL |
нет | нет |
XbowFindings_CL |
нет | нет |
XbowAssessments_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Маркер API XBOW: требуется личный маркер доступа XBOW. Создайте его в консоли XBOW в разделе "Параметры > личных маркеров доступа". Область действия маркера в организации, которую вы хотите отслеживать.
- Идентификатор организации XBOW: идентификатор организации из учетной записи XBOW. Найдите его в URL-адресе консоли XBOW или через API.
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
- Пользовательские предварительные требования при необходимости удаляются в противном случае этот таможенный тег: описание любых пользовательских предварительных требований
-
Регистрация приложений Azure AD. Требуется регистрация приложений Azure AD (субъект-служба). После развертывания необходимо вручную назначить роль издателя метрик мониторинга в правиле сбора данных (DCR).
Сегмент нулевых сетей (push)
Поддерживается:Zero Networks
Соединитель push-уведомлений "Сегмент нулевых сетей" позволяет нулю сети отправлять аудиты, действия сети, действия удостоверений и действия RPC непосредственно в Microsoft Sentinel в режиме реального времени. Разверните соединитель для создания правила сбора данных (DCR) и приложения Microsoft Entra; затем настройте приложение Zero Networks с подробными сведениями о подключении для отправки событий.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZNAudit_CL |
нет | нет |
ZNNetworkActivity_CL |
нет | нет |
ZNIdentityActivity_CL |
нет | нет |
ZNRPCActivity_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Аудит сегментов нулевых сетей
Поддерживается:Zero Networks
Соединитель данных аудита Zero Networks segment Audit предоставляет возможность приема событий аудита нулевых сетей в Microsoft Sentinel через REST API. Этот соединитель данных использует Microsoft Sentinel возможности собственного опроса.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZNSegmentAuditNativePoller_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Маркер API Zero Networks: ZeroNetworksAPIToken требуется для REST API. Ознакомьтесь с руководством по API и следуйте инструкциям по получению учетных данных.
ZeroFox CTI
Поддерживается:ZeroFox
Соединители данных ZeroFox CTI предоставляют возможность приема различных оповещений ZeroFox аналитики кибер-угроз в Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZeroFox_CTI_advanced_dark_web_CL |
нет | нет |
ZeroFox_CTI_botnet_CL |
нет | нет |
ZeroFox_CTI_breaches_CL |
нет | нет |
ZeroFox_CTI_C2_CL |
нет | нет |
ZeroFox_CTI_compromised_credentials_CL |
нет | нет |
ZeroFox_CTI_credit_cards_CL |
нет | нет |
ZeroFox_CTI_dark_web_CL |
нет | нет |
ZeroFox_CTI_discord_CL |
нет | нет |
ZeroFox_CTI_disruption_CL |
нет | нет |
ZeroFox_CTI_email_addresses_CL |
нет | нет |
ZeroFox_CTI_exploits_CL |
нет | нет |
ZeroFox_CTI_irc_CL |
нет | нет |
ZeroFox_CTI_malware_CL |
нет | нет |
ZeroFox_CTI_national_ids_CL |
нет | нет |
ZeroFox_CTI_phishing_CL |
нет | нет |
ZeroFox_CTI_phone_numbers_CL |
нет | нет |
ZeroFox_CTI_ransomware_CL |
нет | нет |
ZeroFox_CTI_telegram_CL |
нет | нет |
ZeroFox_CTI_threat_actors_CL |
нет | нет |
ZeroFox_CTI_vulnerabilities_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения API ZeroFox: имя пользователя ZeroFox, личный маркер доступа ZeroFox требуется для REST API ZeroFox CTI.
ZeroFox Enterprise — оповещения (опрос CCF)
Поддерживается:ZeroFox
Собирает оповещения из API ZeroFox.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZeroFoxAlertPoller_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
Защита от угроз Zimperium Mobile
Поддерживается:Zimperium
Соединитель Zimperium Mobile Threat Defense позволяет подключать журнал угроз Zimperium с Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения исследования. За счет этого вы получите более полное представление о ландшафте угроз для мобильных устройств своей организации и сможете более эффективно обеспечивать безопасность.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZimperiumThreatLog_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Масштабирование отчетов (с помощью функций Azure)
Поддерживается корпорацией Майкрософт
Соединитель данных Zoom Отчеты предоставляет возможность приема событий Zoom Reports в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Zoom_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения REST API: AccountID, ClientID и ClientSecret требуются для API масштабирования. Дополнительные сведения см. в разделе API масштабирования.
Следуйте инструкциям по конфигурациям API Масштабирования.
Соединитель отчетов Zoom (через платформу соединителя без кода)
Поддерживается корпорацией Майкрософт
Соединитель данных "Отчеты масштабирования " позволяет получать данные отчеты масштабирования в Microsoft Sentinel с помощью REST API масштабирования версии 2, что позволяет отслеживать использование и аудит использования масштабирования в организации. Этот соединитель использует учетные данные учетной записи OAuth сервера на сервере для проверки подлинности и поддерживает прием нескольких типов отчетов, включая отчеты о ежедневном использовании для статистики собраний и метрик использования собраний, Отчеты пользователей для сведений об активном и неактивном узле пользователя, Отчеты телефонии для статистики использования телефонии, Отчеты об использовании облачных записей для облачного хранилища и записи, журналы операций для административных операций и аудита, и журналы действий для действий входа и выхода пользователей. Каждый тип отчета собирается в отдельной конфигурации опроса с поддержкой автоматической разбиения на страницы с помощью NextPageToken. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework и поддерживает преобразования времени приема данных на основе DCR для оптимизации производительности запросов.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZoomV2_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
-
Доступ к API масштабирования: доступ к REST API масштабирования версии 2 с учетными данными учетной записи
Устаревшие соединители данных Sentinel
Note
В следующей таблице перечислены устаревшие и устаревшие соединители данных. Устаревшие соединители больше не поддерживаются.
[Не рекомендуется] GitHub Журнал аудита предприятия
Поддерживается корпорацией Майкрософт
Соединитель журнала аудита GitHub предоставляет возможность приема GitHub журналов в Microsoft Sentinel. Подключив журналы аудита GitHub к Microsoft Sentinel, эти данные можно просмотреть в книгах, использовать его для создания пользовательских оповещений и улучшения процесса исследования.
Note: Если вы намерены принять GitHub подписанных событий в Microsoft Sentinel, обратитесь к коллекции соединителей GitHub (с помощью веб-перехватчиков) из коллекции "Data Connectors".
ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GitHubAuditLogPolling_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
- GitHub личные маркеры доступа API. Для включения опроса для журнала аудита организации требуется GitHub личный маркер доступа. Вы можете использовать классический маркер с областью read:org или более точного маркера с областью "Администрирование: только для чтения".
-
GitHub тип Enterprise: этот соединитель будет работать только с GitHub Enterprise Cloud; он не будет поддерживать GitHub Enterprise Server.
[Не рекомендуется] Infoblox SOC Insights Data Connector через устаревший агент
Поддерживается:Infoblox
Соединитель данных Infoblox SOC Insights позволяет легко подключать данные Infoblox BloxOne SOC Insights с Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами корреляции поиска, оповещения и обогащения аналитики угроз для каждого журнала.
Этот соединитель данных отправляет журналы Infoblox SOC Insights CDC в рабочую область Log Analytics с помощью устаревшего агента Log Analytics.
Корпорация Майкрософт рекомендует установить соединитель данных Infoblox SOC Insights через соединитель AMA. Устаревший соединитель использует агент Log Analytics, который не рекомендуется использовать Aug 31, 2024, и должен быть установлен только в том случае, если AMA не поддерживается.
Использование MMA и AMA на одном компьютере может привести к дублированию журналов и дополнительным затратам на прием. Дополнительные сведения.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
[Не рекомендуется] Наблюдение
Поддерживается:Lookout
Соединитель данных Lookout предоставляет возможность приема событий Lookout в Microsoft Sentinel через API мобильных рисков. Дополнительные сведения см. в документации по API. Соединитель данных Lookout предоставляет возможность получать события, которые помогают изучить потенциальные риски безопасности и многое другое.
ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Lookout_CL |
нет | нет |
Поддержка правила сбора данных: В настоящее время не поддерживается
Prerequisites:
- Microsoft.Web/sites permissions: требуется разрешение на чтение и запись для Azure Functions для создания приложения-функции. Дополнительные сведения см. в разделе Azure Functions.
-
Учетные данные и разрешения API для мобильных рисков: EnterpriseName и ApiKey требуются для API мобильных рисков. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
[Устаревшие] Microsoft Exchange журналы и события
Поддерживается:Community
Не рекомендуется использовать соединители данных ESI-Opt. Вы можете передавать все события аудита Exchange, журналы IIS, журналы HTTP-прокси и журналы событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. Это используется Microsoft Exchange книги безопасности для предоставления аналитических сведений о безопасности локальной среды Exchange.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Event |
Да | нет |
SecurityEvent |
Да | Да |
W3CIISLog |
Да | нет |
MessageTrackingLog_CL |
Да | Да |
ExchangeHttpProxy_CL |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Prerequisites:
События безопасности с помощью устаревшего агента
Поддерживается корпорацией Майкрософт
Вы можете передавать все события безопасности с Windows компьютеров, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности. Дополнительные сведения см. в документации Microsoft Sentinel.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityEvent |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Subscription на основе Microsoft Defender for Cloud (устаревшая версия)
Поддерживается корпорацией Майкрософт
Microsoft Defender for Cloud — это средство управления безопасностью, которое позволяет обнаруживать и быстро реагировать на угрозы в Azure, гибридных и многооблачных рабочих нагрузках. Этот соединитель позволяет выполнять потоковую передачу оповещений системы безопасности из Microsoft Defender for Cloud в Microsoft Sentinel, чтобы просматривать данные Defender в книгах, запрашивать их для создания оповещений, а также исследовать инциденты и реагировать на них.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Системный журнал с помощью устаревшего агента
Поддерживается корпорацией Майкрософт
Системный журнал Syslog — это протокол ведения журнала событий, который обычно используется в Linux. Приложения отправляют сообщения, которые могут храниться на локальном компьютере или передаваться в сборщик системного журнала. Если агент для Linux установлен, он настраивает локальный демон syslog для отправки журналов агенту. Агент затем отправляет сообщение в рабочее пространство.
Log Analytics таблицы):
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Syslog |
Да | Да |
Поддержка правила сбора данных:преобразование DCR в рабочей области
Дальнейшие шаги
Дополнительные сведения см. в разделе:
- каталог решений Microsoft Sentinel
- интеграция Threat intelligence в Microsoft Sentinel