Подключение Microsoft Sentinel в другие службы Майкрософт с соединителем данных на основе API
В этой статье описывается, как создавать подключения на основе API к Microsoft Sentinel. Microsoft Sentinel использует основу Azure для предоставления встроенной поддержки между службами для приема данных из многих служб Azure и Microsoft 365, Amazon Web Services и различных служб Windows Server. Существует несколько различных методов, с помощью которых эти подключения создаются.
В этой статье представлены сведения, общие для группы соединителей данных на основе API.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.
Необходимые компоненты
У вас должны быть разрешения на чтение и запись в рабочей области Log Analytics.
У вас должна быть роль глобального администратора или администратора безопасности в арендаторе вашей рабочей области Microsoft Sentinel.
Требования к соединителю данных:
Соединитель данных Лицензирование, затраты и другие предварительные требования Защита идентификации Microsoft Entra - Подписка Microsoft Entra ID P2
- Другие расходы могут применятьсяDynamics 365 - Рабочая лицензия Microsoft Dynamics 365. Недоступно для сред "песочницы".
— По крайней мере одному пользователю назначена лицензия Microsoft/Office 365 E1 или более поздней .
— Ведение журнала аудита, включенное в Microsoft Purview. См . раздел "Включение или отключение аудита".
— Ведение журнала аудита, включенное в среде Microsoft Dataverse. См . ведение журнала действий приложений на основе моделей и Microsoft Dataverse.
- Другие расходы могут применяться.Microsoft Defender для облачных приложений Для журналов Cloud Discovery включите Microsoft Sentinel в качестве SIEM в Microsoft Defender for Cloud Apps. Microsoft Defender для конечной точки Допустимая лицензия для развертывания Microsoft Defender для конечной точки Microsoft Defender для Office 365; Действительная лицензия для Плана 2 ATP Office 365 Microsoft Office 365 — Развертывание Office 365 должно находиться в том же клиенте, что и рабочая область Microsoft Sentinel.
- Другие расходы могут применяться.Microsoft Power BI — Развертывание Office 365 должно находиться в том же клиенте, что и рабочая область Microsoft Sentinel.
- Другие расходы могут применяться.Защита информации Microsoft Purview — Развертывание Office 365 должно находиться в том же клиенте, что и рабочая область Microsoft Sentinel.
- Другие расходы могут применяться.Управление внутренними рисками Microsoft Purview (IRM) — Допустимая подписка для Microsoft 365 E5/A5/G5 или их сопутствующих надстроек соответствия требованиям или IRM.
Полностью подключенное - Управление внутренними рисками Microsoft Purview и заданные политики IRM, генерирующие оповещения.
- Служба IRM Microsoft 365, настроенная для экспорта оповещений IRM в API действий управления Office 365 для получения оповещений через соединитель Microsoft Sentinel.
Instructions
В меню навигации Microsoft Sentinel выберите Соединители данных.
Выберите свою службу в галерее соединителей данных, после чего выберите Открыть страницу соединителя на панели предварительного просмотра.
Выберите Подключиться, чтобы начать потоковую передачу событий и (или) предупреждений из вашей службы в Microsoft Sentinel.
Если на странице соединителя имеется раздел под названием Создание инцидентов — рекомендуется!, выберите Включить, если вы хотите автоматически создавать инциденты из предупреждений.
Вы можете найти и запросить данные для каждой службы, используя имена таблиц, которые отображаются в разделе для соединителя службы на странице Справка по соединителям данных.
Дальнейшие действия
Дополнительные сведения см. в разделе: