Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены все поддерживаемые встроенные соединители данных и ссылки на шаги по развертыванию каждого соединителя.
Важно!
- Обратите внимание, что соединители данных Microsoft Sentinel сейчас находятся в предварительной версии. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к Azure функциям, которые находятся в бета-версии, предварительной версии или еще не выпущены в общедоступную версию.
- После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 г. многие новые клиенты автоматически подключены и перенаправляются на портал Defender. Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуем начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье Время перемещения: портал Azure списания Microsoft Sentinel для повышения безопасности.
Соединители данных доступны в рамках следующих предложений:
Решения. Многие соединители данных развертываются как часть решения Microsoft Sentinel вместе со связанным содержимым, таким как правила аналитики, книги и сборники схем. Дополнительные сведения см. в каталоге решений Microsoft Sentinel.
Соединители сообщества. Дополнительные соединители данных предоставляются сообществом Microsoft Sentinel, и их можно найти в Azure Marketplace. За документацию по соединителям данных сообщества отвечает организация, создающая соединитель.
Настраиваемые соединители. Если у вас есть источник данных, который не указан в списке или не поддерживается в настоящее время, можно также создать собственный настраиваемый соединитель. Дополнительные сведения см. в разделе Ресурсы для создания Microsoft Sentinel настраиваемых соединителей.
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в Microsoft Sentinel таблицах доступности облачных функций для клиентов из государственных организаций США.
Предварительные требования для соединителя данных
Каждый соединитель данных имеет собственный набор предварительных требований. Предварительные требования могут включать в себя наличие определенных разрешений на Azure рабочей области, подписки или политики. Кроме того, необходимо выполнить другие требования к источнику данных партнера, к которому вы подключаетесь.
Предварительные требования для каждого соединителя данных перечислены на соответствующей странице соединителя данных в Microsoft Sentinel.
соединителям данных на основе агента мониторинга (AMA) Azure требуется подключение к Интернету из системы, в которой установлен агент. Включите исходящий порт 443, чтобы разрешить подключение между системой, в которой установлен агент, и Microsoft Sentinel.
Соединители системного журнала и общего формата событий (CEF)
Сбор журналов со многих устройств и устройств безопасности поддерживается соединителями данных Syslog через AMA или Common Event Format (CEF) через AMA в Microsoft Sentinel. Чтобы перенаправить данные в рабочую область Log Analytics для Microsoft Sentinel, выполните действия, описанные в статье Прием сообщений системного журнала и CEF для Microsoft Sentinel с помощью агента мониторинга Azure. Эти шаги включают установку решения Microsoft Sentinel для (модуль) безопасности или устройства из Центра содержимого в Microsoft Sentinel. Затем настройте системный журнал через AMA или общий формат событий (CEF) через соединитель данных AMA, подходящий для установленного решения Microsoft Sentinel. Завершите настройку, настроив устройство безопасности или (модуль). Инструкции по настройке устройства безопасности или (модуль) см. в одной из следующих статей:
- CEF через соединитель данных AMA— настройка определенных (модуль) или устройства для приема данных Microsoft Sentinel
- Системный журнал через соединитель данных AMA— настройка определенного (модуль) или устройства для приема данных Microsoft Sentinel
Обратитесь к поставщику решений для получения дополнительных сведений или о том, где сведения недоступны для (модуль) или устройства.
Пользовательские журналы через соединитель AMA
Фильтрация и прием журналов в текстовом формате из сетевых приложений или приложений безопасности, установленных на компьютерах с Windows или Linux, с помощью соединителя Пользовательские журналы через AMA в Microsoft Sentinel. Дополнительные сведения см. в следующих статьях:
- Сбор журналов из текстовых файлов с помощью агента мониторинга Azure и прием Microsoft Sentinel
- Пользовательские журналы через соединитель данных AMA— настройка приема данных для Microsoft Sentinel из определенных приложений
соединители данных Sentinel
Примечание.
В следующей таблице перечислены соединители данных, доступные в центре содержимого Microsoft Sentinel. Соединители поддерживаются поставщиком продукта. Сведения о поддержке см. по ссылке Поддерживаемые .
Совет
Список таблиц, попадающих в Microsoft Sentinel, и соединителей, которые их приемывают, см. в разделе Microsoft Sentinel таблиц и связанных соединителей.
1Password (бессерверный)
Поддерживается:1Password
Соединитель CCF 1Password позволяет пользователю принимать события 1Password Audit, Signin & ItemUsage в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OnePasswordEventLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Токен API 1Пароль. Требуется маркер API 1Password. Сведения о создании маркера API см. в документации по 1Password .
1Password (с помощью Функции Azure)
Поддерживается:1Password
Решение 1Password для Microsoft Sentinel позволяет принимать попытки входа, использование элементов и события аудита из учетной записи 1Password Business с помощью API отчетов о событиях 1Password. Это позволяет отслеживать и исследовать события в 1Password в Microsoft Sentinel наряду с другими приложениями и службами, которые использует ваша организация.
Используемые базовые технологии Майкрософт:
Это решение зависит от следующих технологий, некоторые из которых могут находиться в состоянии предварительной версии или нести дополнительные затраты на прием или эксплуатацию:
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OnePasswordEventLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- 1 Токен API событийПароль. Требуется маркер API событий 1Password. Дополнительные сведения см. в разделе API 1Password.
Примечание: Требуется учетная запись 1Password Business
Наблюдаемость A365
Поддерживается корпорациейМайкрософт
Соединитель данных наблюдаемости A365 предоставляет более подробные сведения о действиях агента ИИ, предоставляя данные телеметрии агента ИИ из A365, AI Foundry и Copilot в Microsoft Sentinel озера данных для изучения поведения агента, использования инструментов и выполнения с помощью рабочих процессов охоты, графа и MCP. Данные из этого соединителя используются для изучения поведения агента ИИ, использования инструментов и выполнения в Microsoft Sentinel. Если вы включили эти рабочие процессы, деактивация этого соединителя предотвратит выполнение этих исследований.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правил сбора данных: В настоящее время не поддерживается
AbnormalSecurity (использование функции Azure)
Поддерживается:аномальная безопасность
Соединитель данных Abnormal Security предоставляет возможность приема журналов угроз и случаев в Microsoft Sentinel с помощью REST API аномальной безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ABNORMAL_THREAT_MESSAGES_CL |
Нет | Нет |
ABNORMAL_CASES_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер аномального API безопасности. Требуется маркер аномального API безопасности. Дополнительные сведения см. в разделе Аномальные API безопасности.
Примечание: Требуется аномальная учетная запись безопасности
AIShield
Поддерживается:AIShield
Соединитель AIShield позволяет пользователям подключаться к журналам пользовательского механизма защиты AIShield с помощью Microsoft Sentinel, что позволяет создавать динамические панели мониторинга, книги, записные книжки и специализированные оповещения для улучшения исследования и предупреждения атак на системы ИИ. Она дает пользователям больше сведений о безопасности активов ИИ своей организации и улучшает возможности операций по обеспечению безопасности систем ИИ. AIShield.GuArdIan анализирует созданное LLM-содержимое для выявления и устранения вредоносного содержимого, защиты от нарушений на основе законодательства, политики, ролей и использования
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AIShield_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Примечание. Пользователи должны были использовать предложение SaaS AIShield для анализа уязвимостей и развертывания пользовательских механизмов защиты, созданных вместе с их ресурсом ИИ.
Щелкните здесь , чтобы узнать больше или связаться.
Alibaba Cloud ActionTrail (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Alibaba Cloud ActionTrail позволяет извлекать события actiontrail, хранящиеся в простой службе журналов Alibaba Cloud, и хранить их в Microsoft Sentinel через REST API SLS. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AliCloudActionTrailLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Учетные данные и разрешения REST API SLS. Для выполнения вызовов API требуются AliCloudAccessKeyId и AliCloudAccessKeySecret . Инструкция политики ОЗУ с действием atleast
log:GetLogStoreLogsнад ресурсомacs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName}необходима, чтобы предоставить пользователю ОЗУ разрешения на вызов этой операции.
Alibaba Cloud Networking Data Connector (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Alibaba Cloud Networking предоставляет возможность приема сетевых данных Alibaba Cloud в Microsoft Sentinel с помощью REST API простой службы журналов (SLS). Дополнительные сведения см. в документации по API . Соединитель позволяет получать журналы потоков VPC, журналы WAF и журналы шлюза API из Alibaba Cloud.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AlibabaCloudVPCFlowLogs |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Доступ к API Alibaba Cloud SLS. Доступ к простой службе журналов Alibaba Cloud требуется для API SLS.
AliCloud (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных AliCloud предоставляет возможность извлекать журналы из облачных приложений с помощью облачного API и хранить события в Microsoft Sentinel через REST API. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AliCloud_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API. Для выполнения вызовов API требуются AliCloudAccessKeyId и AliCloudAccessKey .
Amazon Web Services
Поддерживается корпорациейМайкрософт
В процессе установки отображаются инструкции по подключению к AWS и потоковой передаче журналов CloudTrail в Microsoft Sentinel. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSCloudTrail |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Amazon Web Services CloudFront (с помощью платформы соединителей без кода) (предварительная версия)
Поддерживается корпорациейМайкрософт
Этот соединитель данных позволяет интегрировать журналы AWS CloudFront с Microsoft Sentinel для поддержки расширенного обнаружения угроз, исследования и мониторинга безопасности. Используя Amazon S3 для хранения журналов и Amazon SQS для очереди сообщений, соединитель надежно приемлет журналы доступа CloudFront в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSCloudFront_AccessLog_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Эластичная балансировка нагрузки Amazon Web Services (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель AWS Elastic Load Balanceing (ELB) для Microsoft Sentinel позволяет принимать журналы доступа и журналы потоков из AWS Application Load Balancers (ALB), сетевой подсистемы балансировки нагрузки (NLB) и подсистем балансировки нагрузки шлюза (GLB) в Microsoft Sentinel. Эти журналы содержат подробные сведения о запросах, обрабатываемых подсистемами балансировки нагрузки и потоками трафика VPC, обеспечивая мониторинг безопасности, обнаружение угроз и анализ трафика.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSALBAccessLogsData |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Aws IAM Role ARN и SQS Queue: требуется ARN роли AWS IAM с доступом между учетными записями и URL-адрес очереди SQS , настроенный для уведомлений о событиях S3. Инструкции по настройке см. в документации по соединителю AWS ELB .
Amazon Web Services NetworkFirewall (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Этот соединитель данных позволяет принимать журналы брандмауэра сети AWS в Microsoft Sentinel для расширенного обнаружения угроз и мониторинга безопасности. Используя Amazon S3 и Amazon SQS, соединитель пересылает журналы сетевого трафика, оповещения об обнаружении вторжений и события брандмауэра в Microsoft Sentinel, обеспечивая анализ в режиме реального времени и корреляцию с другими данными безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSNetworkFirewallFlow |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Amazon Web Services S3
Поддерживается корпорациейМайкрософт
Этот соединитель позволяет принимать журналы служб AWS, собранные в контейнерах AWS S3, для Microsoft Sentinel. В настоящее время поддерживаются следующие типы данных:
- AWS CloudTrail
- Журналы потоков VPC
- AWS GuardDuty
- AWSCloudWatch
Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSGuardDuty |
Да | Да |
AWSVPCFlow |
Да | Да |
AWSCloudTrail |
Да | Да |
AWSCloudWatch |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Среда. Необходимо определить и настроить следующие ресурсы AWS: S3, simple Queue Service (SQS), роли IAM и политики разрешений, а также службы AWS, журналы которых требуется собрать.
Amazon Web Services S3 DNS Route53 (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Этот соединитель позволяет принимать журналы DNS AWS Route 53 в Microsoft Sentinel для улучшения видимости и обнаружения угроз. Он поддерживает журналы запросов Сопоставителя DNS, поступающие непосредственно из контейнеров AWS S3, в то время как общедоступные журналы запросов DNS и журналы аудита route 53 можно принимать с помощью соединителей AWS CloudWatch и CloudTrail Microsoft Sentinel. Приводятся подробные инструкции по настройке каждого типа журнала. Используйте этот соединитель для мониторинга активности DNS, обнаружения потенциальных угроз и улучшения состояния безопасности в облачных средах.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSRoute53Resolver |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Amazon Web Services S3 WAF
Поддерживается корпорациейМайкрософт
Этот соединитель позволяет принимать журналы AWS WAF, собранные в контейнерах AWS S3, для Microsoft Sentinel. Журналы AWS WAF — это подробные записи трафика, которые анализируются списками управления доступом (ACL), которые необходимы для обеспечения безопасности и производительности веб-приложений. Эти журналы содержат такие сведения, как время получения запроса AWS WAF, особенности запроса и действия, предпринятые правилом, с которым совпадает запрос.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSWAF |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Anvilogic
Поддерживается:Anvilogic
Соединитель данных Anvilogic позволяет извлекать интересующие события, созданные в кластере Anvilogic ADX, в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Anvilogic_Alerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Идентификатор клиента и секрет клиента для регистрации приложения Anvilogic: для доступа к Anvilogic ADX требуется идентификатор клиента и секрет клиента из регистрации приложения Anvilogic.
ARGOS Cloud Security
Поддерживается:ARGOS Cloud Security
Интеграция ARGOS Cloud Security для Microsoft Sentinel позволяет выполнять все важные события безопасности в облаке в одном месте. Это позволяет легко создавать панели мониторинга, оповещения и коррелировать события в нескольких системах. В целом это улучшит состояние безопасности вашей организации и реагирование на инциденты безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ARGOS_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Действия с оповещениями Armis (с помощью Функции Azure)
Поддерживается корпорациейArmis
Соединитель Действий оповещений Armis предоставляет возможность приема оповещений и действий Armis в Microsoft Sentinel с помощью REST API Armis. Дополнительные сведения см. в документации https://<YourArmisInstance>.armis.com/api/v1/docs по API. Соединитель предоставляет возможность получать сведения об оповещениях и действиях с платформы Armis, а также выявлять и определять приоритеты угроз в вашей среде. Armis использует существующую инфраструктуру для обнаружения и идентификации устройств без необходимости развертывания агентов.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Armis_Alerts_CL |
Нет | Нет |
Armis_Activities_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуется секретный ключ Armis . Дополнительные сведения об API см. в документации по
https://<YourArmisInstance>.armis.com/api/v1/doc
Устройства Armis (с помощью Функции Azure)
Поддерживается корпорациейArmis
Соединитель устройств Armis предоставляет возможность приема устройств Armis в Microsoft Sentinel через REST API Armis. Дополнительные сведения см. в документации https://<YourArmisInstance>.armis.com/api/v1/docs по API. Соединитель предоставляет возможность получать сведения об устройстве с платформы Armis. Armis использует существующую инфраструктуру для обнаружения и идентификации устройств без необходимости развертывания агентов. Armis также может интегрироваться с существующими средствами управления безопасностью ИТ-& для идентификации и классификации каждого устройства, управляемого или неуправляемого в вашей среде.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Armis_Devices_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуется секретный ключ Armis . Дополнительные сведения об API см. в документации по
https://<YourArmisInstance>.armis.com/api/v1/doc
Atlassian Beacon Alerts
Поддерживается:DEFEND Ltd.
Atlassian Beacon — это облачный продукт, созданный для интеллектуального обнаружения угроз на платформах Atlassian (Jira, Confluence и Atlassian Администратор). Это может помочь пользователям обнаруживать, исследовать и реагировать на рискованные действия пользователей для набора продуктов Atlassian. Решение представляет собой настраиваемый соединитель данных от КОМПАНИИ DEFENSE Ltd., который используется для визуализации оповещений, поступающих из Atlassian Beacon в Microsoft Sentinel через приложение логики.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
atlassian_beacon_alerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Аудит Atlassian Confluence (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Atlassian Confluence Audit предоставляет возможность принимать события записей аудита Confluence в Microsoft Sentinel с помощью REST API. Дополнительные сведения см. в документации по API . Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ConfluenceAuditLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Доступ к API Atlassian Confluence. Для получения доступа к API журналов аудита Confluence требуется разрешение на администрирование Confluence . Дополнительные сведения об API аудита см. в документации по API confluence .
Atlassian Jira Audit (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Atlassian Jira Audit предоставляет возможность приема событий Jira Audit Records в Microsoft Sentinel с помощью REST API. Дополнительные сведения см. в документации по API . Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Jira_Audit_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: для REST API требуется JiraAccessToken, JiraUsername . Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
Atlassian Jira Audit (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Atlassian Jira Audit предоставляет возможность приема событий Jira Audit Records в Microsoft Sentinel с помощью REST API. Дополнительные сведения см. в документации по API . Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Jira_Audit_v2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Доступ к API Atlassian Jira. Разрешение на администрирование Jira требуется для получения доступа к API журналов аудита Jira. Дополнительные сведения об API аудита см. в документации по API Jira .
Управление доступом Auth0 (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Управления доступом Auth0 предоставляет возможность приема событий журнала Auth0 в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Auth0AM_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуется маркер API . Дополнительные сведения см. в разделе Токен API.
Журналы Auth0 (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Auth0 позволяет принимать журналы из API Auth0 в Microsoft Sentinel. Соединитель данных создан на основе Microsoft Sentinel платформы соединителей без кода. Он использует API Auth0 для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не нуждались в их повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Auth0Logs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Автоматизированная логика WebCTRL
Поддерживается корпорациейМайкрософт
Вы можете выполнять потоковую передачу журналов аудита с сервера SQL WebCTRL, размещенного на компьютерах Windows, подключенных к Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Это дает аналитические сведения о системах промышленного управления, которые отслеживаются или контролируются приложением WebCTRL BAS.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Event |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Соединитель данных AWS EKS (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных AWS EKS предоставляет возможность приема журналов аудита из Amazon Elastic Kubernetes Service в Microsoft Sentinel. Этот соединитель предназначен для журналов аудита EKS (формат JSON), которые содержат подробные сведения о запросах сервера API, решениях проверки подлинности и действиях кластера. Соединитель использует AWS SQS для получения уведомлений при экспорте новых файлов журнала аудита в S3, обеспечивая мониторинг безопасности и отслеживание соответствия требованиям для кластеров Kubernetes в режиме реального времени.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSEKSLogs_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Журналы доступа к серверу AWS S3 (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Этот соединитель позволяет принимать журналы доступа к серверу AWS S3 в Microsoft Sentinel. Эти журналы содержат подробные записи о запросах, выполненных в контейнеры S3, включая тип запроса, доступ к ресурсу, сведения о запросе и сведения об ответе. Эти журналы полезны для анализа шаблонов доступа, отладки проблем и обеспечения соответствия требованиям безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSS3ServerAccess |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Среда. Необходимо определить и настроить следующие ресурсы AWS: контейнер S3, простая служба очередей (SQS), роли IAM и политики разрешений.
Результаты aws Security Hub (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Этот соединитель позволяет принимать результаты AWS Security Hub, собранные в контейнерах AWS S3, в Microsoft Sentinel. Она помогает упростить процесс мониторинга оповещений системы безопасности и управления ими, интегрируя результаты AWS Security Hub с расширенными возможностями обнаружения угроз и реагирования на угрозы Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AWSSecurityHubFindings |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Среда. Необходимо определить и настроить следующие ресурсы AWS: Центр безопасности AWS, Amazon Data Firehose, Amazon EventBridge, контейнер S3, простая служба очередей (SQS), роли IAM и политики разрешений.
Действия Azure
Поддерживается корпорациейМайкрософт
журнал действий Azure — это журнал подписки, который предоставляет сведения о событиях уровня подписки, происходящих в Azure, включая события из Azure Resource Manager операционных данных, события работоспособности служб, операции записи, выполняемые с ресурсами в подписке, а также состояние действий, выполненных в Azure. Дополнительные сведения см. в документации по Microsoft Sentinel .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureActivity |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Учетная запись пакетная служба Azure
Поддерживается корпорациейМайкрософт
учетная запись пакетная служба Azure — это уникально идентифицируемая сущность в пакетной службе. Большинство решений пакетной службы используют хранилище Azure для хранения файлов ресурсов и выходных файлов, поэтому каждая учетная запись пакетной службы обычно связана с соответствующей учетной записью хранения. Этот соединитель позволяет выполнять потоковую передачу пакетная служба Azure учетной записи диагностика журналов в Microsoft Sentinel, что позволяет непрерывно отслеживать действия. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Политика: роль владельца, назначенная для каждого назначения политики область
Azure CloudNGFW от Palo Alto Networks
Поддерживается:Palo Alto Networks
Cloud Next-Generation Firewall by Palo Alto Networks , Azure native ISV Service, — это Брандмауэр нового поколения Palo Alto Networks (NGFW), предоставляемый как облачная служба на Azure. Вы можете обнаружить cloud NGFW в Azure Marketplace и использовать его в виртуальных сетях Azure. С помощью Cloud NGFW вы можете получить доступ к основным возможностям NGFW, таким как app-ID, технологии фильтрации URL-адресов. Он обеспечивает предотвращение и обнаружение угроз с помощью облачных служб безопасности и подписей защиты от угроз. Соединитель позволяет легко подключать журналы Cloud NGFW к Microsoft Sentinel, просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Это дает вам больше сведений о сети вашей организации и улучшает возможности операций безопасности. Дополнительные сведения см. в документации по cloud NGFW для Azure.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
fluentbit_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Когнитивный поиск Azure
Поддерживается корпорациейМайкрософт
Когнитивный поиск Azure — это облачная служба поиска, которая предоставляет разработчикам инфраструктуру, API-интерфейсы и инструменты для создания расширенного интерфейса поиска по частному разнородному содержимому в веб-, мобильных и корпоративных приложениях. Этот соединитель позволяет выполнять потоковую передачу журналов Когнитивный поиск Azure диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Политика: роль владельца, назначенная для каждого назначения политики область
Защита от атак DDoS Azure
Поддерживается корпорациейМайкрософт
Подключитесь к журналам защиты от атак DDoS Azure Standard через журналы диагностики общедоступных IP-адресов. Помимо основной защиты от атак DDoS на платформе, Azure защита от атак DDoS Standard предоставляет расширенные возможности защиты от атак DDoS. Он автоматически настраивается для защиты определенных ресурсов Azure. Защита просто включается во время создания новых виртуальных сетей. Это также можно сделать после создания и не требует изменений приложений или ресурсов. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Azure журналы аудита DevOps (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных журналов аудита Azure DevOps позволяет принимать события аудита из Azure DevOps в Microsoft Sentinel. Этот соединитель данных построен с помощью платформы соединителя без кода Microsoft Sentinel, что обеспечивает беспроблемную интеграцию. Он использует API журналов аудита Azure DevOps для получения подробных событий аудита и поддерживает преобразования времени приема на основе DCR. Эти преобразования позволяют анализировать полученные данные аудита в настраиваемую таблицу во время приема, повышая производительность запросов, устраняя необходимость в дополнительном синтаксическом анализе. С помощью этого соединителя вы можете получить улучшенный обзор среды DevOps Azure и упростить операции по обеспечению безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ADOAuditLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Azure Предварительные требования к DevOps. Убедитесь в следующем:
1. Зарегистрируйте приложение Entra в центре Microsoft Entra Администратор в разделе Регистрация приложений.
2. В разделе "Разрешения API" добавьте разрешения в "Azure DevOps - vso.auditlog".
3. В разделе "Сертификаты & секреты" создайте "Секрет клиента".
4. В разделе "Проверка подлинности" добавьте приведенный ниже URI перенаправления в соответствующее поле.
5. В параметрах Azure DevOps включите журнал аудита и задайте параметр Просмотр журнала аудита для пользователя. Azure Аудит DevOps.
6. Убедитесь, что пользователю, назначенному для подключения к соединителю данных, явно задано разрешение Просмотр журналов аудита значение Разрешить всегда. Это разрешение необходимо для успешного приема журналов. Если разрешение отозвано или не предоставлено, прием данных завершится ошибкой или прерван.
Концентратор событий Azure
Поддерживается корпорациейМайкрософт
Центры событий Azure — это платформа потоковой передачи больших данных и служба приема событий. Он может получать и обрабатывать миллионы событий в секунду. Этот соединитель позволяет выполнять потоковую передачу журналов концентратора событий Azure диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Политика: роль владельца, назначенная для каждого назначения политики область
Брандмауэр Azure
Поддерживается корпорациейМайкрософт
Подключение к Брандмауэр Azure. Брандмауэр Azure — это управляемая облачная служба безопасности сети, которая защищает ресурсы Azure виртуальная сеть. Это брандмауэр как услуга с полным отслеживанием состояния со встроенным высоким уровнем доступности и неограниченной масштабируемостью облака. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
AZFWApplicationRule |
Да | Да |
AZFWFlowTrace |
Да | Да |
AZFWFatFlow |
Да | Да |
AZFWNatRule |
Да | Да |
AZFWDnsQuery |
Да | Да |
AZFWIdpsSignature |
Да | Да |
AZFWInternalFqdnResolutionFailure |
Да | Да |
AZFWNetworkRule |
Да | Да |
AZFWThreatIntel |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Azure Key Vault
Поддерживается корпорациейМайкрософт
Azure Key Vault — это облачная служба для безопасного хранения секретов и доступа к ним. Секрет — это все, к чему требуется жестко управлять доступом, например ключи API, пароли, сертификаты или криптографические ключи. Этот соединитель позволяет выполнять потоковую передачу журналов Azure Key Vault диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Служба Azure Kubernetes (AKS)
Поддерживается корпорациейМайкрософт
Служба Azure Kubernetes (AKS) — это полностью управляемая служба оркестрации контейнеров с открытым кодом, которая позволяет развертывать, масштабировать и администрировать контейнеры Docker и приложения на основе контейнеров в среде кластера. Этот соединитель позволяет выполнять потоковую передачу журналов Служба Azure Kubernetes (AKS) диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Azure Logic Apps
Поддерживается корпорациейМайкрософт
Azure Logic Apps — это облачная платформа для создания и запуска автоматизированных рабочих процессов, которые интегрируют приложения, данные, службы и системы. Этот соединитель позволяет выполнять потоковую передачу журналов Azure Logic Apps диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Политика: роль владельца, назначенная для каждого назначения политики область
Azure Resource Graph
Поддерживается корпорациейМайкрософт
соединитель Azure Resource Graph предоставляет более подробную информацию о событиях Azure, дополняя сведения о Azure подписках и Azure ресурсах.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Политика: разрешение роли владельца для подписок Azure
Служебная шина Azure
Поддерживается корпорациейМайкрософт
Служебная шина Azure — это полностью управляемый корпоративный брокер сообщений с очередями сообщений и разделами публикации и подписки (в пространстве имен). Этот соединитель позволяет выполнять потоковую передачу журналов Служебная шина Azure диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Политика: роль владельца, назначенная для каждого назначения политики область
базы данных Azure SQL
Поддерживается корпорациейМайкрософт
Azure SQL — это полностью управляемое ядро СУБД "платформа как услуга" (PaaS), которое обрабатывает большинство функций управления базами данных, таких как обновление, исправление, резервное копирование и мониторинг, без необходимости привлечения пользователей. Этот соединитель позволяет выполнять потоковую передачу журналов аудита и диагностики баз данных Azure SQL в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
учетная запись хранения Azure
Поддерживается корпорациейМайкрософт
Azure учетная запись хранения — это облачное решение для современных сценариев хранения данных. Он содержит все объекты данных: большие двоичные объекты, файлы, очереди, таблицы и диски. Этот соединитель позволяет выполнять потоковую передачу Azure учетных записей хранения диагностика журналов в рабочую область Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах и обнаруживать вредоносные действия в организации. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureMetrics |
Нет | Нет |
StorageBlobLogs |
Да | Да |
StorageQueueLogs |
Да | Да |
StorageTableLogs |
Да | Да |
StorageFileLogs |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Политика: роль владельца, назначенная для каждого назначения политики область
аналитика Azure Stream
Поддерживается корпорациейМайкрософт
Azure Stream Analytics - это механизм для выполнения аналитики и комплексной обработки событий в режиме реального времени, предназначенный для одновременного анализа и обработки больших объемов данных с быстрой потоковой передачей из нескольких источников. Этот соединитель позволяет выполнять потоковую передачу Azure Stream Аналитики диагностика журналов в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Политика: роль владельца, назначенная для каждого назначения политики область
Azure Брандмауэр веб-приложений (WAF)
Поддерживается корпорациейМайкрософт
Подключитесь к Azure Брандмауэр веб-приложений (WAF) для Шлюз приложений, Front Door или CDN. Этот WAF защищает приложения от распространенных веб-уязвимостей, таких как внедрение кода SQL и межсайтовые скрипты, и позволяет настраивать правила, чтобы уменьшить количество ложных срабатываний. Инструкции по потоковой передаче журналов брандмауэра веб-приложения Майкрософт в Microsoft Sentinel отображаются в процессе установки. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
BETTER Mobile Threat Defense (MTD)
Поддерживается:Better Mobile Security Inc.
Соединитель BETTER MTD позволяет предприятиям подключать экземпляры Better MTD к Microsoft Sentinel, просматривать данные на панелях мониторинга, создавать настраиваемые оповещения, использовать их для запуска сборников схем и расширять возможности охоты на угрозы. Это дает пользователям больше сведений о мобильных устройствах своей организации и позволяет быстро анализировать текущее состояние безопасности мобильных устройств, что улучшает их общие возможности SecOps.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BetterMTDIncidentLog_CL |
Нет | Нет |
BetterMTDDeviceLog_CL |
Нет | Нет |
BetterMTDNetflowLog_CL |
Нет | Нет |
BetterMTDAppLog_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
BeyondTrust PM Cloud
Поддерживается:BeyondTrust
Соединитель данных BeyondTrust Privilege Management Cloud позволяет принимать журналы аудита действий и журналы событий клиента из BeyondTrust PM Cloud в Microsoft Sentinel.
Этот соединитель использует Функции Azure для извлечения данных из API BeyondTrust PM Cloud и приема их в пользовательские таблицы Log Analytics.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BeyondTrustPM_ActivityAudits_CL |
Да | Да |
BeyondTrustPM_ClientEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные BeyondTrust PM Cloud API. Требуются идентификатор клиента И секрет клиента OAuth BeyondTrust PM Cloud. Для учетной записи API требуются следующие разрешения: аудит — только для чтения и отчеты — только для чтения.
Соединитель DSPM BigID
Поддерживается:BigID
Соединитель данных BigID DSPM предоставляет возможность приема bigID DSPM случаев с затронутыми объектами и сведениями из источников данных в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BigIDDSPMCatalog_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Доступ к API BigID DSPM. Требуется доступ к API DSPM BigID через токен BigID.
Bitglass (с использованием Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Bitglass предоставляет возможность получать журналы событий безопасности служб Bitglass и другие события в Microsoft Sentinel через REST API. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BitglassLogs_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API. Для выполнения вызовов API требуются BitglassToken и BitglassServiceURL .
Журналы событий Bitwarden
Поддерживается:Bitwarden Inc
Этот соединитель предоставляет сведения о действиях bitwarden организации, таких как действия пользователя (вход, изменение пароля, 2fa и т. д.), действия шифра (создание, обновление, удаление, совместное использование и т. д.), действия сбора данных, действия организации и многое другое.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BitwardenEventLogs |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Bitwarden Client Id and Client Secret: ключ API можно найти в консоли администрирования bitwarden организации. Дополнительные сведения см. в документации по Bitwarden .
Box (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Box предоставляет возможность приема событий Box enterprise в Microsoft Sentinel с помощью REST API Box. Дополнительные сведения см. в документации по Box .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BoxEvents_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные API Box. Для проверки подлинности JWT в REST API Box требуется ФАЙЛ JSON конфигурации Box. Дополнительные сведения см. в статье Проверка подлинности JWT.
События Box (CCF)
Поддерживается корпорациейМайкрософт
Соединитель данных Box предоставляет возможность приема событий Box enterprise в Microsoft Sentinel с помощью REST API Box. Дополнительные сведения см. в документации по Box .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
BoxEventsV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Учетные данные API Box. Для проверки подлинности ДЛЯ API Box требуется идентификатор клиента приложения Box и секрет клиента. Дополнительные сведения см. в разделе Предоставление учетных данных клиента.
-
Box Enterprise ID. Для подключения требуется Box Enterprise ID. Поиск идентификатора предприятия см. в документации.
Check Point Соединитель CNAPP CloudGuard для Microsoft Sentinel
Поддерживается:Check Point
Соединитель данных CloudGuard позволяет принимать события безопасности из API CloudGuard в Microsoft Sentinel ™ с помощью платформы соединителя без кода Microsoft Sentinel. Соединитель поддерживает преобразования времени приема на основе DCR, которые анализируют входящие данные событий безопасности в пользовательские столбцы. Этот процесс предварительного анализа устраняет необходимость в синтаксическом анализе во время запроса, что приводит к повышению производительности запросов к данным.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CloudGuard_SecurityEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Ключ API CloudGuard. Чтобы создать ключ API, ознакомьтесь с приведенными здесь инструкциями.
соединитель оповещений Check Point cyberint (через платформу соединителей без кода)
Поддерживается:Cyberint
Cyberint, Check Point компания, предоставляет интеграцию Microsoft Sentinel для оптимизации критически важных оповещений и внедрения обогащенной аналитики угроз из решения Infinity External Risk Management в Microsoft Sentinel. Это упрощает процесс отслеживания состояния билетов с помощью автоматической синхронизации обновлений в разных системах. Используя эту новую интеграцию для Microsoft Sentinel, существующие клиенты Cyberint и Microsoft Sentinel могут легко извлекать журналы на основе результатов Cyberint в Microsoft Sentinel платформу.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
argsentdc_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Check Point ключ API Cyberint, URL-адрес Argos и имя клиента: требуется ключ API соединителя, URL-адрес Argos и имя клиента.
Соединитель IOC Check Point Cyberint
Поддерживается:Cyberint
Это соединитель данных для Check Point Cyberint IOC.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
iocsent_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Check Point ключ API Cyberint и URL-адрес Argos: требуется ключ API соединителя и URL-адрес Argos.
Cisco ASA/FTD через AMA
Поддерживается корпорациейМайкрософт
Соединитель брандмауэра Cisco ASA позволяет легко подключать журналы Cisco ASA к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Это дает вам больше сведений о сети вашей организации и улучшает возможности операций безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Для сбора данных с виртуальных машин, отличных от Azure, на них должна быть установлена и включена Azure Arc.
Подробнее
Cisco Cloud Security (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Решение Cisco Cloud Security для Microsoft Sentinel позволяет принимать журналыCisco Secure Access и Cisco Umbrella, хранящиеся в Amazon S3, в Microsoft Sentinel с помощью REST API Amazon S3. Дополнительные сведения см. в документации по управлению журналами Cisco Cloud Security .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cisco_Umbrella_dns_CL |
Да | Да |
Cisco_Umbrella_proxy_CL |
Да | Да |
Cisco_Umbrella_ip_CL |
Да | Да |
Cisco_Umbrella_cloudfirewall_CL |
Да | Да |
Cisco_Umbrella_firewall_CL |
Да | Да |
Cisco_Umbrella_dlp_CL |
Нет | Нет |
Cisco_Umbrella_ravpnlogs_CL |
Нет | Нет |
Cisco_Umbrella_audit_CL |
Нет | Нет |
Cisco_Umbrella_ztna_CL |
Нет | Нет |
Cisco_Umbrella_intrusion_CL |
Нет | Нет |
Cisco_Umbrella_ztaflow_CL |
Нет | Нет |
Cisco_Umbrella_fileevent_CL |
Нет | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API Amazon S3. Для REST API Amazon S3 требуются идентификатор ключа доступа AWS, секретный ключ доступа AWS, имя контейнера AWS S3 .
Cisco Cloud Security (с эластичным планом уровня "Премиум") (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Cisco Umbrella позволяет принимать события Cisco Umbrella, хранящиеся в Amazon S3, в Microsoft Sentinel с помощью REST API Amazon S3. Дополнительные сведения см. в документации по управлению журналами Cisco Umbrella .
ПРИМЕЧАНИЕ: Этот соединитель данных использует план Функции Azure Уровня "Премиум" для включения возможностей безопасного приема данных и будет нести дополнительные затраты. Дополнительные сведения о ценах см. здесь.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cisco_Umbrella_dns_CL |
Да | Да |
Cisco_Umbrella_proxy_CL |
Да | Да |
Cisco_Umbrella_ip_CL |
Да | Да |
Cisco_Umbrella_cloudfirewall_CL |
Да | Да |
Cisco_Umbrella_firewall_CL |
Да | Да |
Cisco_Umbrella_dlp_CL |
Нет | Нет |
Cisco_Umbrella_ravpnlogs_CL |
Нет | Нет |
Cisco_Umbrella_audit_CL |
Нет | Нет |
Cisco_Umbrella_ztna_CL |
Нет | Нет |
Cisco_Umbrella_intrusion_CL |
Нет | Нет |
Cisco_Umbrella_ztaflow_CL |
Нет | Нет |
Cisco_Umbrella_fileevent_CL |
Нет | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API Amazon S3. Для REST API Amazon S3 требуются идентификатор ключа доступа AWS, секретный ключ доступа AWS, имя контейнера AWS S3 .
-
виртуальная сеть разрешения (для частного доступа). Для доступа к частной учетной записи хранения требуются разрешения участника сети в виртуальная сеть и подсети. Подсеть должна быть делегирована Microsoft.Web/serverFarms для интеграции с виртуальной сетью приложения-функции.
Безопасность Cisco Duo (с помощью Функции Azure)
Поддерживается:Cisco Systems
Соединитель данных безопасности Cisco Duo предоставляет возможность приема журналов проверки подлинности, журналов администраторов, журналов телефонии, журналов регистрации в автономном режиме и событий монитора доверия в Microsoft Sentinel с помощью API Администратор Cisco Duo. Дополнительные сведения см. в документации по API .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CiscoDuo_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные API Cisco Duo. Для API Cisco Duo требуются учетные данные API Cisco Duo с разрешением Предоставление разрешения на чтение журнала . Дополнительные сведения о создании учетных данных API Cisco Duo см. в документации .
Cisco ETD (с использованием Функции Azure)
Поддерживается:Н/Д
Соединитель извлекает данные из API ETD для анализа угроз.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CiscoETD_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Email API защиты от угроз, ключ API, идентификатор клиента и секрет. Убедитесь, что у вас есть ключ API, идентификатор клиента и секретный ключ.
Cisco Meraki (с помощью REST API)
Поддерживается корпорациейМайкрософт
Соединитель Cisco Meraki позволяет легко подключать события организации Cisco Meraki (события безопасности, изменения конфигурации и запросы API) к Microsoft Sentinel. Соединитель данных использует REST API Cisco Meraki для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные и прием в ASIM и пользовательские таблицы в рабочей области Log Analytics. Этот соединитель данных использует такие возможности, как фильтрация времени приема на основе DCR, нормализация данных.
Поддерживаемая схема ASIM:
- Сетевой сеанс
- Веб-сеанс
- Событие аудита
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ASimNetworkSessionLogs |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Ключ REST API Cisco Meraki. Включите доступ к API в Cisco Meraki и создайте ключ API. Дополнительные сведения см. в официальной документации по Cisco Meraki.
-
Идентификатор организации Cisco Meraki. Получите идентификатор организации Cisco Meraki для получения событий безопасности. Выполните действия, описанные в документации , чтобы получить идентификатор организации с помощью ключа API Meraki, полученного на предыдущем шаге.
Безопасная конечная точка Cisco (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных безопасной конечной точки Cisco (ранее — AMP для конечных точек) предоставляет возможность приема журналов аудита и событий конечной точки Cisco Secure в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CiscoSecureEndpointAuditLogsV2_CL |
Да | Да |
CiscoSecureEndpointEventsV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Учетные данные и регионы API безопасной конечной точки Cisco. Чтобы создать учетные данные API и понять регионы, перейдите по ссылке на документ, приведенный здесь.
Щелкните здесь.
Программно определяемая глобальная сеть Cisco
Поддерживается:Cisco Systems
Соединитель данных Cisco Software Defined WAN (SD-WAN) предоставляет возможность приема данных системного журнала Cisco SD-WAN и Netflow в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Syslog |
Да | Да |
CiscoSDWANNetflow_CL |
Нет | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Claroty xDome
Поддерживается службой поддержкиклиентов xDome
Claroty xDome предоставляет комплексные возможности управления безопасностью и оповещениями для медицинских и промышленных сетевых сред. Он предназначен для сопоставления нескольких типов источников, идентификации собранных данных и их интеграции в модели данных Microsoft Sentinel. Это позволяет отслеживать все потенциальные угрозы в медицинских и промышленных средах в одном расположении, что приводит к более эффективному мониторингу безопасности и укреплению состояния безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Cloudflare (предварительная версия) (с помощью Функции Azure)
Поддерживается:Cloudflare
Соединитель данных Cloudflare предоставляет возможность приема журналов Cloudflare в Microsoft Sentinel с помощью Cloudflare Logpush и Хранилище BLOB-объектов Azure. Дополнительные сведения см. в документации по Cloudflare .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cloudflare_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Хранилище BLOB-объектов Azure строка подключения и имя контейнера: Хранилище BLOB-объектов Azure строка подключения и имя контейнера, куда журналы отправляются Cloudflare Logpush. Дополнительные сведения см. в статье Создание контейнера Хранилище BLOB-объектов Azure.
Cloudflare (использование контейнера BLOB-объектов) (через платформу соединителя без кода)
Поддерживается:Cloudflare
Соединитель данных Cloudflare предоставляет возможность приема журналов Cloudflare в Microsoft Sentinel с помощью Cloudflare Logpush и Хранилище BLOB-объектов Azure. Дополнительные сведения см. в документации по Cloudflare.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CloudflareV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Создание учетной записи хранения и контейнера. Перед настройкой logpush в Cloudflare сначала создайте учетную запись хранения и контейнер в Microsoft Azure. Используйте это руководство , чтобы узнать больше о контейнере и BLOB-объекте. Выполните действия, описанные в документации, чтобы создать учетную запись хранения Azure.
- Создание URL-адреса SAS большого двоичного объекта: требуются разрешения на создание и запись. Дополнительные сведения о маркере и URL-адресе SAS BLOB-объектов см. в документации .
-
Сбор журналов из Cloudflare в контейнер BLOB-объектов. Выполните действия, описанные в документации по сбору журналов из Cloudflare в контейнер BLOB-объектов.
Cognni
Поддерживается:Cognni
Соединитель Cognni обеспечивает быструю и простую интеграцию с Microsoft Sentinel. Вы можете использовать Cognni для автономного сопоставления ранее неклассифицированной важной информации и обнаружения связанных инцидентов. Это позволяет распознавать риски для важной информации, понимать серьезность инцидентов и исследовать сведения, необходимые для устранения, достаточно быстро, чтобы изменить ситуацию.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CognniIncidents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Согласованность (использование Функции Azure)
Поддерживается:Связность
Приложения-функции «Сплоченность» предоставляют возможность приема оповещений программы-шантажиста в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cohesity_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Хранилище BLOB-объектов Azure строка подключения и имя контейнера: Хранилище BLOB-объектов Azure строка подключения и имя контейнера
CommvaultSecurityIQ
Поддерживается:Commvault
Эта функция Azure позволяет пользователям Commvault принимать оповещения и события в экземпляре Microsoft Sentinel. С помощью правил аналитики Microsoft Sentinel может автоматически создавать Microsoft Sentinel инциденты из входящих событий и журналов.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommvaultAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- URL-адрес конечной точки среды Commvault. Обязательно следуйте документации и задайте значение секрета в KeyVault.
-
Commvault QSDK Token: обязательно следуйте документации и задайте значение секрета в KeyVault.
КонтрастностьADR
Поддерживается:Contrast Security
Соединитель данных ContrastADR предоставляет возможность приема событий атаки Contrast ADR в Microsoft Sentinel с помощью веб-перехватчика ContrastADR. Соединитель данных ContrastADR может дополнить входящие данные веб-перехватчика вызовами обогащения API ContrastADR.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ContrastADR_CL |
Нет | Нет |
ContrastADRIncident_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
Экспортер соединителя Corelight
Поддерживается:Corelight
Соединитель данных Corelight позволяет реагировать на инциденты и охотникам за угрозами, которые используют Microsoft Sentinel для более быстрой и эффективной работы. Соединитель данных позволяет принимать события из Zeek и Suricata через датчики Corelight в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Corelight |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Cortex XDR — инциденты
Поддерживается:DEFEND Ltd.
Настраиваемый соединитель данных от DEFENSE для использования API Cortex для приема инцидентов с платформы Cortex XDR в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CortexXDR_Incidents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Учетные данные API Cortex. Для REST API требуется токен API Cortex . Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
Крибль
Поддерживается:Cribl
Соединитель Cribl позволяет легко подключить журналы Cribl (Cribl выпуск Enterprise - Standalone) с Microsoft Sentinel. Это позволяет получить более подробную информацию о безопасности конвейеров данных организации.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CriblInternal_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Соединитель данных API CrowdStrike (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных CrowdStrike позволяет принимать журналы из API CrowdStrike в Microsoft Sentinel. Этот соединитель предоставляет возможность приема оповещений, обнаружений, узлов, случаев и уязвимостей CrowdStrike в Microsoft Sentinel. Этот соединитель основан на платформе соединителя Microsoft Sentinel без кода и использует API CrowdStrike для получения журналов. Он поддерживает преобразования времени приема на основе DCR, чтобы запросы могли выполняться более эффективно. Дополнительные сведения см. в документации по API CrowdStrike .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CrowdStrikeAlerts |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Клиент и области API Crowdstrike OAuth2: оповещения, интеграции API, журналы приложений, случаи, правила корреляции, обнаружения, узлы, ресурсы, инциденты, помещенные в карантин Files, уязвимости требуются для REST API. Дополнительные сведения см. в разделе API.
CrowdStrike Falcon Adversary Intelligence (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель CrowdStrike Falcon Indicators of Compromise извлекает индикаторы компрометации из API Falcon Intel и отправляет их Microsoft Sentinel Intel Threat.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelIndicators |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Идентификатор клиента и секрет клиента CrowdStrike API: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRETCROWDSTRIKE_BASE_URL. Учетные данные CrowdStrike должны иметь индикаторы (Falcon Intelligence) область.
Репликатор данных CrowdStrike Falcon (AWS S3) (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель Crowdstrike Falcon Data Replicator (S3) предоставляет возможность приема данных о событиях FDR для Microsoft Sentinel из контейнера AWS S3, где были потоковой передачи журналов FDR. Соединитель позволяет получать события от агентов Falcon, что помогает анализировать потенциальные риски безопасности, анализировать использование командой совместной работы, диагностировать проблемы конфигурации и многое другое.
ПРИМЕЧАНИЕ.
1. Лицензия CrowdStrike FDR должна быть доступна & включена.
2. Соединитель требует, чтобы в AWS была настроена роль IAM, чтобы разрешить доступ к контейнеру AWS S3, и он может не подходить для сред, использующих управляемые контейнеры CrowdStrike.
3. Для сред, использующих контейнеры, управляемые CrowdStrike, настройте соединитель CrowdStrike Falcon Data Replicator (CrowdStrike-Managed AWS S3).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CrowdStrike_Additional_Events_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Репликатор данных CrowdStrike Falcon (CrowdStrike Managed AWS-S3) (с использованием Функции Azure)
Поддерживается корпорациейМайкрософт
Этот соединитель позволяет принимать данные FDR в Microsoft Sentinel с помощью Функции Azure для поддержки оценки потенциальных рисков безопасности, анализа действий совместной работы, выявления проблем конфигурации и других операционных аналитических сведений.
ПРИМЕЧАНИЕ.
1. Лицензия CrowdStrike FDR должна быть доступна & включена.
2. Соединитель использует проверку подлинности на основе ключа & секрета и подходит для управляемых контейнеров CrowdStrike.
3. Для сред, использующих полностью принадлежащий контейнер AWS S3, корпорация Майкрософт рекомендует использовать соединитель CrowdStrike Falcon Data Replicator (AWS S3).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CrowdStrikeReplicatorV2 |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения для учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL. Дополнительные сведения см. в разделе Извлечение данных. Чтобы начать, обратитесь в службу поддержки CrowdStrike. По вашему запросу они создадут управляемый Контейнер Amazon Web Services (AWS) S3 для краткосрочного хранения, а также учетную запись SQS (простая служба очередей) для мониторинга изменений в контейнере S3.
Системный журнал CTERA
Поддерживается:CTERA
Соединитель данных CTERA для Microsoft Sentinel предоставляет возможности мониторинга и обнаружения угроз для решения CTERA. Она включает в себя книгу, визуализируя сумму всех операций для каждого типа, удаления и операций с запретом доступа. Он также предоставляет правила аналитики, которые выявляют инциденты программ-шантажистов и оповещают вас, когда пользователь заблокирован из-за подозрительной активности программ-шантажистов. Кроме того, он помогает определить критические закономерности, такие как события отказа в массовом доступе, массовые удаления и массовые изменения разрешений, что обеспечивает упреждающее управление угрозами и реагирование на нее.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Syslog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
CTM360 CyberBlindSpot (бессерверный)
Поддерживается:Cyber Threat Management 360
Соединитель CTM360 Cyber Blind Spot (CBS) обеспечивает интеграцию с платформой CBS CTM360 для приема данных безопасности в 6 типах модулей: инциденты, журналы вредоносных программ, учетные данные, скомпрометированные карточки, нарушение домена и нарушение поддомена. Этот соединитель использует платформу соединителя без кода (CCF) для бессерверного сбора данных.
Типы данных:
- CBSLog_AzureV2_CL
- CBS_MalwareLogs_AzureV2_CL
- CBS_BreachedCredentials_AzureV2_CL
- CBS_CompromisedCards_AzureV2_CL
- CBS_DomainInfringement_AzureV2_CL
- CBS_SubdomainInfringement_AzureV2_CL
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CBSLog_AzureV2_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Ключ API CBS CTM360. Для подключения к конечной точке API CBS требуется действительный ключ API киберслепых точек CTM360.
CTM360 HackerView (бессерверный)
Поддерживается:Cyber Threat Management 360
Соединитель CTM360 HackerView позволяет принимать проблемы безопасности и уязвимости из платформы управления внешними атаками HackerView в Microsoft Sentinel. Этот бессерверный соединитель использует REST API для автоматического извлечения данных о проблемах для анализа и корреляции с другими событиями безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
HackerViewLog_AzureV2_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Ключ API HackerView. Требуется действительный ключ API HackerView с разрешениями на доступ к данным о проблемах.
Пользовательские журналы через AMA
Поддерживается корпорациейМайкрософт
Многие приложения записывают данные в текстовые или JSON-файлы вместо стандартных служб ведения журнала, таких как журналы событий Windows, системный журнал или CEF. Соединитель данных пользовательских журналов позволяет собирать события из файлов на компьютерах с Windows и Linux и передавать их в созданные вами пользовательские таблицы журналов. Во время потоковой передачи данных можно анализировать и преобразовывать содержимое с помощью DCR. После сбора данных можно применять правила аналитики, охоты, поиска, аналитики угроз, обогащения и т. д.
ПРИМЕЧАНИЕ. Используйте этот соединитель для следующих устройств: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, APACHE HTTP-сервер, Apache Tomcat, платформа приложений Jboss Enterprise, Поставщик удостоверений Juniper, MarkLogic Audit, MongoDB Audit, HTTP-сервер Nginx, сервер Oracle Weblogic, события PostgreSQL, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP и поток ai vectra.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
JBossEvent_CL |
Нет | Нет |
JuniperIDP_CL |
Да | Да |
ApacheHTTPServer_CL |
Да | Да |
Tomcat_CL |
Да | Да |
meraki_CL |
Да | Да |
VectraStream_CL |
Нет | Нет |
MarkLogicAudit_CL |
Нет | Нет |
MongoDBAudit_CL |
Да | Да |
NGINX_CL |
Да | Да |
OracleWebLogicServer_CL |
Да | Да |
PostgreSQL_CL |
Да | Да |
SquidProxy_CL |
Да | Да |
Ubiquiti_CL |
Да | Да |
vcenter_CL |
Да | Да |
ZPA_CL |
Да | Да |
SecurityBridgeLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Разрешения. Для сбора данных с виртуальных машин, отличных от Azure, на них должна быть установлена и включена Azure Arc.
Подробнее
Аудит CyberArk
Поддерживается:Поддержка CyberArk
Соединитель данных CyberArk Audit позволяет Microsoft Sentinel принимать журналы событий безопасности и другие события из службы cyberArk Audit через REST API. Эта интеграция помогает обнаруживать потенциальные угрозы безопасности, отслеживать действия пользователей, анализировать шаблоны совместной работы, устранять неполадки с конфигурацией и получать более подробные сведения о среде.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyberArk_AuditEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
CyberArk Audit Service Platform: доступ для выполнения необходимых конфигураций на платформе CyberArk Audit
CyberArkAudit (с помощью Функции Azure)
Поддерживается:Поддержка CyberArk
Соединитель данных CyberArk Audit предоставляет возможность получать журналы событий безопасности службы cyberArk Audit и другие события в Microsoft Sentinel через REST API. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyberArk_AuditEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Аудит сведений о подключениях REST API и учетных данных: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint и AuditApiBaseUrl требуются для выполнения вызовов API.
Оповещения с действиями Cybersixgill (с помощью Функции Azure)
Поддерживается:Cybersixgill
Оповещения с действиями предоставляют настраиваемые оповещения на основе настроенных ресурсов
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyberSixgill_Alerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: для выполнения вызовов API требуются Client_ID и Client_Secret .
Оповещения о Cyble Vision
Поддерживается:Cyble Support
Соединитель данных CCF оповещений Cyble Vision позволяет принимать оповещения об угрозах из Cyble Vision в Microsoft Sentinel с помощью соединителя соединителя без кода. Он собирает данные оповещений через API, нормализует их и сохраняет в настраиваемой таблице для расширенного обнаружения, корреляции и ответа.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CybleVisionAlerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Токен API визуального распознавания Cyble: требуется маркер API от платформы Cyble Vision.
Cyborg Security HUNTER Hunt Packages
Поддерживается:Cyborg Security
Cyborg Security является ведущим поставщиком передовых решений для охоты на угрозы, с миссией по расширению возможностей организаций с помощью передовых технологий и инструментов для совместной работы для упреждающего обнаружения киберугроз и реагирования на них. Флагманское предложение Cyborg Security, платформа HUNTER, сочетает в себе мощную аналитику, курированное содержимое охоты на угрозы и комплексные возможности управления охотой, чтобы создать динамическую экосистему для эффективных операций по охоте на угрозы.
Выполните действия, чтобы получить доступ к сообществу Cyborg Security и настроить возможности "Открыть в средстве" на платформе HUNTER.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityEvent |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Соединитель данных DSPM Microsoft Sentinel Cyera
Поддерживается:Cyera Inc
Соединитель данных Cyera DSPM позволяет подключаться к клиенту DSPM Cyera и принимать классификации, активы, проблемы и ресурсы и определения удостоверений в Microsoft Sentinel. Соединитель данных основан на платформе соединителя без кода Microsoft Sentinel и использует API Cyera для получения DSPM телеметрии Cyera после получения можно сопоставить с событиями безопасности, создавая настраиваемые столбцы, чтобы запросы не нуждались в повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyeraClassifications_CL |
Нет | Нет |
CyeraAssets_CL |
Нет | Нет |
CyeraAssets_MS_CL |
Нет | Нет |
CyeraIssues_CL |
Нет | Нет |
CyeraIdentities_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
CYFIRMA Attack Surface
Поддерживается:CYFIRMA
Н/Д
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaASCertificatesAlerts_CL |
Да | Да |
CyfirmaASConfigurationAlerts_CL |
Да | Да |
CyfirmaASDomainIPReputationAlerts_CL |
Да | Да |
CyfirmaASOpenPortsAlerts_CL |
Да | Да |
CyfirmaASCloudWeaknessAlerts_CL |
Да | Да |
CyfirmaASDomainIPVulnerabilityAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
CYFIRMA Brand Intelligence
Поддерживается:CYFIRMA
Н/Д
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaBIDomainITAssetAlerts_CL |
Да | Да |
CyfirmaBIExecutivePeopleAlerts_CL |
Да | Да |
CyfirmaBIProductSolutionAlerts_CL |
Да | Да |
CyfirmaBISocialHandlersAlerts_CL |
Да | Да |
CyfirmaBIMaliciousMobileAppsAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Скомпрометированные учетные записи CYFIRMA
Поддерживается:CYFIRMA
Соединитель данных CYFIRMA Компрометированные учетные записи обеспечивает простой прием журналов из API DeCYFIR/DeTCT в Microsoft Sentinel. Созданная на базе платформы соединителя без кода Microsoft Sentinel, она использует API DeCYFIR/DeTCT для получения журналов. Кроме того, он поддерживает преобразования времени приема на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость в синтаксическом анализе во время запроса, повышая производительность и эффективность.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaCompromisedAccounts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Киберразведка CYFIRMA
Поддерживается:CYFIRMA
Соединитель данных CYFIRMA Cyber Intelligence обеспечивает простой прием журналов из API DeCYFIR в Microsoft Sentinel. Созданная на платформе соединителя без кода Microsoft Sentinel, она использует API оповещений DeCYFIR для получения журналов. Кроме того, он поддерживает преобразования времени приема на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость в синтаксическом анализе во время запроса, повышая производительность и эффективность.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaIndicators_CL |
Да | Да |
CyfirmaThreatActors_CL |
Да | Да |
CyfirmaCampaigns_CL |
Да | Да |
CyfirmaMalware_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Цифровой риск CYFIRMA
Поддерживается:CYFIRMA
Соединитель данных CYFIRMA Digital Risk Alerts обеспечивает простой прием журналов из API DeCYFIR/DeTCT в Microsoft Sentinel. Созданная на платформе соединителя без кода Microsoft Sentinel, она использует API оповещений DeCYFIR для получения журналов. Кроме того, он поддерживает преобразования времени приема на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость в синтаксическом анализе во время запроса, повышая производительность и эффективность.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaDBWMPhishingAlerts_CL |
Да | Да |
CyfirmaDBWMRansomwareAlerts_CL |
Да | Да |
CyfirmaDBWMDarkWebAlerts_CL |
Да | Да |
CyfirmaSPESourceCodeAlerts_CL |
Да | Да |
CyfirmaSPEConfidentialFilesAlerts_CL |
Да | Да |
CyfirmaSPEPIIAndCIIAlerts_CL |
Да | Да |
CyfirmaSPESocialThreatAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Аналитика уязвимостей CYFIRMA
Поддерживается:CYFIRMA
Соединитель данных аналитики уязвимостей CYFIRMA обеспечивает простой прием журналов из API DeCYFIR в Microsoft Sentinel. Созданная на базе платформы соединителя без кода Microsoft Sentinel, она использует API CYFIRMA для получения журналов. Кроме того, он поддерживает преобразования времени приема на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость в синтаксическом анализе во время запроса, повышая производительность и эффективность.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyfirmaVulnerabilities_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
События безопасности Cynerio
Поддерживается:Cynerio
Соединитель Cynerio позволяет легко подключать события безопасности Cynerio к Microsoft Sentinel для просмотра событий IDS. Это дает вам больше сведений о безопасности сети организации и улучшает возможности операций безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CynerioEvent_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Аналитика угроз Cyren
Поддерживается:Data443 Risk Mitigation, Inc.
Прием индикаторов репутации IP-адресов и URL-адресов вредоносных программ из Cyren с помощью Common Connector Framework (CCF).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cyren_Indicators_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Маркеры JWT Cyren: маркеры JWT, хранящиеся в Azure Key Vault или предоставляемые во время развертывания.
D3 Интеллектуальные инциденты SOAR
Поддерживается:D3 Security
Соединитель данных D3 Smart SOAR извлекает инциденты из D3 Smart SOAR в Microsoft Sentinel с помощью конечной точки команды REST API D3 без кода.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
D3SOARIncidents_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Соединитель Darktrace для REST API Microsoft Sentinel
Поддерживается:Darktrace
Соединитель REST API Darktrace отправляет события из Darktrace в режиме реального времени в Microsoft Sentinel и предназначен для использования с решением Darktrace для Sentinel. Соединитель записывает журналы в настраиваемую таблицу журналов с именем "darktrace_model_alerts_CL"; Можно принимать нарушения модели, инциденты аналитика ИИ, системные оповещения и оповещения Email . Дополнительные фильтры можно настроить на странице Конфигурация системы Darktrace. Данные отправляются в Sentinel из образцов Darktrace.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
darktrace_model_alerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Предварительные требования для Darktrace. Чтобы использовать этот соединитель данных, требуется master Darktrace версии 5.2+. Данные отправляются в API Azure Monitor HTTP Data Collector через HTTP от мастеров Darktrace, поэтому требуется исходящее подключение из master Darktrace к Microsoft Sentinel REST API.
- Фильтрация данных Darktrace. Во время настройки можно настроить дополнительную фильтрацию на странице Конфигурация системы Darktrace, чтобы ограничить объем или типы отправляемых данных.
-
Попробуйте решение Sentinel Darktrace. Вы можете максимально эффективно использовать этот соединитель, установив решение Darktrace для Microsoft Sentinel. Это позволит визуализировать данные оповещений и правила аналитики для автоматического создания оповещений и инцидентов на основе нарушений модели Darktrace и инцидентов аналитика ИИ.
DataBahn
Поддерживается:Databahn
Соединитель DataBahn предоставляет возможность отправки данных телеметрии платформы в реальном времени из среды DataBahn непосредственно в Microsoft Sentinel с помощью шаблона отправки CCF. Этот соединитель выполняет прием журналов аудита, операционных оповещений и инвентаризации устройств в пользовательские таблицы Log Analytics для анализа, оповещения и визуализации.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
databahn_audit_logs_CL |
Нет | Нет |
databahn_alerts_CL |
Нет | Нет |
databahn_device_inventory_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Datalake2Sentinel
Поддерживается:Orange Cyberdefense
Это решение устанавливает соединитель Datalake2Sentinel, созданный с помощью платформы соединителя без кода и позволяющий автоматически принимать индикаторы аналитики угроз из платформы CTI Datalake Orange Cyberdefense в Microsoft Sentinel с помощью REST API upload Indicators. После установки решения настройте и включите этот соединитель данных, следуя указаниям в разделе Управление представлением решения.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Соединитель данных Pulse Alerts Dataminr (с помощью Функции Azure)
Поддерживается:Поддержка Dataminr
Dataminr Pulse Alerts Data Connector позволяет использовать аналитику на основе ИИ в режиме реального времени в Microsoft Sentinel для ускорения обнаружения угроз и реагирования на нее.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DataminrPulse_Alerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Необходимые учетные данные и разрешения Dataminr:
А. Чтобы использовать этот соединитель данных, пользователи должны иметь действительный идентификатор клиента API Dataminr Pulse и секрет .
Б. На веб-сайте Dataminr Pulse необходимо настроить один или несколько списков отслеживания Dataminr Pulse.
Datawiza DAP
Поддерживается:Datawiza Technology Inc.
Подключает журналы DAP Datawiza к Azure Log Analytics через интерфейс REST API.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
datawizaserveraccess_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Derdack SIGNL4
Поддерживается:Derdack
При сбое критических систем или возникновении инцидентов безопасности SIGNL4 связывает "последнюю милю" с вашими сотрудниками, инженерами, ИТ-администраторами и сотрудниками в этой области. Он мгновенно добавляет мобильные оповещения в службы, системы и процессы в режиме реального времени. SIGNL4 уведомляет с помощью постоянных мобильных push-уведомлений, SMS-сообщений и голосовых вызовов с подтверждением, отслеживанием и эскалацией. Интегрированное планирование обязанностей и смен гарантирует, что нужные люди будут оповещены в нужное время.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityIncident |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Прожектор цифровых теней (с помощью Функции Azure)
Поддерживается:Digital Shadows
Соединитель данных Digital Shadows обеспечивает прием инцидентов и оповещений из Digital Shadows Searchlight в Microsoft Sentinel с помощью REST API. Соединитель предоставит сведения об инцидентах и оповещениях, которые помогут изучить, диагностировать и проанализировать потенциальные риски и угрозы безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DigitalShadows_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуются идентификатор учетной записи Digital Shadows, секрет и ключ . Дополнительные сведения об API см. в документации
https://portal-digitalshadows.com/learn/searchlight-api/overview/descriptionпо .
DNS
Поддерживается корпорациейМайкрософт
Соединитель журналов DNS позволяет легко подключать журналы аналитики и аудита DNS к Microsoft Sentinel и другим связанным данным, чтобы улучшить исследование.
При включении сбора журналов DNS вы можете:
- Определите клиентов, которые пытаются устранить вредоносные доменные имена.
- Определение устаревших записей ресурсов.
- Определите часто запрашиваемых доменных имен и разговорчивых DNS-клиентов.
- Просмотр загрузки запросов на DNS-серверах.
- Просмотр сбоев динамической регистрации DNS.
Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DnsEvents |
Да | Да |
DnsInventory |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Соединитель данных Doppel
Поддерживается:Doppel
Соединитель данных основан на Microsoft Sentinel для событий и оповещений Doppel и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные событий безопасности в пользовательские столбцы, чтобы запросы не нуждались в их повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DoppelTable_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra идентификатор клиента, идентификатор клиента и секрет клиента: Microsoft Entra ID требуется идентификатор клиента и секрет клиента для проверки подлинности приложения. Кроме того, доступ на уровне глобального Администратор или владельца необходим для назначения зарегистрированным Entra приложению роли издателя метрик мониторинга группы ресурсов.
-
Требуется идентификатор рабочей области, DCE-URI, DCR-ID. Необходимо получить идентификатор рабочей области Log Analytics, URI приема журналов DCE и неизменяемый идентификатор DCR для конфигурации.
Уведомления перетаскивания через Cloud Sitestore
Поддерживается:Dragos Inc
Платформа Dragos является ведущей платформой промышленной кибербезопасности, предлагая комплексные операционные технологии (OT) обнаружения киберугроз, созданные на основе непревзойденного опыта в области промышленной кибербезопасности. Это решение позволяет просматривать данные уведомлений Dragos Platform в Microsoft Sentinel, чтобы аналитики по безопасности могли рассматривать потенциальные события кибербезопасности, происходящие в их промышленных средах.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DragosAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Доступ к API Dragos Sitestore: учетная запись пользователя Sitestore с разрешением
notification:read. У этой учетной записи также должен быть ключ API, который можно предоставить Sentinel.
Соединитель событий Druva
Поддерживается:Druva Inc
Предоставляет возможность приема событий Druva из API Druva.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DruvaSecurityEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Доступ к API Druva: для проверки подлинности API Druva требуется идентификатор клиента и секрет клиента.
Dynamics 365 Finance и операции
Поддерживается корпорациейМайкрософт
Dynamics 365 для финансов и операций — это комплексное решение планирования ресурсов предприятия (ERP), которое сочетает в себе финансовые и операционные возможности, помогая компаниям управлять повседневными операциями. Он предлагает ряд функций, которые позволяют компаниям оптимизировать рабочие процессы, автоматизировать задачи и получать аналитические сведения о производительности операций.
Соединитель данных Dynamics 365 Finance и операций в Microsoft Sentinel прием Dynamics 365 Finance действий администратора и операций, а также журналов аудита, а также бизнес-процессов пользователей и действий приложений.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
FinanceOperationsActivity_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Microsoft Entra регистрации приложения: идентификатор клиента приложения и секрет, используемые для доступа к Dynamics 365 Finance и операциям.
Dynamics365
Поддерживается корпорациейМайкрософт
Соединитель действий Dynamics 365 Common Data Service (CDS) предоставляет сведения о действиях администраторов, пользователей и поддержки, а также событиях ведения журнала Microsoft Social Engagement. Подключив Dynamics 365 журналы CRM к Microsoft Sentinel, вы можете просматривать эти данные в книгах, использовать их для создания пользовательских оповещений и улучшения процесса исследования.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Dynamics365Activity |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Атаки Dynatrace
Поддерживается:Dynatrace
Этот соединитель использует REST API Dynatrace Attacks для приема обнаруженных атак в Microsoft Sentinel Log Analytics
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceAttacks_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace с включенной безопасностью приложений . Дополнительные сведения о платформе Dynatrace.
-
Маркер доступа Dynatrace. Вам нужен маркер доступа Dynatrace, маркер должен иметь атаки на чтение (attacks.read) область.
Журналы аудита Dynatrace
Поддерживается:Dynatrace
Этот соединитель использует REST API журналов аудита Dynatrace для приема журналов аудита клиента в Microsoft Sentinel Log Analytics.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceAuditLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace, чтобы узнать больше о платформе Dynatrace . Начните бесплатную пробную версию.
-
Маркер доступа Dynatrace. Вам нужен маркер доступа Dynatrace, маркер должен содержать журналы аудита чтения (auditLogs.read) область.
Проблемы dynatrace
Поддерживается:Dynatrace
Этот соединитель использует REST API проблемы Dynatrace для приема событий проблем в Microsoft Sentinel Log Analytics
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceProblems_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace, чтобы узнать больше о платформе Dynatrace . Начните бесплатную пробную версию.
-
Маркер доступа Dynatrace. Вам нужен маркер доступа Dynatrace, маркер должен иметь проблемы с чтением (problems.read) область.
Уязвимости среды выполнения Dynatrace
Поддерживается:Dynatrace
Этот соединитель использует REST API Dynatrace Security Problem для приема обнаруженных уязвимостей среды выполнения в Microsoft Sentinel Log Analytics.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DynatraceSecurityProblems_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace с включенной безопасностью приложений . Дополнительные сведения о платформе Dynatrace.
-
Маркер доступа Dynatrace. Вам нужен маркер доступа Dynatrace, маркер должен иметь проблемы с безопасностью чтения (securityProblems.read) область.
Эластичный агент (автономный)
Поддерживается корпорациейМайкрософт
Соединитель данных Elastic Agent предоставляет возможность приема журналов, метрик и данных безопасности эластичного агента в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ElasticAgentEvent |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Включите настраиваемые предварительные требования, если требуется подключение. В противном случае удалите таможни: описание любых настраиваемых предварительных требований
События безопасности браузера Ermes
Поддерживается:Ermes Cyber Security S.p.A.
События безопасности браузера Ermes
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ErmesBrowserSecurityEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Идентификатор клиента и секрет клиента Ermes: включение доступа к API в Ermes. За дополнительной информацией обратитесь в службу поддержки Ermes Cyber Security .
ESET Protect Platform (с помощью Функции Azure)
Поддерживается:ESET Enterprise Integrations
Соединитель данных ESET Protect Platform позволяет пользователям внедрять данные обнаружения из ESET Protect Platform с помощью предоставленного REST API интеграции. Rest API интеграции выполняется как запланированное приложение-функция Azure.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
IntegrationTable_CL |
Да | Да |
IntegrationTableIncidents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Разрешение на регистрацию приложения в Microsoft Entra ID. Требуется достаточно разрешений для регистрации приложения в клиенте Microsoft Entra.
-
Разрешение на назначение роли зарегистрированным приложениям. Требуется разрешение на назначение роли издателя метрик мониторинга зарегистрированным приложениям в Microsoft Entra ID.
Локальный сборщик Аналитики безопасности Exchange
Поддерживается:Community
Соединитель, используемый для отправки конфигурации локальной безопасности Exchange для анализа Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ESIExchangeConfig_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Учетная запись службы с ролью "Управление организацией". Учетная запись службы, которая запускает сценарий в качестве запланированной задачи, должна быть "Управление организацией", чтобы иметь возможность получать все необходимые сведения о безопасности.
-
Подробная документация: >ПРИМЕЧАНИЕ. Подробную документацию по процедуре установки и использованию можно найти здесь.
Exchange Security Insights Online Collector (с помощью Функции Azure)
Поддерживается:Community
Соединитель, используемый для отправки конфигурации безопасности Exchange Online для анализа Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ESIExchangeOnlineConfig_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Разрешения microsoft.automation/automationaccounts. Для создания служба автоматизации Azure с runbook требуются разрешения на чтение и запись. Дополнительные сведения см. в статье Учетная запись службы автоматизации.
- Разрешения Microsoft.Graph: Разрешения Groups.Read, Users.Read и Auditing.Read необходимы для получения сведений о пользователях и группах, связанных с Exchange Online назначениями. Дополнительные сведения см. в документации.
- Exchange Online разрешения: для получения конфигурации безопасности Exchange Online необходимо разрешение Exchange.ManageAsApp и роль глобального читателя или читателя безопасности.Дополнительные сведения см. в документации.
-
(Необязательно) Разрешения хранилища журналов. Участник данных BLOB-объектов хранилища для учетной записи хранения, связанной с управляемым удостоверением учетной записи службы автоматизации или идентификатором приложения, является обязательным для хранения журналов. Дополнительные сведения см. в документации.
Соединитель данных обнаружения экстрахопа (с помощью Функции Azure)
Поддерживается:Поддержка ExtraHop
Соединитель данных Обнаружения экстрахопа позволяет импортировать данные обнаружения из ExtraHop RevealX в Microsoft Sentinel с помощью полезных данных веб-перехватчика.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ExtraHop_Detections_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Разрешения ExtraHop RevealX. В системе ExtraHop RevealX требуется следующее: 1. В системе RevealX должно быть установлено встроенное ПО версии 9.9.2 или более поздней.
2. Система RevealX должна быть подключена к ExtraHop Облачные службы.
3. Ваша учетная запись пользователя должна иметь права системного администратора в RevealX 360 или права на полную запись в RevealX Enterprise.
F5 BIG-IP
Поддерживается:F5 Networks
Соединитель брандмауэра F5 позволяет легко подключать журналы F5 к Microsoft Sentinel, просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Это дает вам больше сведений о сети вашей организации и улучшает возможности операций безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
F5Telemetry_LTM_CL |
Нет | Нет |
F5Telemetry_system_CL |
Да | Да |
F5Telemetry_ASM_CL |
Нет | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Feedly IoC
Поддерживается:Feedly Inc
Соединитель данных Feedly IoC предоставляет возможность приема индикаторов компрометации (IoCs) из API Feedly в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
feedly_indicators_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Доступ к ВЕБ-API. Требуется доступ к API feedly. Вам нужен маркер API feedly с доступом к потокам Интернета вещей, которые вы хотите принять. Создайте маркер API по адресу https://feedly.com/i/team/api
Соединитель push-уведомлений Flare
Поддерживается:Flare
Соединитель Flare предоставляет возможность приема аналитики угроз и раскрытия данных из Flare в Microsoft Sentinel. Flare идентифицирует цифровые активы вашей компании, которые стали общедоступными из-за человеческих ошибок или вредоносных атак, включая утечку учетных данных, открытые облачные контейнеры, упоминания darkweb и многое другое.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
FireworkV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID.
- Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR).
-
Flare: разрешение на настройку интеграции Microsoft Sentinel в Flare.
Защита от потери данных в Принудительной точке
Поддерживается:Community
Соединитель Forcepoint DLP (защита от потери данных) позволяет автоматически экспортировать данные об инцидентах защиты от потери данных из Forcepoint DLP в Microsoft Sentinel в режиме реального времени. Это расширяет видимость действий пользователей и инцидентов потери данных, обеспечивает дальнейшую корреляцию с данными из рабочих нагрузок Azure и других веб-каналов, а также улучшает возможности мониторинга с помощью книг в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ForcepointDLPEvents_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Forescout
Поддерживается корпорациейМайкрософт
Соединитель данных Forescout предоставляет возможность приема событий Forescout в Microsoft Sentinel. Дополнительные сведения см. в документации по Forescout .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ForescoutEvent |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Монитор свойств узла Forescout
Поддерживается корпорациейМайкрософт
Соединитель Монитора свойств узла Forescout позволяет подключать свойства узла из платформы Forescout с Microsoft Sentinel, просматривать, создавать пользовательские инциденты и улучшать исследование. Это позволяет получить больше сведений о сети организации и улучшить возможности операций по обеспечению безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ForescoutHostProperties_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Требование подключаемого модуля Forescout. Убедитесь, что подключаемый модуль Forescout Microsoft Sentinel запущен на платформе Forescout.
Fortinet FortiNDR Cloud
Поддерживается:Fortinet
Соединитель данных Fortinet FortiNDR Cloud предоставляет возможность приема данных Fortinet FortiNDR Cloud в Microsoft Sentinel с помощью облачного API FortiNDR.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
FncEventsSuricata_CL |
Нет | Нет |
FncEventsObservation_CL |
Нет | Нет |
FncEventsDetections_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные MetaStream. Для получения данных о событиях требуются идентификатор ключа доступа AWS, секретный ключ доступа AWS, код облачной учетной записи FortiNDR .
-
Учетные данные API. Для получения данных об обнаружении требуются маркер облачного API FortiNDR, UUID облачной учетной записи FortiNDR .
Удаленные журналы Garrison ULTRA (с помощью Функции Azure)
Поддерживается:Garrison
Соединитель Удаленных журналов Garrison ULTRA позволяет принимать удаленные журналы Garrison ULTRA в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Garrison_ULTRARemoteLogs_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Garrison ULTRA: чтобы использовать этот соединитель данных, у вас должна быть активная лицензия Garrison ULTRA .
GCP Cloud Run (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных GCP Cloud Run предоставляет возможность приема журналов запросов Cloud Run в Microsoft Sentinel с помощью pub/sub. Дополнительные сведения см. в статье Обзор запуска в облаке .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPCloudRun |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
GCP Cloud SQL (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных GCP Cloud SQL предоставляет возможность приема журналов аудита в Microsoft Sentinel с помощью API GCP Cloud SQL. Дополнительные сведения см. в документации по журналам аудита облачного SQL GCP .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPCloudSQL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Журналы аудита публикации и подсети GCP
Поддерживается корпорациейМайкрософт
Журналы аудита Google Cloud Platform (GCP), полученные из соединителя Microsoft Sentinel, позволяют собирать журналы аудита трех типов: журналы действий администратора, журналы доступа к данным и журналы прозрачности доступа. Журналы облачного аудита Google записывают след, который специалисты могут использовать для мониторинга доступа и обнаружения потенциальных угроз в ресурсах Google Cloud Platform (GCP).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPAuditLogs |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Журналы GCP Pub/Sub Load Balancer (через платформу соединителя без кода).
Поддерживается корпорациейМайкрософт
Журналы Google Cloud Platform (GCP) Load Balancer содержат подробные сведения о сетевом трафике, фиксируя как входящие, так и исходящие действия. Эти журналы используются для мониторинга шаблонов доступа и выявления потенциальных угроз безопасности в ресурсах GCP. Кроме того, эти журналы также включают журналы GCP Брандмауэр веб-приложений (WAF), что повышает способность эффективно обнаруживать и устранять риски.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPLoadBalancerLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Журналы потоков GCP Pub/Sub VPC (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Журналы потоков VPC google Cloud Platform (GCP) позволяют записывать активность сетевого трафика на уровне VPC, позволяя отслеживать шаблоны доступа, анализировать производительность сети и обнаруживать потенциальные угрозы для ресурсов GCP.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPVPCFlow |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Соединитель Gigamon AMX
Поддерживается:Gigamon
Соединитель Gigamon предоставляет возможность считывания необработанных данных о событиях из Gigamon в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GigamonV2_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
GitHub (использование веб-перехватчиков)
Поддерживается корпорациейМайкрософт
Соединитель данных веб-перехватчика GitHub предоставляет возможность принимать события, подписанные на GitHub, в Microsoft Sentinel с помощью событий веб-перехватчика GitHub. Соединитель предоставляет возможность получать события в Microsoft Sentinel что помогает анализировать потенциальные риски безопасности, анализировать использование командой совместной работы, диагностировать проблемы конфигурации и многое другое.
Примечание: Если вы хотите принимать журналы аудита GitHub, ознакомьтесь с разделом GitHub Enterprise Audit Log Connector из коллекции "Соединители данных".
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
githubscanaudit_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
Журнал аудита GitHub Enterprise (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель журнала аудита GitHub предоставляет возможность приема журналов GitHub в Microsoft Sentinel. Подключив журналы аудита GitHub к Microsoft Sentinel, вы можете просматривать эти данные в книгах, использовать их для создания пользовательских оповещений и улучшения процесса исследования.
Примечание: Если вы планируете принимать события, подписанные на GitHub, в Microsoft Sentinel, обратитесь к соединителю GitHub (с помощью веб-перехватчиков) из коллекции "Соединители данных".
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GitHubAuditLogsV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Личный маркер доступа API GitHub. Чтобы включить опрос для журнала аудита Enterprise, убедитесь, что прошедший проверку подлинности пользователь является администратором enterprise и имеет личный маркер доступа GitHub (классический) с
read:audit_logобласть. -
Тип GitHub Enterprise: этот соединитель будет работать только с GitHub Enterprise Cloud; он не будет поддерживать GitHub Enterprise Server.
Google ApigeeX (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Google ApigeeX предоставляет возможность приема журналов аудита в Microsoft Sentinel с помощью API Google Apigee. Дополнительные сведения см. в документации по API Google Apigee .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPApigee |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Google Cloud Platform CDN (через codeless Connector Framework)
Поддерживается корпорациейМайкрософт
Соединитель данных CDN для Google Cloud Platform предоставляет возможность приема журналов аудита облачных CDN и журналов трафика ОБЛАЧНЫХ CDN в Microsoft Sentinel с помощью API вычислительной подсистемы. Дополнительные сведения см. в документе Обзор продукта .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPCDN |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Google Cloud Platform Cloud IDS (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Google Cloud Platform IDS предоставляет возможность приема журналов трафика cloud IDS, журналов угроз и журналов аудита в Microsoft Sentinel с помощью API Google Cloud IDS. Дополнительные сведения см. в документации по API Cloud IDS .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPIDS |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Google Cloud Platform Cloud Monitoring (с помощью codeless Connector Framework)
Поддерживается корпорациейМайкрософт
Соединитель данных google Cloud Platform Cloud Monitoring ( Google Cloud Platform Cloud Monitoring Data) Microsoft Sentinel использует API мониторинга Google Cloud. Дополнительные сведения см. в документации по API мониторинга облака .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPMonitoring |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Модуль вычислений облачной платформы Google (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Google Cloud Platform Compute Engine предоставляет возможность приема журналов аудита вычислительной подсистемы в Microsoft Sentinel с помощью API Google Cloud Compute Engine. Дополнительные сведения см. в документации по API облачной вычислительной подсистемы .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPComputeEngine |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Google Cloud Platform DNS (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных GOOGLE Cloud Platform DNS предоставляет возможность приема журналов облачных запросов DNS и журналов аудита облачных DNS в Microsoft Sentinel с помощью API GOOGLE Cloud DNS. Дополнительные сведения см. в документации по API CLOUD DNS .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPDNS |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Google Cloud Platform IAM (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных IAM облачной платформы Google позволяет принимать журналы аудита, связанные с действиями управления удостоверениями и доступом (IAM) в Google Cloud, в Microsoft Sentinel с помощью API IAM Google. Дополнительные сведения см. в документации по API IAM GCP .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPIAM |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
NAT облачной платформы Google (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных NAT google Cloud Platform предоставляет возможность приема журналов аудита облачных NAT и журналов трафика NAT облака в Microsoft Sentinel с помощью API вычислительной подсистемы. Дополнительные сведения см. в документе Обзор продукта .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPNATAudit |
Да | Да |
GCPNAT |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Google Cloud Platform Resource Manager (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Google Cloud Platform Resource Manager предоставляет возможность приема Resource Manager Resource Manager журналов Администратор активности и аудита доступа к данным в Microsoft Sentinel с помощью API облачной Resource Manager. Дополнительные сведения см. в документе Обзор продукта .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GCPResourceManager |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Модуль Google Kubernetes (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Журналы google Kubernetes Engine (GKE) позволяют записывать действия кластера, поведение рабочей нагрузки и события безопасности, позволяя отслеживать рабочие нагрузки Kubernetes, анализировать производительность и обнаруживать потенциальные угрозы в кластерах GKE.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GKEAudit |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Центр команд безопасности Google
Поддерживается корпорациейМайкрософт
Центр управления безопасностью Google Cloud Platform (GCP) — это комплексная платформа управления безопасностью и рисками для Google Cloud, полученная из соединителя Sentinel. Он предлагает такие функции, как инвентаризация и обнаружение активов, обнаружение уязвимостей и угроз, а также устранение рисков и исправление рисков, чтобы помочь вам получить представление о безопасности и области атак с данными в вашей организации. Такая интеграция позволяет более эффективно выполнять задачи, связанные с выводами и ресурсами.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GoogleCloudSCC |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Действия Google Workspace (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных действий Google Workspace предоставляет возможность приема событий активности из API Google Workspace в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GoogleWorkspaceReports |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Доступ к API Google Workspace. Требуется доступ к API действий Google Workspace через Oauth.
GreyNoise Threat Intelligence
Поддерживается:GreyNoise
Этот соединитель данных устанавливает приложение-функцию Azure для скачивания индикаторов GreyNoise один раз в день и вставляет их в таблицу ThreatIntelligenceIndicator в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Ключ API GreyNoise. Получите ключ API GreyNoise здесь.
Соединитель Halcyon
Поддерживается:Halcyon
Соединитель Halcyon предоставляет возможность отправки данных из Halcyon в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
HalcyonAuthenticationEvents_CL |
Да | Да |
HalcyonDnsActivity_CL |
Да | Да |
HalcyonFileActivity_CL |
Да | Да |
HalcyonNetworkSession_CL |
Да | Да |
HalcyonProcessEvent_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra Создание разрешений. Разрешения на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
-
Разрешения на назначение ролей: разрешения на запись, необходимые для назначения роли издателя метрик мониторинга правилу сбора данных (DCR). Обычно требуется роль владельца или администратора доступа пользователей на уровне группы ресурсов.
Данные активов безопасности Holm (с помощью Функции Azure)
Поддерживается:Holm Security
Соединитель предоставляет возможность опроса данных из Центра безопасности Holm в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
net_assets_CL |
Нет | Нет |
web_assets_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Токен API безопасности Holm: требуется API безопасности токен Holm.
Токен API безопасности Holm
Журналы IIS серверов Microsoft Exchange
Поддерживается:Community
[Вариант 5] — с помощью агента мониторинга Azure. С помощью агента Windows можно выполнять потоковую передачу всех журналов IIS с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
W3CIISLog |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
Аналитика Illumio
Поддерживается:Illumio
Соединитель данных Illumio Insights позволяет принимать журналы из API Illumio в Microsoft Sentinel. Соединитель данных создан на основе Microsoft Sentinel платформы соединителей без кода. Он использует API Illumio для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не нуждались в их повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
IlumioInsights |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Сводка по анализу иллумио
Поддерживается:Illumio
Соединитель сводных данных Illumio Insights предоставляет возможность приема аналитических сведений о безопасности Illumio и отчетов об анализе угроз в Microsoft Sentinel с помощью REST API. Дополнительные сведения см. в документации по API Illumio . Соединитель позволяет получать ежедневные и еженедельные сводные отчеты из Illumio и визуализировать их в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
IllumioInsightsSummary_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Доступ к API Illumio. Доступ к API Illumio требуется для api сводки Illumio Insights.
Illumio SaaS (с помощью Функции Azure)
Поддерживается:Illumio
Соединитель Illumio предоставляет возможность приема событий в Microsoft Sentinel. Соединитель обеспечивает возможность приема проверяемых и потоковых событий из контейнера AWS S3.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Illumio_Auditable_Events_CL |
Да | Да |
Illumio_Flow_Events_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения для учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL. Если вы используете контейнер s3, предоставленный Illumio, обратитесь в службу поддержки Illumio. По вашему запросу они предоставят вам имя контейнера AWS S3, URL-адрес AWS SQS и учетные данные AWS для доступа к ним.
-
Ключ и секрет API Illumio: ILLUMIO_API_KEY, ILLUMIO_API_SECRET требуется для подключения книги к SAAS PCE и получения ответов API.
Imperva Cloud WAF (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Imperva Cloud WAF позволяет интегрировать и принимать события Брандмауэр веб-приложений в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по интеграции журналов. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ImpervaWAFCloud_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: Для API требуются ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI . Дополнительные сведения см. в разделе Процесс интеграции журналов установки. Проверьте все требования и следуйте инструкциям по получению учетных данных. Обратите внимание, что этот соединитель использует формат событий журнала CEF.
Дополнительные сведения о формате журнала.
Imperva Cloud WAF (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Imperva WAF Cloud предоставляет возможность приема журналов в Microsoft Sentinel с помощью интеграции журналов Imperva через AWS S3 с уведомлениями SQS. Соединитель анализирует события WAF в формате CEF, включая журналы доступа и оповещения системы безопасности для обнаружения и исследования угроз. Дополнительные сведения см. в статье Интеграция облачных журналов Imperva WAF .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ImpervaWAFCloud |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Infoblox Cloud Data Connector через AMA
Поддерживается:Infoblox
Соединитель облачных данных Infoblox позволяет легко подключать данные Infoblox к Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска & корреляции, оповещения и обогащения аналитики угроз для каждого журнала.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Соединитель данных Infoblox через REST API
Поддерживается:Infoblox
Соединитель данных Infoblox позволяет легко подключать данные Infoblox TIDE и данные досье к Microsoft Sentinel. Подключив данные к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска & корреляции, оповещения и обогащения аналитики угроз для каждого журнала.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Failed_Range_To_Ingest_CL |
Нет | Нет |
Infoblox_Failed_Indicators_CL |
Нет | Нет |
dossier_whois_CL |
Нет | Нет |
dossier_whitelist_CL |
Нет | Нет |
dossier_tld_risk_CL |
Нет | Нет |
dossier_threat_actor_CL |
Нет | Нет |
dossier_rpz_feeds_records_CL |
Нет | Нет |
dossier_rpz_feeds_CL |
Нет | Нет |
dossier_nameserver_matches_CL |
Нет | Нет |
dossier_nameserver_CL |
Нет | Нет |
dossier_malware_analysis_v3_CL |
Нет | Нет |
dossier_inforank_CL |
Нет | Нет |
dossier_infoblox_web_cat_CL |
Нет | Нет |
dossier_geo_CL |
Нет | Нет |
dossier_dns_CL |
Нет | Нет |
dossier_atp_threat_CL |
Нет | Нет |
dossier_atp_CL |
Нет | Нет |
dossier_ptr_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуется ключ API Infoblox . Дополнительные сведения об API см. в документации по REST API.
Infoblox SOC Insight Data Connector через AMA
Поддерживается:Infoblox
Соединитель infoblox SOC Insight Data Connector позволяет легко подключить данные INFOblox BloxOne SOC Insight к Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска & корреляции, оповещения и обогащения аналитики угроз для каждого журнала.
Этот соединитель данных будет принимать журналы CDC Infoblox SOC Insight в рабочую область Log Analytics с помощью нового агента мониторинга Azure. Дополнительные сведения о приеме с помощью нового агента мониторинга Azure см. здесь. Корпорация Майкрософт рекомендует использовать этот соединитель данных.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
Infoblox SOC Insight Data Connector через REST API
Поддерживается:Infoblox
Соединитель infoblox SOC Insight Data Connector позволяет легко подключить данные INFOblox BloxOne SOC Insight к Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска & корреляции, оповещения и обогащения аналитики угроз для каждого журнала.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
InfobloxInsight_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Соединитель данных InfoSecGlobal
Поддерживается:InfoSecGlobal
Используйте этот соединитель данных для интеграции с InfoSec Crypto Analytics и получения данных, отправляемых непосредственно в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
InfoSecAnalytics_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Журналы безопасности IONIX (через платформу соединителя без кода)
Поддерживается:IONIX
Соединитель IONIX позволяет принимать элементы действий из платформы управления атаками IONIX в Microsoft Sentinel с помощью платформы соединителя без кода (CCF). Элементы действий представляют результаты безопасности и уязвимости, требующие исправления.
Этот соединитель автоматически опрашивает API IONIX и записывает данные в таблицу CyberpionActionItems_CL.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyberpionActionItems_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Токен API IONIX. Требуется маркер API с портала IONIX. Создайте его в API параметров > на портале IONIX.
Соединитель данных iPinfo Abuse
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать standard_abuse наборы данных и вставить его в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Abuse_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Соединитель данных ASN IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для загрузки standard_ASN наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_ASN_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Соединитель данных оператора IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение функции Azure для скачивания standard_carrier наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Carrier_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Соединитель данных компании IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_company наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Company_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Соединитель данных IPinfo Core
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать наборы данных Core и вставить его в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_CORE_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Соединитель данных ASN для стран IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение функции Azure для скачивания country_asn наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Country_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Соединитель данных домена IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_domain наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Domain_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Соединитель данных Iplocation IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_location наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Location_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
IPinfo Iplocation Extended Data Connector
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_location_extended наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Location_extended_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Соединитель данных IPinfo Plus
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать наборы данных Plus и вставить их в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_PLUS_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Соединитель данных конфиденциальности IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_privacy наборов данных и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Privacy_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Соединитель расширенных данных для конфиденциальности IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания standard_privacy наборов данных и вставки его в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_Privacy_extended_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Соединитель данных ResProxy IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение функции Azure для скачивания наборов данных ResProxy и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_RESIDENTIAL_PROXY_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Соединитель данных IPinfo RIRWHOIS
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure, чтобы скачать наборы данных RIRWHOIS и вставить их в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_RIRWHOIS_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Соединитель данных RWHOIS IPinfo
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение функции Azure для скачивания наборов данных RWHOIS и вставки их в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_RWHOIS_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
IPinfo WHOIS ASN Data Connector
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания WHOIS_ASN наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_ASN_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
IPinfo WHOIS MNT Data Connector
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение функции Azure для скачивания WHOIS_MNT наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_MNT_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
IPinfo WHOIS NET Data Connector
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для загрузки WHOIS_NET наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_NET_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
IPinfo WHOIS ORG Data Connector
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для скачивания WHOIS_ORG наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_ORG_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Соединитель данных POC IPinfo WHOIS
Поддерживается:IPinfo
Этот соединитель данных IPinfo устанавливает приложение-функцию Azure для загрузки WHOIS_POC наборов данных и вставки в настраиваемую таблицу журналов в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ipinfo_WHOIS_POC_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API IPinfo. Получите маркер API IPinfo здесь.
Аудит Администратор браузера Island Enterprise (опрос CCF)
Поддерживается:Island
Соединитель Island Администратор позволяет принимать журналы аудита Администратор island в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Island_Admin_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Ключ API острова. Требуется ключ API острова.
Активность пользователя браузера Island Enterprise (опрос CCF)
Поддерживается:Island
Соединитель Island предоставляет возможность приема журналов активности пользователей в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Island_User_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Ключ API острова. Требуется ключ API острова.
Соединитель push-уведомлений Jamf Protect
Поддерживается:Jamf Software, LLC
Соединитель Jamf Protect предоставляет возможность чтения необработанных данных о событиях из Jamf Protect в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
jamfprotecttelemetryv2_CL |
Да | Да |
jamfprotectunifiedlogs_CL |
Да | Да |
jamfprotectalerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
JoeSandboxThreatIntelligence (с использованием Функции Azure)
Поддерживается:Стефан Бюльманн
Соединитель JoeSandboxThreatIntelligence автоматически создает и передает аналитику угроз для всех отправлений в JoeSandbox, улучшая обнаружение угроз и реагирование на инциденты в Sentinel. Такая простая интеграция позволяет командам упреждающе устранять возникающие угрозы.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Azure Active Directory() и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуется ключ API JoeSandbox .
Соединитель push-уведомлений системы безопасности Keeper
Поддерживается:Keeper Security
Соединитель Keeper Security предоставляет возможность чтения необработанных данных о событиях из Keeper Security в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
KeeperSecurityEventNewLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
LastPass Enterprise — отчеты (опрос CCF)
Поддерживается:Коллективный консалтинг
Соединитель LastPass Enterprise предоставляет возможность создавать журналы отчетов (аудита) LastPass в Microsoft Sentinel. Соединитель обеспечивает видимость имен входа и действий в LastPass (например, чтение и удаление паролей).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
LastPassNativePoller_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Ключ API LastPass и CID: требуется ключ API LastPass и идентификатор CID. Дополнительные сведения см. в разделе API LastPass.
Lookout Mobile Threat Detection Connector (с помощью платформы соединителей без кода) (предварительная версия)
Поддерживается:Lookout
Соединитель данных lookout Mobile Threat Detection предоставляет возможность приема событий, связанных с угрозами безопасности мобильных устройств, в Microsoft Sentinel через API мобильных рисков. Дополнительные сведения см. в документации по API . Этот соединитель помогает изучить потенциальные угрозы безопасности, обнаруженные на мобильных устройствах.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
LookoutMtdV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Luminar IOCs и утечка учетных данных (с использованием Функции Azure)
Поддерживается:Cognyte Luminar
Соединитель Luminar IOCs и Leaked Credentials позволяет интегрировать данные IOC на основе аналитики и связанные с клиентом утечки записей, идентифицированные Luminar.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Azure Active Directory() и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуются идентификатор клиента Luminar, секрет клиента Luminar и идентификатор учетной записи Luminar .
MailGuard 365
Поддерживается:MailGuard 365
Улучшенная Email безопасность MailGuard 365 для Microsoft 365. Только для Microsoft Marketplace, MailGuard 365 интегрирован с безопасностью Microsoft 365 (включая Defender) для расширенной защиты от сложных угроз электронной почты, таких как фишинг, программы-шантажисты и сложные атаки BEC.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MailGuard365_Threats_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
MailRisk by Secure Practice (с помощью Функции Azure)
Поддерживается:Secure Practice
Соединитель данных для отправки сообщений электронной почты из MailRisk в Microsoft Sentinel Log Analytics.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MailRiskEmails_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные API. Также требуется пара ключей API Secure Practice, которые создаются в параметрах на портале администрирования. Если вы потеряли секрет API, можно создать новую пару ключей (ПРЕДУПРЕЖДЕНИЕ. Все другие интеграции, использующие старую пару ключей, перестанут работать).
Microsoft 365 (ранее Office 365)
Поддерживается корпорациейМайкрософт
Соединитель журнала действий Microsoft 365 (ранее Office 365) предоставляет сведения о текущих действиях пользователей. Вы получите сведения об операциях, таких как скачивание файлов, отправленные запросы на доступ, изменения в событиях группы, set-mailbox и сведения о пользователе, выполнившем действия. Подключив журналы Microsoft 365 к Microsoft Sentinel вы можете использовать эти данные для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения процесса исследования. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OfficeActivity |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Управление внутренними рисками Microsoft 365
Поддерживается корпорациейМайкрософт
Microsoft 365 Insider Risk Management — это решение для обеспечения соответствия требованиям в Microsoft 365, которое помогает минимизировать внутренние риски, позволяя обнаруживать вредоносные и непреднамеренные действия в организации, а также принимать меры в отношении них. Аналитики рисков в вашей организации могут быстро выполнить соответствующие действия, чтобы убедиться, что пользователи соответствуют стандартам соответствия вашей организации.
Политики внутренних рисков позволяют:
- определите типы рисков, которые необходимо определить и обнаружить в организации.
- решить, какие действия следует предпринять в ответ, включая эскалацию обращений в Microsoft Advanced eDiscovery при необходимости.
Это решение создает оповещения, которые клиенты Office могут видеть в решении для управления внутренними рисками в Центре соответствия требованиям Microsoft 365. Дополнительные сведения об управлении внутренними рисками.
Эти оповещения можно импортировать в Microsoft Sentinel с помощью этого соединителя, что позволяет просматривать, исследовать и реагировать на них в более широком контексте организационных угроз. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Журналы событий безопасности контроллеров домена Microsoft Active-Directory
Поддерживается:Community
[Вариант 3 & 4] — с помощью агента мониторинга Azure вы можете выполнять потоковую передачу части или всех журналов событий безопасности контроллеров домена с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityEvent |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
Microsoft Copilot
Поддерживается:Майкрософт
Соединитель журналов Microsoft Copilot в Microsoft Sentinel позволяет легко принимать журналы действий, созданные Copilot, из M365 Copilot и Security Copilot в Microsoft Sentinel для расширенного обнаружения угроз, исследования и реагирования на нее. Он собирает данные телеметрии из Microsoft Copilot служб, таких как данные об использовании и ответы системы, а также данные приема в Microsoft Sentinel, что позволяет группам безопасности отслеживать неправильное использование, обнаруживать аномалии и поддерживать соответствие политикам организации.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CopilotActivity |
Нет | Да |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
Microsoft Dataverse
Поддерживается корпорациейМайкрософт
Microsoft Dataverse — это масштабируемая и безопасная платформа данных, которая позволяет организациям хранить данные, используемые бизнес-приложениями, и управлять ими. Соединитель данных Microsoft Dataverse позволяет принимать Dataverse и Dynamics 365 журналы действий CRM из Аудит Microsoft Purview входа в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
DataverseActivity |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
- Аудит Micorosft Purview: необходимо активировать Аудит Microsoft Purview (Standard или Premium).
- Рабочая dataverse. Ведение журнала действий доступно только для рабочих сред. Другие типы, например песочница, не поддерживают ведение журнала действий.
-
Параметры аудита dataverse. Параметры аудита должны быть настроены как глобально, так и на уровне сущности или таблицы. Дополнительные сведения см. в разделе Параметры аудита Dataverse.
Microsoft Defender for Cloud Apps
Поддерживается корпорациейМайкрософт
Подключив Microsoft Defender for Cloud Apps вы получите представление о своих облачных приложениях, получите сложную аналитику для выявления киберугроз и борьбы с ними, а также проконтролируете перемещение данных.
- Определите теневые ит-облачные приложения в сети.
- Управление и ограничение доступа на основе условий и контекста сеанса.
- Используйте встроенные или настраиваемые политики для общего доступа к данным и защиты от потери данных.
- Выявляйте использование с высоким риском и получайте оповещения о необычных действиях пользователей с помощью поведенческой аналитики Майкрософт и возможностей обнаружения аномалий, включая действия программ-шантажистов, невозможные поездки, подозрительные правила переадресации электронной почты и массовое скачивание файлов.
- Массовое скачивание файлов
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Нет | Нет |
McasShadowItReporting |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Microsoft Defender для конечной точки
Поддерживается корпорациейМайкрософт
Microsoft Defender для конечной точки — это платформа безопасности, предназначенная для предотвращения, обнаружения, исследования и реагирования на сложные угрозы. Платформа создает оповещения при обнаружении подозрительных событий безопасности в организации. Получение оповещений, созданных в Microsoft Defender для конечной точки, для Microsoft Sentinel, чтобы можно было эффективно анализировать события безопасности. Вы можете создавать правила, создавать панели мониторинга и создавать сборники схем для немедленного реагирования. Дополнительные сведения см. в документации >по Microsoft Sentinel .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Defender для удостоверений
Поддерживается корпорациейМайкрософт
Подключите Microsoft Defender для удостоверений, чтобы получить представление о событиях и аналитике пользователей. Microsoft Defender для удостоверений выявляет, обнаруживает и помогает исследовать расширенные угрозы, скомпрометированные удостоверения и вредоносные внутренние действия, направленные на вашу организацию. Microsoft Defender для удостоверений позволяет аналитикам SecOp и специалистам по безопасности обнаруживать сложные атаки в гибридных средах, чтобы:
- Мониторинг пользователей, поведения сущностей и действий с помощью аналитики на основе обучения
- Защита удостоверений и учетных данных пользователей, хранящихся в Active Directory.
- Выявление и расследование подозрительных действий пользователей и сложных атак по всей цепочке их этапов.
- Предоставление четкой информации об инциденте на простой временной шкале для его оперативного рассмотрения.
Дополнительные сведения см. в документации >по Microsoft Sentinel .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Defender для Интернета вещей
Поддерживается корпорациейМайкрософт
Получите аналитические сведения о безопасности Интернета вещей, подключив Microsoft Defender для оповещений Интернета вещей к Microsoft Sentinel. Вы можете получить встроенные метрики и данные оповещений, включая тенденции оповещений, основные оповещения и разбивку оповещений по серьезности. Вы также можете получить сведения о рекомендациях, предоставленных для Центров Интернета вещей, включая основные рекомендации и рекомендации по серьезности. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Defender для Office 365 (предварительная версия)
Поддерживается корпорациейМайкрософт
Microsoft Defender для Office 365 защищает вашу организацию от вредоносных угроз, связанных с сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы. Принимая Microsoft Defender для Office 365 оповещений в Microsoft Sentinel, вы можете включить сведения об угрозах на основе электронной почты и URL-адресов в более широкий анализ рисков и создать соответствующие сценарии реагирования.
Будут импортированы следующие типы оповещений:
- Обнаружен потенциально вредоносный url-адрес щелчка
- Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки
- Сообщения электронной почты, содержащие фишинговые URL-адреса, удалены после доставки
- Сообщение электронной почты, указанное пользователем как вредоносная программа или фишинг
- Обнаружены подозрительные шаблоны отправки электронной почты
- Пользователю запрещено отправлять сообщения электронной почты
Эти оповещения можно увидеть клиентам Office в ** Центре безопасности и соответствия требованиям Office**.
Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Аналитика угроз Microsoft Defender
Поддерживается корпорациейМайкрософт
Microsoft Sentinel предоставляет возможность импорта аналитики угроз, созданной корпорацией Майкрософт, для включения мониторинга, оповещения и охоты. Используйте этот соединитель данных для импорта индикаторов компрометации из Аналитика угроз Microsoft Defender (MDTI) в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса, хэши файлов и т. д.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Defender XDR
Поддерживается корпорациейМайкрософт
Microsoft Defender XDR — это единый, изначально интегрированный набор корпоративной защиты до и после нарушения безопасности, который защищает конечную точку, удостоверения, электронную почту и приложения, а также помогает обнаруживать, предотвращать, исследовать и автоматически реагировать на сложные угрозы.
Microsoft Defender XDR люкс включает:
- Microsoft Defender для конечной точки
- Microsoft Defender для удостоверений
- Microsoft Defender для Office 365
- Управление уязвимостями & угроз
- Microsoft Defender for Cloud Apps
Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityIncident |
Да | Да |
SecurityAlert |
Да | Да |
DeviceEvents |
Да | Да |
EmailEvents |
Да | Да |
IdentityLogonEvents |
Да | Да |
CloudAppEvents |
Да | Да |
AlertEvidence |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Entra ID
Поддерживается корпорациейМайкрософт
Получите аналитические сведения о Microsoft Entra ID, подключив журналы аудита и входа к Microsoft Sentinel для сбора аналитических сведений о сценариях Microsoft Entra ID. Сведения об использовании приложений, политиках условного доступа и устаревшей проверке подлинности можно узнать с помощью наших журналов входа. Сведения об использовании самостоятельного сброса пароля (SSPR), Microsoft Entra ID действиях управления, таких как управление пользователями, группами, ролями и приложениями, можно получить с помощью таблицы журналов аудита. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SigninLogs |
Да | Да |
AuditLogs |
Да | Да |
AADNonInteractiveUserSignInLogs |
Да | Да |
AADServicePrincipalSignInLogs |
Да | Да |
AADManagedIdentitySignInLogs |
Да | Да |
AADProvisioningLogs |
Да | Да |
ADFSSignInLogs |
Да | Да |
AADUserRiskEvents |
Да | Да |
AADRiskyUsers |
Да | Да |
NetworkAccessTraffic |
Да | Да |
AADRiskyServicePrincipals |
Да | Да |
AADServicePrincipalRiskEvents |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Ресурсы Microsoft Entra ID
Поддерживается корпорациейМайкрософт
соединитель данных ресурсов идентификаторов Entra предоставляет более подробную информацию о данных о действиях, дополняя сведения сведениями об активах. Данные из этого соединителя используются для создания графов риска данных в Purview. Если вы включили эти графы, деактивация этого соединителя предотвратит сборку графов. Сведения о графе риска данных.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правил сбора данных: В настоящее время не поддерживается
Защита Microsoft Entra ID
Поддерживается корпорациейМайкрософт
защита Microsoft Entra ID предоставляет консолидированное представление о пользователях, подверженных риску, событиях риска и уязвимостях, с возможностью немедленного устранения рисков и настройки политик для автоматического исправления будущих событий. Служба основана на опыте Корпорации Майкрософт по защите удостоверений потребителей и обеспечивает огромную точность сигнала от более чем 13 миллиардов входов в день. Интеграция оповещений Microsoft Microsoft Entra ID Protection с Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения анализа. Дополнительные сведения см. в документации по Microsoft Sentinel .
Получение Microsoft Entra ID premium P1/P2
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Журналы аудита Microsoft Exchange Администратор по журналам событий
Поддерживается:Community
[Вариант 1] — с помощью агента мониторинга Azure. С помощью агента Windows можно выполнять потоковую передачу всех событий аудита Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Он используется в книгах безопасности Microsoft Exchange для предоставления аналитических сведений о безопасности локальной среды Exchange.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Event |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
Журналы прокси-сервера HTTP Microsoft Exchange
Поддерживается:Community
[Вариант 7] — с помощью агента мониторинга Azure. С помощью агента Windows можно выполнять потоковую передачу журналов прокси-сервера HTTP и журналов событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование. Подробнее
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ExchangeHttpProxy_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
Журналы и события Microsoft Exchange
Поддерживается:Community
[Вариант 2] — с помощью агента мониторинга Azure. С помощью агента Windows можно выполнять потоковую передачу всех журналов событий exchange Security & приложений с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Event |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
Журналы отслеживания сообщений Microsoft Exchange
Поддерживается:Community
[Вариант 6] — с помощью агента мониторинга Azure. С помощью агента Windows можно выполнять потоковую передачу всех сообщений Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Эти журналы можно использовать для отслеживания потока сообщений в среде Exchange. Этот соединитель данных основан на варианте 6 вики-сайта безопасности Microsoft Exchange.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MessageTrackingLog_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
Microsoft Power Automate
Поддерживается корпорациейМайкрософт
Power Automate — это служба Майкрософт, которая помогает пользователям создавать автоматизированные рабочие процессы между приложениями и службами для синхронизации файлов, получения уведомлений, сбора данных и многого другого. Она упрощает автоматизацию задач, повышая эффективность за счет сокращения ручных, повторяющихся задач и повышения производительности. Соединитель данных Power Automate предоставляет возможность приема журналов действий Power Automate из Аудит Microsoft Purview входа в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PowerAutomateActivity |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
-
Аудит Micorosft Purview: необходимо активировать Аудит Microsoft Purview (Standard или Premium).
Действия microsoft Power Platform Администратор
Поддерживается корпорациейМайкрософт
Microsoft Power Platform — это набор с низким или отсутствием кода, который позволяет разработчикам-клиентам и профессиональным разработчикам оптимизировать бизнес-процессы, позволяя создавать пользовательские приложения, автоматизацию рабочих процессов и анализ данных с минимальным написанием кода. Соединитель данных Power Platform Администратор предоставляет возможность приема журналов действий администратора Power Platform из Аудит Microsoft Purview входа в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PowerPlatformAdminActivity |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
-
Аудит Micorosft Purview: необходимо активировать Аудит Microsoft Purview (Standard или Premium).
Microsoft PowerBI
Поддерживается корпорациейМайкрософт
Microsoft PowerBI — это набор программных служб, приложений и соединителей, которые работают вместе, чтобы превратить несвязанные источники данных в согласованные, визуально иммерсивные и интерактивные аналитические сведения. Ваши данные могут быть электронной таблицей Excel, коллекцией облачных и локальных гибридных хранилищ данных или хранилищем данных другого типа. Этот соединитель позволяет выполнять потоковую передачу журналов аудита PowerBI в Microsoft Sentinel, что позволяет отслеживать действия пользователей в среде PowerBI. Данные аудита можно фильтровать по диапазону дат, пользователю, панели мониторинга, отчету, набору данных и типу действия.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PowerBIActivity |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Project
Поддерживается:Майкрософт
Microsoft Project (MSP) — это программное решение для управления проектами. В зависимости от плана Microsoft Project позволяет планировать проекты, назначать задачи, управлять ресурсами, создавать отчеты и т. д. Этот соединитель позволяет выполнять потоковую передачу журналов аудита проекта Azure в Microsoft Sentinel для отслеживания действий проекта.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProjectActivity |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Purview
Поддерживается корпорациейМайкрософт
Подключитесь к Microsoft Purview, чтобы включить обогащение конфиденциальности данных Microsoft Sentinel. Журналы классификации данных и меток конфиденциальности из проверок Microsoft Purview можно принимать и визуализировать с помощью книг, аналитических правил и многого другого. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PurviewDataSensitivityLogs |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Защита информации Microsoft Purview
Поддерживается корпорациейМайкрософт
Защита информации Microsoft Purview помогает обнаруживать, классифицировать, защищать и управлять конфиденциальной информацией, где бы она ни находились. С помощью этих возможностей вы можете узнать свои данные, определить элементы, которые являются конфиденциальными, и получить представление о том, как они используются для более эффективной защиты данных. Метки конфиденциальности — это базовая возможность, которая обеспечивает действия по защите, применение шифрования, ограничения доступа и визуальную маркировку. Интегрируйте журналы Защита информации Microsoft Purview с Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения анализа. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MicrosoftPurviewInformationProtection |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Аудит Mimecast
Поддерживается:Mimecast
Соединитель данных для аудита Mimecast предоставляет клиентам видимость событий безопасности, связанных с событиями аудита и проверки подлинности в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения о действиях пользователей, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель: Аудит
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Audit_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API. Дополнительные сведения об API см. в документации по REST API.
Проверка подлинности & аудита Mimecast (с использованием Функции Azure)
Поддерживается:Mimecast
Соединитель данных для проверки подлинности & проверки подлинности Mimecast Audit предоставляет клиентам представление о событиях безопасности, связанных с событиями аудита и проверки подлинности в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения о действиях пользователей, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель: Аудит & проверки подлинности
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MimecastAudit_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие сведения:
- mimecastEmail: Email адрес выделенного администратора Mimecast
- mimecastPassword: пароль для выделенного администратора Mimecast
- mimecastAppId: идентификатор приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast.
- mimecastAppKey: ключ приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного администратора Mimecast
- mimecastSecretKey: секретный ключ для выделенного администратора Mimecast
- mimecastBaseURL: Базовый URL-адрес Mimecast Regional API
Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного администратора Mimecast можно получить через консоль администрирования Mimecast: Администрирование | Службы | Интеграция API и платформы.
Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
- Приложение "Функции". Для использования этого соединителя необходимо зарегистрировать приложение Azure.
- Идентификатор приложения
- Идентификатор клиента
- Идентификатор клиента
- Client Secret
Обучение по повышению осведомленности Mimecast
Поддерживается:Mimecast
Соединитель данных для Mimecast Awareness Training предоставляет клиентам представление о событиях безопасности, связанных с технологиями целевой проверки защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель:
- Сведения о производительности
- Сведения о безопасной оценке
- Данные пользователя
- Сведения о списке отслеживания
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Awareness_Performance_Details_CL |
Да | Да |
Awareness_SafeScore_Details_CL |
Да | Да |
Awareness_User_Data_CL |
Да | Да |
Awareness_Watchlist_Details_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API. Дополнительные сведения об API см. в документации по REST API.
Mimecast Cloud Integrated
Поддерживается:Mimecast
Соединитель данных для Mimecast Cloud Integrated предоставляет клиентам представление о событиях безопасности, связанных с технологиями проверки в облаке в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cloud_Integrated_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API. Дополнительные сведения об API см. в документации по REST API.
Mimecast Intelligence for Microsoft — Microsoft Sentinel (с помощью Функции Azure)
Поддерживается:Mimecast
Соединитель данных для Mimecast Intelligence для Майкрософт предоставляет региональную аналитику угроз, проверенную на основе технологий проверки электронной почты Mimecast, с предварительно созданными панелями мониторинга, чтобы аналитики могли просматривать аналитические сведения об угрозах на основе электронной почты, помогать в корреляции инцидентов и сократить время реагирования на расследование.
Продукты и компоненты Mimecast:
- Шлюз mimecast Secure Email
- Mimecast Threat Intelligence
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие сведения:
- mimecastEmail: Email адрес выделенного администратора Mimecast
- mimecastPassword: пароль для выделенного администратора Mimecast
- mimecastAppId: идентификатор приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast.
- mimecastAppKey: ключ приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного администратора Mimecast
- mimecastSecretKey: секретный ключ для выделенного администратора Mimecast
- mimecastBaseURL: Базовый URL-адрес Mimecast Regional API
Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного администратора Mimecast можно получить через консоль администрирования Mimecast: Администрирование | Службы | Интеграция API и платформы.
Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
- Приложение "Функции". Для использования этого соединителя необходимо зарегистрировать приложение Azure.
- Идентификатор приложения
- Идентификатор клиента
- Идентификатор клиента
- Client Secret
Шлюз mimecast Secure Email
Поддерживается:Mimecast
Соединитель данных для шлюза Mimecast Secure Email позволяет легко собирать журналы из шлюза Secure Email для получения аналитических сведений о электронной почте и активности пользователей в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений. Продукты и компоненты Mimecast:
- Облачный шлюз Mimecast
- Защита от утечки данных Mimecast
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Seg_Cg_CL |
Да | Да |
Seg_Dlp_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API. Дополнительные сведения об API см. в документации по REST API.
Шлюз Mimecast Secure Email (с помощью Функции Azure)
Поддерживается:Mimecast
Соединитель данных для шлюза Mimecast Secure Email позволяет легко собирать журналы из шлюза Secure Email для получения аналитических сведений о электронной почте и активности пользователей в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений. Продукты и компоненты Mimecast:
- Шлюз mimecast Secure Email
- Защита от утечки данных Mimecast
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MimecastSIEM_CL |
Нет | Нет |
MimecastDLP_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие сведения:
- mimecastEmail: Email адрес выделенного администратора Mimecast
- mimecastPassword: пароль для выделенного администратора Mimecast
- mimecastAppId: идентификатор приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast.
- mimecastAppKey: ключ приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного администратора Mimecast
- mimecastSecretKey: секретный ключ для выделенного администратора Mimecast
- mimecastBaseURL: Базовый URL-адрес Mimecast Regional API
Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного администратора Mimecast можно получить через консоль администрирования Mimecast: Администрирование | Службы | Интеграция API и платформы.
Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
- Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
- Приложение "Функции". Для использования этого соединителя необходимо зарегистрировать приложение Azure.
- Идентификатор приложения
- Идентификатор клиента
- Идентификатор клиента
- Client Secret
Защита от целевых угроз Mimecast
Поддерживается:Mimecast
Соединитель данных для Mimecast Targeted Threat Protection предоставляет клиентам представление о событиях безопасности, связанных с технологиями проверки Целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель:
- Защита URL-адресов
- Защита олицетворения
- Защита вложений
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Ttp_Url_CL |
Да | Да |
Ttp_Attachment_CL |
Да | Да |
Ttp_Impersonation_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API. Дополнительные сведения об API см. в документации по REST API.
Защита от целевых угроз Mimecast (с помощью Функции Azure)
Поддерживается:Mimecast
Соединитель данных для Mimecast Targeted Threat Protection предоставляет клиентам представление о событиях безопасности, связанных с технологиями проверки Целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помогать в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель:
- Защита URL-адресов
- Защита олицетворения
- Защита вложений
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MimecastTTPUrl_CL |
Нет | Нет |
MimecastTTPAttachment_CL |
Нет | Нет |
MimecastTTPImpersonation_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Учетные данные и разрешения REST API. Для настройки интеграции необходимо иметь следующие сведения:
- mimecastEmail: Email адрес выделенного администратора Mimecast
- mimecastPassword: пароль для выделенного администратора Mimecast
- mimecastAppId: идентификатор приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast.
- mimecastAppKey: ключ приложения API Microsoft Sentinel приложения Mimecast, зарегистрированного в Mimecast
- mimecastAccessKey: ключ доступа для выделенного администратора Mimecast
- mimecastSecretKey: секретный ключ для выделенного администратора Mimecast
- mimecastBaseURL: Базовый URL-адрес Mimecast Regional API
Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного администратора Mimecast можно получить через консоль администрирования Mimecast: Администрирование | Службы | Интеграция API и платформы.
Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/
MISP2Sentinel
Поддерживается:Community
Это решение устанавливает соединитель MISP2Sentinel, который позволяет автоматически отправлять индикаторы угроз из MISP в Microsoft Sentinel с помощью REST API отправки индикаторов. После установки решения настройте и включите этот соединитель данных, следуя указаниям в разделе Управление представлением решения.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Журналы MongoDB Atlas
Поддерживается:MongoDB
Соединитель журналов MongoDBAtlas позволяет передавать журналы базы данных MongoDB Atlas в Microsoft Sentinel через API администрирования Atlas MongoDB. Дополнительные сведения см. в документации по API . Соединитель предоставляет возможность получать диапазон сообщений журнала базы данных для указанных узлов и указанного проекта.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MDBALogTable_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API. Для учетной записи службы MongoDB Atlas требуются идентификатор клиента и секрет клиента . Дополнительные сведения см. в статье Создание учетной записи службы.
MuleSoft CloudHub (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных MuleSoft Cloudhub предоставляет возможность извлекать журналы из приложений Cloudhub с помощью API Cloudhub и других событий в Microsoft Sentinel через REST API. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
MuleSoft_Cloudhub_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API. Для выполнения вызовов API требуются MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername и MuleSoftPassword .
Защита NC
Поддерживается:archTIS
NC Protect Data Connector (archtis.com) предоставляет возможность приема журналов и событий действий пользователей в Microsoft Sentinel. Соединитель обеспечивает видимость журналов и событий действий пользователей NC в Microsoft Sentinel для улучшения возможностей мониторинга и исследования
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NCProtectUAL_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Защита NC. У вас должен быть работающий экземпляр NC Protect для O365. Свяжитесь с нами.
Оповещения и события Netskope
Поддерживается:Netskope
Оповещения и события системы безопасности Netskope
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NetskopeAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- URL-адрес организации Netskope. Соединитель данных Netskope требует указать URL-адрес организации. Url-адрес организации можно найти, войдя на портал Netskope.
-
Ключ API Netskope. Соединитель данных Netskope требует предоставления допустимого ключа API. Его можно создать, следуя документации Netskope.
Соединитель данных Netskope
Поддерживается:Netskope
Соединитель данных Netskope предоставляет следующие возможности:
- NetskopeToAzureStorage :
- Получение данных об оповещениях и событиях Netskope из Netskope и прием в хранилище Azure. 2. StorageToSentinel :
- Получение данных об оповещениях и событиях Netskope из хранилища Azure и прием в настраиваемую таблицу журналов в рабочей области Log Analytics. 3. WebTxMetrics :
- Получение данных WebTxMetrics из Netskope и прием в настраиваемую таблицу журналов в рабочей области Log Analytics.
Дополнительные сведения об ИНТЕРФЕЙСАх REST API см. в следующей документации:
- Документация по API Netskope:
https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure документации по хранилищу: /azure/storage/common/storage-introduction 3. Документация по аналитике журналов Майкрософт: /azure/azure-monitor/logs/log-analytics-overview
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
alertscompromisedcredentialdata_CL |
Нет | Нет |
alertsctepdata_CL |
Нет | Нет |
alertsdlpdata_CL |
Нет | Нет |
alertsmalsitedata_CL |
Нет | Нет |
alertsmalwaredata_CL |
Нет | Нет |
alertspolicydata_CL |
Нет | Нет |
alertsquarantinedata_CL |
Нет | Нет |
alertsremediationdata_CL |
Нет | Нет |
alertssecurityassessmentdata_CL |
Нет | Нет |
alertsubadata_CL |
Нет | Нет |
eventsapplicationdata_CL |
Нет | Нет |
eventsauditdata_CL |
Нет | Нет |
eventsconnectiondata_CL |
Нет | Нет |
eventsincidentdata_CL |
Нет | Нет |
eventsnetworkdata_CL |
Нет | Нет |
eventspagedata_CL |
Нет | Нет |
Netskope_WebTx_metrics_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Azure Active Directory() и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуется клиент Netskope и токен API Netskope . Дополнительные сведения об API см. в документации по REST API.
Соединитель веб-транзакций Netskope (через хранилище BLOB-объектов)
Поддерживается:Netskope
Соединитель веб-транзакций Netskope прием журналов веб-транзакций из потоковой передачи журналов Netskope в Microsoft Sentinel через Хранилище BLOB-объектов Azure с помощью платформы соединителя без кода (CCF).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NetskopeWebTransactions_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения на подписку. Для создания ресурсов потока данных требуются разрешения.
- очереди хранилища (очередь уведомлений и очередь недоставленных сообщений)
- Раздел сетки событий и подписка (для отправки уведомлений о событии создания BLOB-объектов в очередь уведомлений)
- назначения ролей (для предоставления Microsoft Sentinel приложению доступа к контейнеру BLOB-объектов и очередям хранилища).
- Конфигурация сети учетной записи хранения. Сетевые ограничения (правила брандмауэра или IP-адресов) для учетной записи Хранилище BLOB-объектов Azure не поддерживаются для этого соединителя из-за Azure ограничений и ограничений брандмауэра хранилища:
- Правила IP-сетине действуютна запросы, исходящие из того же Azure региона, что и учетная запись хранения.
- Правила IP-сетине могут ограничиватьдоступ к службам Azure, развернутых в том же регионе, так как эти службы используют частные IP-адреса Azure для обмена данными.
- Правила конечной точки службы виртуальной сети не применяются к клиентам в парном регионе.
Убедитесь, что колонка "Сеть " учетной записи хранения имеет значение Включено из всех сетей.
- Назначения ролей учетной записи хранения. Следующие Azure роли RBAC должны быть назначены субъекту-службе Microsoft Sentinel корпоративного приложения (как показано ниже) в учетной записи хранения, содержащей контейнер BLOB-объектов:
- Участник данных BLOB-объектов хранилища — требуется для чтения данных BLOB-объектов из контейнера.
- Участник данных очереди хранилища — требуется для управления сообщениями очереди уведомлений и недоставленных сообщений.
Чтобы назначить эти роли, перейдите к учетной записи хранения → контроль доступа (IAM) → Добавить назначение ролей, найдите идентификатор субъекта-службы, показанный ниже, и назначьте обе роли.
-
Сбор данных из Netskope в контейнер больших двоичных объектов. Выполните действия, описанные в документации по потоковой передаче журналов Netskope, чтобы настроить Netskope для потоковой передачи журналов веб-транзакций в контейнер Хранилище BLOB-объектов Azure.
Соединитель данных веб-транзакций Netskope
Поддерживается:Netskope
Соединитель данных Netskope Web Transactions предоставляет функциональные возможности образа Docker для извлечения данных Netskope Web Transactions из google pubsublite, обработки данных и приема обработанных данных в Log Analytics. В рамках этого соединителя данных в Log Analytics будут сформированы две таблицы: одна для данных веб-транзакций, а другая — для ошибок, возникших во время выполнения.
Дополнительные сведения о веб-транзакциях см. в следующей документации:
- Документация по веб-транзакциям Netskope:
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NetskopeWebtxData_CL |
Нет | Нет |
NetskopeWebtxErrors_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Microsoft Entra ID и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Compute: требуются разрешения на чтение и запись для Azure виртуальных машин. Дополнительные сведения см. в статье Azure виртуальных машин.
- Учетные данные и разрешения TransactionEvents: требуется клиент Netskope и токен API Netskope . Дополнительные сведения см. в разделе События транзакций.
-
Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
Группы безопасности сети
Поддерживается корпорациейМайкрософт
Azure группы безопасности сети (NSG) позволяют фильтровать сетевой трафик Azure ресурсов в Azure виртуальной сети и из нее. Группа безопасности сети включает правила, которые разрешают или запрещают трафик в подсеть виртуальной сети, сетевой интерфейс или и то, и другое.
При включении ведения журнала для группы безопасности сети можно собирать следующие типы сведений журнала ресурсов:
- Событие: Записываются записи, для которых правила NSG применяются к виртуальным машинам на основе MAC-адреса.
- Счетчик правил: Содержит записи о том, сколько раз применяется каждое правило NSG для запрета или разрешения трафика. Состояние этих правил собирается каждые 300 секунд.
Этот соединитель позволяет выполнять потоковую передачу журналов диагностика NSG в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
AzureDiagnostics |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
NordPass
Поддерживается:NordPass
Интеграция NordPass с Microsoft Sentinel SIEM через API позволяет автоматически передавать данные журнала действий из NordPass в Microsoft Sentinel и получать аналитические сведения в режиме реального времени, такие как действия элементов, все попытки входа и уведомления безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NordPassEventLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Убедитесь, что группа ресурсов и рабочая область Log Analytics созданы и расположены в одном регионе, чтобы можно было развернуть Функции Azure.
- Добавьте Microsoft Sentinel в созданную рабочую область Log Analytics.
- Создайте URL-адрес API Microsoft Sentinel и маркер на панели Администратор NordPass, чтобы завершить интеграцию Функции Azure. Обратите внимание, что для этого вам потребуется учетная запись NordPass Enterprise.
-
Важно: Этот соединитель использует Функции Azure для получения журналов действий из NordPass в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.
Соединитель общего доступа к данным Obsidian
Поддерживается:Obsidian Security
Соединитель Obsidian Datasharing предоставляет возможность считывания необработанных данных событий из obsidian Datasharing в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ObsidianActivity_CL |
Нет | Нет |
ObsidianThreat_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Единый вход Okta
Поддерживается корпорациейМайкрософт
Соединитель данных Okta Single Sign-On (SSO) предоставляет возможность приема журналов аудита и событий из API журнала Okta Sysem в Microsoft Sentinel. Соединитель данных основан на платформе соединителя без кода Microsoft Sentinel и использует API системных журналов Okta для получения событий. Соединитель поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные события безопасности в настраиваемые столбцы, чтобы запросы не нуждались в их повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OktaSSO |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Токен API Okta: маркер API Okta. Следуйте приведенным ниже инструкциям, чтобы создать api системных журналов Okta см. документацию .
Okta Single Sign-On (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель Okta Single Sign-On (SSO) предоставляет возможность приема журналов аудита и событий из API Okta в Microsoft Sentinel. Соединитель обеспечивает видимость этих типов журналов в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Okta_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Токен API Okta. Требуется маркер API Okta. Дополнительные сведения об API системных журналов Okta см. в документации.
Защита от атак: интеграция несоответвленного SAP Threat Detection & Intel с Microsoft Sentinel
Поддерживается:Onapsis
Предоставление командам по безопасности возможности глубокого наблюдения за уникальными эксплойтами, действиями субъектов нулевого дня и угроз; подозрительное поведение пользователя или программы предварительной оценки; скачивание конфиденциальных данных; нарушения контроля безопасности; и многое другое - все обогащено экспертами SAP onapsis.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Onapsis_Defend_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правил сбора данных. Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Платформа IAM OneLogin (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных OneLogin предоставляет возможность приема распространенных событий платформы IAM OneLogin в Microsoft Sentinel через REST API с помощью API событий OneLogin и API для пользователей OneLogin. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OneLoginEventsV2_CL |
Да | Да |
OneLoginUsersV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Учетные данные API OneLogin IAM. Чтобы создать учетные данные API, перейдите по ссылке на документ, указанную здесь, щелкните Здесь.
Убедитесь, что у вас есть тип учетной записи владельца или администратора учетной записи, чтобы создать учетные данные API.
После создания учетных данных API вы получите идентификатор клиента и секрет клиента.
OneTrust
Поддерживается:OneTrust, LLC
Соединитель OneTrust для Microsoft Sentinel позволяет практически в реальном времени отслеживать расположение или исправление конфиденциальных данных в Google Cloud и других поддерживаемых OneTrust источниках данных.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OneTrustMetadataV3_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Соединитель данных Open Systems
Поддерживается:Open Systems
Соединитель Microsoft Sentinel API журналов открытых систем предоставляет возможность приема журналов Open Systems в Microsoft Sentinel с помощью API журналов Open Systems.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OpenSystemsZtnaLogs_CL |
Да | Да |
OpenSystemsFirewallLogs_CL |
Нет | Нет |
OpenSystemsAuthenticationLogs_CL |
Нет | Нет |
OpenSystemsProxyLogs_CL |
Нет | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure контейнерных приложений, dcr и dcEs: требуются разрешения для развертывания Azure приложений-контейнеров, управляемых сред, правил сбора данных (DCR) и конечных точек сбора данных (DCEs). Обычно для этого используется роль "Участник" в подписке или группе ресурсов.
- Разрешения на назначение ролей. Для развертывания пользователя или субъекта-службы требуются разрешения на создание назначений ролей (в частности, "Издатель метрик мониторинга" в dcr).
- Необходимые учетные данные для шаблона ARM. Во время развертывания необходимо указать: конечную точку API открытых системных журналов и строка подключения, а также учетные данные субъекта-службы (идентификатор клиента, секрет клиента, идентификатор объекта или субъекта).
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Пользовательские предварительные требования при необходимости, в противном случае удалите этот тег таможни: Описание всех настраиваемых предварительных требований
Oracle Cloud Infrastructure (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Oracle Cloud Infrastructure (OCI) предоставляет возможность приема журналов OCI из Stream OCI в Microsoft Sentinel с помощью REST API потоковой передачи OCI.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OCI_LogsV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Доступ к API потоковой передачи OCI. Требуется доступ к API потоковой передачи OCI через ключи подписывания API.
Оповещения системы безопасности Orca
Поддерживается:Orca Security
Соединитель оповещений системы безопасности Orca позволяет легко экспортировать журналы оповещений в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
OrcaAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Palo Alto Cortex XDR
Поддерживается корпорациейМайкрософт
Соединитель данных Palo Alto Cortex XDR позволяет принимать журналы из API Palo Alto Cortex XDR в Microsoft Sentinel. Соединитель данных создан на основе Microsoft Sentinel платформы соединителей без кода. Он использует API XDR Palo Alto Cortex для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не нуждались в их повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PaloAltoCortexXDR_Incidents_CL |
Да | Да |
PaloAltoCortexXDR_Endpoints_CL |
Да | Да |
PaloAltoCortexXDR_Audit_Management_CL |
Да | Да |
PaloAltoCortexXDR_Audit_Agent_CL |
Да | Да |
PaloAltoCortexXDR_Alerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Palo Alto Cortex Xpanse (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Palo Alto Cortex Xpanse получает данные оповещений в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CortexXpanseAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Palo Alto Prisma Cloud CSPM (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Palo Alto Prisma Cloud CSPM позволяет подключаться к экземпляру Palo Alto Prisma Cloud CSPM и принимать оповещения (https://pan.dev/prisma-cloud/api/cspm/alerts/) & журналы аудита(https://pan.dev/prisma-cloud/api/cspm/audit-logs/) в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PaloAltoPrismaCloudAlertV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Palo Alto Prisma Cloud CWPP (с использованием REST API)
Поддерживается корпорациейМайкрософт
Соединитель данных Palo Alto Prisma Cloud CWPP позволяет подключаться к экземпляру Palo Alto Prisma Cloud CWPP и принимать оповещения в Microsoft Sentinel. Соединитель данных основан на платформе соединителя без кода Microsoft Sentinel и использует Облачный API Prisma для получения событий безопасности и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные события безопасности в пользовательские столбцы, чтобы запросы не нуждались в их повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PrismaCloudCompute_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Ключ API PrismaCloudCompute: требуется имя пользователя и пароль API монитора CWPP Для Palo Alto Prisma Cloud. Дополнительные сведения см. в разделе PrismaCloudCompute SIEM API.
Pathlock Inc.: Обнаружение угроз и реагирование на нее для SAP
Поддерживается:Pathlock Inc.
Интеграция Pathlock Threat Detection and Response (TD&R) с решением Microsoft Sentinel для SAP обеспечивает единую видимость событий безопасности SAP в режиме реального времени, позволяя организациям обнаруживать угрозы и реагировать на угрозы во всех ландшафтах SAP. Благодаря встроенной интеграции центры управления безопасностью (SOC) могут сопоставлять оповещения SAP с телеметрией на уровне предприятия, создавая практический анализ, который связывает ИТ-безопасность с бизнес-процессами.
Соединитель Pathlock специально создан для SAP и по умолчанию пересылает только события, относящиеся к безопасности, что позволяет минимизировать объем данных и шум, сохраняя при этом гибкость при переадресации всех источников журналов при необходимости. Каждое событие дополняется контекстом бизнес-процессов, что позволяет Microsoft Sentinel Решение для аналитики SAP, чтобы отличать операционные шаблоны от реальных угроз и определить приоритеты действительно важных.
Такой подход, ориентированный на точность, помогает группам безопасности резко сократить ложноположительные срабатывания, сосредоточиться на исследованиях и ускорить среднее время обнаружения (MTTD) и среднее время реагирования (MTTR). Библиотека Pathlock состоит из более чем 1500 сигнатур обнаружения SAP в более чем 70 источниках журналов. Решение выявляет сложные атаки, слабые места конфигурации и аномалии доступа.
Объединяя аналитику бизнес-контекста с расширенной аналитикой, Pathlock позволяет предприятиям повысить точность обнаружения, оптимизировать действия по реагированию и поддерживать непрерывный контроль в средах SAP, не добавляя при этом сложности или избыточные уровни мониторинга.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ABAPAuditLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правил сбора данных. Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Журналы действий периметра 81
Поддерживается:Периметр 81
Соединитель журналов действий Периметр 81 позволяет легко подключать журналы действий Периметра 81 к Microsoft Sentinel, просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Perimeter81_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Устройства для фосфора
Поддерживается:Phosphorus Inc.
Соединитель устройства «Фосфорус» предоставляет возможности для фосфора принимать журналы данных устройства в Microsoft Sentinel с помощью REST API Фосфора. Соединитель обеспечивает видимость устройств, зарегистрированных в Приложении Фосфор. Этот соединитель данных извлекает сведения об устройствах вместе с соответствующими оповещениями.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Phosphorus_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Учетные данные и разрешения REST API: требуется ключ API Для фосфора . Убедитесь, что для ключа API, связанного с пользователем, включены разрешения на управление параметрами.
Следуйте этим инструкциям, чтобы включить разрешения на управление параметрами.
- Вход в приложение "Фосфор"
- Перейдите в раздел "Параметры" -> "Группы"
- Выберите группу, частью в который входит пользователь интеграции.
- Перейдите к разделу Действия продукта—> переключите разрешение "Управление параметрами".
Ping One (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Этот соединитель выполняет прием журналов действий аудита с платформы PingOne Identity в Microsoft Sentinel с помощью платформы соединителя без кода.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
PingOne_AuditActivitiesV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Соединитель данных Prancer
Поддерживается интеграцией:Prancer PenSuiteAI
Соединитель данных Prancer предоставляет возможность приема данных Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] и PAC для обработки через Microsoft Sentinel. Дополнительные сведения см. в документации по Prancer .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
prancer_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Включите настраиваемые предварительные требования, если требуется подключение. В противном случае удалите таможни: описание любых настраиваемых предварительных требований
Премиум Аналитика угроз Microsoft Defender
Поддерживается корпорациейМайкрософт
Microsoft Sentinel предоставляет возможность импорта аналитики угроз, созданной корпорацией Майкрософт, для включения мониторинга, оповещения и охоты. Используйте этот соединитель данных для импорта индикаторов компрометации (IOCs) из premium Аналитика угроз Microsoft Defender (MDTI) в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса, хэши файлов и т. д. Примечание. Это платный соединитель. Чтобы использовать и принимать данные из него, приобретите номер SKU "ДОСТУП к API MDTI" в Центре партнеров.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Proofpoint On Demand Email Security (с помощью платформы соединителей без кода)
Поддерживается:Proofpoint, Inc.
Соединитель данных Proofpoint On Demand Email Security предоставляет возможность получать данные Proofpoint on Demand Email Protection, позволяет пользователям проверка трассировку сообщений, мониторинг действий электронной почты, угроз и кражу данных злоумышленниками и злоумышленниками. Соединитель позволяет просматривать события в организации на ускоренной основе, получать файлы журнала событий с почасовой приращением для последних действий.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProofpointPODMailLog_CL |
Да | Да |
ProofpointPODMessage_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Учетные данные и разрешения API Websocket: необходимы ProofpointClusterID и ProofpointToken . Дополнительные сведения см. в разделе API.
Proofpoint On Demand Email Security (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Proofpoint On Demand Email Security предоставляет возможность получать данные Proofpoint on Demand Email Protection, позволяет пользователям проверка трассировку сообщений, мониторинг действий электронной почты, угроз и кражу данных злоумышленниками и злоумышленниками. Соединитель позволяет просматривать события в организации на ускоренной основе, получать файлы журнала событий с почасовой приращением для последних действий.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProofpointPODMailLog_CL |
Да | Да |
ProofpointPODMessage_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Учетные данные и разрешения API Websocket: необходимы ProofpointClusterID и ProofpointToken . Дополнительные сведения см. в разделе API.
Proofpoint TAP (через платформу соединителя без кода)
Поддерживается:Proofpoint, Inc.
Соединитель Proofpoint Targeted Attack Protection (TAP) предоставляет возможность приема журналов и событий Proofpoint TAP в Microsoft Sentinel. Соединитель обеспечивает видимость событий сообщений и щелчков в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Да | Да |
ProofPointTAPMessagesBlockedV2_CL |
Да | Да |
ProofPointTAPClicksPermittedV2_CL |
Да | Да |
ProofPointTAPClicksBlockedV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Ключ API TAP proofpoint. Для доступа к API SIEM Proofpoint требуется субъект-служба API Proofpoint TAP и секрет. Дополнительные сведения см. в разделе API SIEM Proofpoint.
Proofpoint TAP (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель Proofpoint Targeted Attack Protection (TAP) предоставляет возможность приема журналов и событий Proofpoint TAP в Microsoft Sentinel. Соединитель обеспечивает видимость событий сообщений и щелчков в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ProofPointTAPMessagesDeliveredV2_CL |
Да | Да |
ProofPointTAPMessagesBlockedV2_CL |
Да | Да |
ProofPointTAPClicksPermittedV2_CL |
Да | Да |
ProofPointTAPClicksBlockedV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Ключ API TAP proofpoint. Для доступа к API SIEM Proofpoint требуется субъект-служба API Proofpoint TAP и секрет. Дополнительные сведения см. в разделе API SIEM Proofpoint.
QscoutAppEventsConnector (через платформу соединителя без кода)
Поддерживается:Quokka
Прием событий приложения Qscout в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
QscoutAppEvents_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Идентификатор организации Qscout. ДЛЯ API требуется идентификатор вашей организации в Qscout.
-
Ключ API организации Qscout. Для API требуется ключ API организации в Qscout.
База знаний Qualys (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Прием данных об уязвимостях базы знаний Qualys в Microsoft Sentinel с помощью API Qualys версии 2.0.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
QualysKnowledgeBase |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Доступ к QUALYS API. Требуется учетная запись пользователя Qualys с доступом на чтение к конечным точкам базы знаний.
База знаний виртуальных машин Qualys (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель Базы знаний Qualys Vulnerability Management (VM) предоставляет возможность приема последних данных об уязвимостях из Qualys KB в Microsoft Sentinel.
Эти данные могут использоваться для корреляции и обогащения обнаружений уязвимостей, обнаруженных соединителем данных Управления уязвимостями Qualys (VM).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
QualysKB_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Ключ API Qualys. Требуется имя пользователя и пароль API Qualys vm. Дополнительные сведения см. в разделе Qualys VM API.
Управление уязвимостями Qualys (с помощью платформы соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Qualys Vulnerability Management (VM) предоставляет возможность приема данных об обнаружении узлов уязвимостей в Microsoft Sentinel с помощью API Qualys. Соединитель обеспечивает видимость данных об обнаружении узла из проверок вялости.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
QualysHostDetectionV3_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Доступ к API и роли. Убедитесь, что пользователь виртуальной машины Qualys имеет роль читателя или выше. Если роль — Читатель, убедитесь, что для учетной записи включен доступ по API. Роль аудитора не поддерживается для доступа к API. Дополнительные сведения см. в документе Api обнаружения узлов Qualys vm и user role Comparison .
Radiflow iSID через AMA
Поддерживается:Radiflow
iSID обеспечивает мониторинг изменений в топологии и поведении распределенных сетей ICS, используя несколько пакетов безопасности, каждый из которых предоставляет уникальные возможности, относящиеся к определенному типу сетевой активности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
RadiflowEvent |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Отчеты об управлении уязвимостями платформы Rapid7 Insight (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных отчетов о виртуальных машинах Rapid7 Insight предоставляет возможность приема отчетов сканирования и данных об уязвимостях в Microsoft Sentinel с помощью REST API с платформы Rapid7 Insight (управляемая в облаке). Дополнительные сведения см. в документации по API . Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
NexposeInsightVMCloud_assets_CL |
Нет | Нет |
NexposeInsightVMCloud_vulnerabilities_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные REST API. Для REST API требуется InsightVMAPIKey . Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
RsA ID Plus Администратор Logs Connector
Поддерживается группойподдержки RSA
Соединитель RSA ID Plus AdminLogs предоставляет возможность приема событий аудита консоли облачных Администратор в Microsoft Sentinel с помощью API облачных Администратор.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
RSAIDPlus_AdminLogs_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Проверка подлинности RSA ID plus API. Для доступа к API Администратор требуется допустимый токен JWT в кодировке Base64URL, подписанный ключом API устаревшего администрирования клиента.
Соединитель данных Rubrik Security Cloud (с помощью Функции Azure)
Поддерживается:Rubrik
Соединитель данных Rubrik Security Cloud позволяет командам по обеспечению безопасности интегрировать аналитические сведения из служб отслеживания данных Rubrik в Microsoft Sentinel. Аналитические сведения включают выявление аномального поведения файловой системы, связанного с программами-шантажистом и массовым удалением, оценку радиуса взрыва атаки с помощью программ-шантажистов, а также операторов конфиденциальных данных для определения приоритетов и более быстрого расследования потенциальных инцидентов.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Rubrik_Anomaly_Data_CL |
Да | Да |
Rubrik_Ransomware_Data_CL |
Да | Да |
Rubrik_ThreatHunt_Data_CL |
Да | Да |
Rubrik_Events_Data_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
Безопасность SaaS
Поддерживается:Valence Security
Подключает платформу безопасности SaaS Valence Azure Log Analytics с помощью интерфейса REST API.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ValenceAlert_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
SailPoint IdentityNow (с помощью Функции Azure)
Поддерживается:SailPoint
Соединитель данных SailPoint IdentityNow предоставляет возможность приема событий поиска [SailPoint IdentityNow] в Microsoft Sentinel через REST API. Соединитель предоставляет клиентам возможность извлекать сведения аудита из клиента IdentityNow. Он предназначен для того, чтобы еще проще перенести события активности пользователей и управления IdentityNow в Microsoft Sentinel, чтобы улучшить аналитические сведения из вашего решения для мониторинга инцидентов безопасности и событий.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SailPointIDN_Events_CL |
Да | Да |
SailPointIDN_Triggers_CL |
Нет | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные для проверки подлинности API SailPoint IdentityNow. Для проверки подлинности требуются TENANT_ID, CLIENT_ID и CLIENT_SECRET.
Salesforce Service Cloud (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Salesforce Service Cloud предоставляет возможность приема сведений об операционных событиях Salesforce в Microsoft Sentinel с помощью REST API. Соединитель позволяет просматривать события в организации на ускоренной основе, получать файлы журнала событий с почасовой приращением для последних действий.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SalesforceServiceCloudV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Доступ к API Salesforce Service Cloud. Требуется доступ к API Salesforce Service Cloud через подключенное приложение.
Samsung Knox Asset Intelligence
Поддерживается:Samsung Electronics Co., Ltd.
Samsung Knox Asset Intelligence Data Connector позволяет централизовать события и журналы безопасности мобильных устройств, чтобы просматривать настраиваемые аналитические сведения с помощью шаблона книги и выявлять инциденты на основе шаблонов правил аналитики.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Samsung_Knox_Audit_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Entra приложение. Приложение Entra должно быть зарегистрировано и подготовлено с ролью "Издатель метрик Майкрософт" и настроено с помощью сертификата или секрета клиента в качестве учетных данных для безопасной передачи данных.
Дополнительные сведения о создании, регистрации и настройке учетных данных Entra см. в руководстве по приему журналов.
SAP BTP
Поддерживается корпорациейМайкрософт
Sap Business Technology Platform (SAP BTP) объединяет управление данными, аналитику, искусственный интеллект, разработку приложений, автоматизацию и интеграцию в единой среде.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SAPBTPAuditLog_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Идентификатор клиента и секрет клиента для API получения аудита: включение доступа к API в BTP.
SAP Enterprise Threat Detection, cloud edition
Поддерживается:SAP
Соединитель данных SAP Enterprise Threat Detection, cloud edition (ETD) позволяет принимать оповещения системы безопасности из ETD в Microsoft Sentinel, поддерживая перекрестную корреляцию, оповещения и поиск угроз.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SAPETDAlerts_CL |
Да | Да |
SAPETDInvestigations_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Идентификатор клиента и секрет клиента для API извлечения ETD: включение доступа к API в ETD.
SAP LogServ (RISE), частный выпуск S/4HANA Cloud
Поддерживается:SAP
SAP LogServ — это служба SAP Enterprise Облачные службы (ECS), предназначенная для сбора, хранения, пересылки и доступа к журналам. LogServ централизует журналы из всех систем, приложений и служб ECS, используемых зарегистрированным клиентом.
Основные функции:
Сбор журналов практически в реальном времени: с возможностью интеграции с Microsoft Sentinel в качестве решения SIEM.
LogServ дополняет существующий мониторинг угроз и обнаружение угроз на уровне приложений SAP в Microsoft Sentinel с типами журналов, принадлежащими SAP ECS в качестве системного поставщика. Сюда входят такие журналы, как журнал аудита безопасности SAP (AS ABAP), база данных HANA, AS JAVA, ICM, веб-диспетчер SAP, облачный соединитель SAP, ОС, шлюз SAP, сторонняя база данных, сеть, DNS, прокси-сервер, брандмауэр
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SAPLogServ_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правил сбора данных. Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
SAP S/4HANA Cloud Public Edition
Поддерживается:SAP
Соединитель данных SAP S/4HANA Cloud Public Edition (GROW с SAP) позволяет принимать журнал аудита безопасности SAP в решение Microsoft Sentinel для SAP, поддерживая перекрестную корреляцию, оповещения и охоту на угрозы. Ищете альтернативные механизмы проверки подлинности? См. здесь.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ABAPAuditLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Идентификатор клиента и секрет клиента для API получения аудита: включение доступа к API в BTP.
Решение SecurityBridge для SAP
Поддерживается:SecurityBridge
SecurityBridge повышает безопасность SAP за счет простой интеграции с Microsoft Sentinel, обеспечивая мониторинг и обнаружение угроз в средах SAP в режиме реального времени. Эта интеграция позволяет центрам управления безопасностью (SOC) консолидировать события безопасности SAP с другими организационными данными, обеспечивая единое представление ландшафта угроз. Используя аналитику на основе ИИ и Security Copilot Майкрософт, SecurityBridge определяет сложные шаблоны атак и уязвимости в приложениях SAP, включая сканирование кода ABAP и оценку конфигурации. Решение поддерживает масштабируемые развертывания в сложных ландшафтах SAP, будь то локальные, облачные или гибридные среды. Преодолевая разрыв между командами безопасности ИТ и SAP, SecurityBridge позволяет организациям упреждающе обнаруживать, исследовать угрозы и реагировать на них, повышая общую безопасность.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ABAPAuditLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правил сбора данных. Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Журналы молнии Semperis
Поддерживается:Semperis
Соединитель Semperis Lightning использует Функции Azure для приема данных безопасности удостоверений Semperis Lightning в Microsoft Sentinel. Соединитель развертывает функцию Azure и собирает данные в пользовательские таблицы Log Analytics для исследования и охоты на угрозы.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
LightningTier0Nodes_CL |
Нет | Нет |
LightningAttackPaths_CL |
Нет | Нет |
LightningIOEResults_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные API Молнии Semperis. Для проверки подлинности соединителя в Semperis Lightning требуется ключ API Молнии Semperis и выбранная зона (na или eu).
SentinelOne
Поддерживается корпорациейМайкрософт
Соединитель данных SentinelOne позволяет принимать журналы из API SentinelOne в Microsoft Sentinel. Соединитель данных создан на основе Microsoft Sentinel платформы соединителей без кода. Он использует API SentinelOne для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не нуждались в их повторном анализе, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SentinelOneActivities_CL |
Да | Да |
SentinelOneAgents_CL |
Да | Да |
SentinelOneGroups_CL |
Да | Да |
SentinelOneThreats_CL |
Да | Да |
SentinelOneAlerts_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
SentinelOne (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных SentinelOne предоставляет возможность приема распространенных объектов сервера SentinelOne, таких как угрозы, агенты, приложения, действия, политики, группы и другие события, в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview по API. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SentinelOne_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуется SentinelOneAPIToken . Дополнительные сведения об API см. в документации
https://<SOneInstanceDomain>.sentinelone.net/api-doc/overviewпо .
Seraphic Web Security
Поддерживается:Seraphic Security
Соединитель данных Seraphic Web Security предоставляет возможность приема событий и оповещений Seraphic Web Security в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SeraphicWebSecurity_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Серафический ключ API: ключ API для Microsoft Sentinel подключен к клиенту Seraphic Web Security. Чтобы получить этот ключ API для клиента, ознакомьтесь с этой документацией.
Консоль Администратор Silverfort
Поддерживается:Silverfort
Решение соединителя silverfort ITDR Администратор Console позволяет принимать события Silverfort и выполнять вход в Microsoft Sentinel. Silverfort предоставляет события на основе системного журнала и ведение журнала с помощью общего формата событий (CEF). Перенаправляя данные CEF консоли Silverfort ITDR Администратор в Microsoft Sentinel, вы можете воспользоваться преимуществами поиска Sentinels & корреляции, оповещения и обогащения аналитики угроз в данных Silverfort. Обратитесь к Silverfort или обратитесь к документации по Silverfort для получения дополнительных сведений.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
SlackAudit (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных SlackAudit предоставляет возможность приема журналов аудита Slack в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SlackAuditV2_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
UserName, Ключ API SlackAudit & тип действия. Чтобы создать маркер доступа, создайте приложение в Slack, добавьте необходимые области и настройте URL-адрес перенаправления. Подробные инструкции по созданию маркера доступа, имени пользователя и ограничения имени действия см. по ссылке.
Snowflake (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Snowflake предоставляет возможность приема журналов журнала входа Snowflake, журналов журнала запросов, журналов предоставления пользователями, журналов предоставления ролей, журналов журнала журнала загрузки, журналов обновления материализованного представления, журналов ролей, журналов таблиц, журналов метрик хранилища таблиц, журналов пользователей в Microsoft Sentinel с помощью API SQL Snowflake. Дополнительные сведения см. в документации по API SQL Snowflake .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SnowflakeLogin_CL |
Да | Да |
SnowflakeQuery_CL |
Да | Да |
SnowflakeUserGrant_CL |
Да | Да |
SnowflakeRoleGrant_CL |
Да | Да |
SnowflakeLoad_CL |
Да | Да |
SnowflakeMaterializedView_CL |
Да | Да |
SnowflakeRoles_CL |
Да | Да |
SnowflakeTables_CL |
Да | Да |
SnowflakeTableStorageMetrics_CL |
Да | Да |
SnowflakeUsers_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Соединитель данных журналов аудита платформы SOC Prime
Поддерживается:SOC Prime
Соединитель данных soc Prime Audit Logs позволяет принимать журналы из API платформы SOC Prime в Microsoft Sentinel. Соединитель данных создан на основе Microsoft Sentinel платформы соединителей без кода. Он использует API платформы SOC Prime для получения журналов аудита платформы SOC Prime и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, что приводит к повышению производительности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SOCPrimeAuditLogs_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Соединитель данных Sonrai
Поддерживается:Н/Д
Используйте этот соединитель данных для интеграции с Sonrai Security и получения билетов Sonrai, отправляемых непосредственно в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Sonrai_Tickets_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Sophos Endpoint Protection (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Sophos Endpoint Protection предоставляет возможность приема событий Sophos в Microsoft Sentinel. Дополнительные сведения см. в документации по Sophos Central Администратор.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SophosEP_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуется маркер API . Дополнительные сведения см. в разделе Токен API.
Sophos Endpoint Protection (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Sophos Endpoint Protection предоставляет возможность приема событий Sophos и оповещений Sophos в Microsoft Sentinel. Дополнительные сведения см. в документации по Sophos Central Администратор.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SophosEPEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Доступ к API Sophos Endpoint Protection. Требуется доступ к API Sophos Endpoint Protection через субъект-службу.
Symantec Integrated Cyber Defense Exchange
Поддерживается корпорациейМайкрософт
Соединитель Symantec ICDx позволяет легко подключать журналы решений безопасности Symantec к Microsoft Sentinel, просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Это дает вам больше сведений о сети вашей организации и улучшает возможности операций безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SymantecICDx_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Соединитель интеграции Synqly
Поддерживается:Synqly
Соединитель Synqly предоставляет возможность отправки событий безопасности из интеграции Synqly в Microsoft Sentinel с помощью API приема журналов Azure. События автоматически нормализуются в таблицы ASIM (расширенная информационная модель безопасности) для использования с аналитикой Microsoft Sentinel, книгами и запросами охоты.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra ID: роль разработчика приложений (или выше) для создания регистраций приложений.
-
Microsoft Azure: роль владельца или администратора доступа пользователей в группе ресурсов для развертывания DCR и назначения роли издателя метрик мониторинга.
Системный журнал через AMA
Поддерживается корпорациейМайкрософт
Системный журнал — это протокол ведения журнала событий, который является общим для Linux. Приложения будут отправлять сообщения, которые могут храниться на локальном компьютере или доставляться сборщику системного журнала. При установке агента для Linux настраивается локальная управляющая программа Syslog для пересылки сообщений агенту. Затем агент отправляет сообщение в рабочую область.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Syslog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Скомпрометированные учетные данные TacitRed
Поддерживается:Data443 Risk Mitigation, Inc.
Прием скомпрометированных учетных данных из TacitRed с помощью Common Connector Framework (CCF).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TacitRed_Findings_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Ключ API TacitRed: ключ API, хранящийся в Azure Key Vault или предоставленный во время развертывания.
Talon Insights
Поддерживается:Talon Security
Соединитель журналов безопасности Talon позволяет легко подключать события Talon и журналы аудита к Microsoft Sentinel, просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследования.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Talon_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Соединитель данных Team Cymru Scout (с помощью Функции Azure)
Поддерживается командойCymru
Соединитель данных TeamCymruScout позволяет пользователям переносить данные об ip-адресе, домене и учетной записи Team Cymru Scout в Microsoft Sentinel для обогащения.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Cymru_Scout_Domain_Data_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Foundation_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Details_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Communications_CL |
Нет | Нет |
Cymru_Scout_IP_Data_PDNS_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Fingerprints_CL |
Нет | Нет |
Cymru_Scout_IP_Data_OpenPorts_CL |
Нет | Нет |
Cymru_Scout_IP_Data_x509_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Summary_Details_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Summary_PDNS_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Summary_OpenPorts_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Summary_Certs_CL |
Нет | Нет |
Cymru_Scout_IP_Data_Summary_Fingerprints_CL |
Нет | Нет |
Cymru_Scout_Account_Usage_Data_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Разрешение на назначение роли зарегистрированным приложениям: требуется разрешение на назначение роли зарегистрированным приложениям в Microsoft Entra ID.
-
Учетные данные и разрешения для команды Cymru Scout: требуются учетные данные учетной записи Cymru Scout (имя пользователя, пароль).
Подверженность тенебельным удостоверениям
Поддерживается:Tenable
Соединитель с возможностью раскрытия личных данных позволяет принимать в Microsoft Sentinel индикаторы экспозиции, индикаторы атак и журналы потоков. Различные рабочие книги и средства синтаксического анализа данных позволяют проще управлять журналами и отслеживать среду Active Directory. Шаблоны аналитики позволяют автоматизировать реагирование на различные события, уязвимости и атаки.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Доступ к конфигурации TenableIE: разрешения для настройки подсистемы оповещений системного журнала
Управление уязвимостями (с помощью Функции Azure)
Поддерживается:Tenable
Соединитель данных TVM позволяет принимать данные об активах, уязвимостях, соответствии, ресурсах WAS и уязвимостях WAS в Microsoft Sentinel с помощью REST API TVM. Дополнительные сведения см. в документации по API . Соединитель предоставляет возможность получать данные, которые помогают анализировать потенциальные риски безопасности, получать аналитические сведения о вычислительных ресурсах, диагностировать проблемы конфигурации и многое другое.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Tenable_VM_Asset_CL |
Да | Да |
Tenable_VM_Vuln_CL |
Да | Да |
Tenable_VM_Compliance_CL |
Да | Да |
Tenable_WAS_Asset_CL |
Да | Да |
Tenable_WAS_Vuln_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API. Для доступа к REST API TenableAccessKey и TenableSecretKey требуются как учетные данные и разрешения REST API. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
Microsoft Defender на основе клиента для облака
Поддерживается корпорациейМайкрософт
Microsoft Defender для облака — это средство управления безопасностью, которое позволяет обнаруживать угрозы и быстро реагировать на них в Azure, гибридных и многооблачных рабочих нагрузках. Этот соединитель позволяет выполнять потоковую передачу оповещений системы безопасности MDC из Microsoft 365 Defender в Microsoft Sentinel, что позволяет использовать преимущества корреляций XDR, соединяющих точки между облачными ресурсами, устройствами и удостоверениями, а также просматривать данные в книгах, запросах, а также исследовать инциденты и реагировать на них. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
TheHive (через платформу соединителя без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных TheHive предоставляет возможность приема данных платформы реагирования на инциденты безопасности TheHive в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API . Соединитель позволяет получать варианты, задачи и оповещения из TheHive и визуализировать их в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TheHiveData |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Доступ к APIHive: для API TheHive требуется доступ к API TheHive версии 4 и более поздних версий.
Теом
Поддерживается:Theom
Соединитель данных Theom позволяет организациям подключать среду Theom к Microsoft Sentinel. Это решение позволяет пользователям получать оповещения о рисках безопасности данных, создавать и дополнять инциденты, проверка статистику и запускать сборники схем SOAR в Microsoft Sentinel
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TheomAlerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Аналитика угроз — TAXII
Поддерживается корпорациейМайкрософт
Microsoft Sentinel интегрируется с источниками данных TAXII 2.0 и 2.1 для мониторинга, оповещения и охоты с помощью аналитики угроз. Используйте этот соединитель для отправки поддерживаемых типов объектов STIX с серверов TAXII в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов. Дополнительные сведения см. в документации >по Microsoft Sentinel .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Платформы аналитики угроз
Поддерживается корпорациейМайкрософт
Microsoft Sentinel интегрируется с Microsoft Graph API безопасности источниками данных для мониторинга, оповещения и охоты с помощью аналитики угроз. Используйте этот соединитель для отправки индикаторов угроз в Microsoft Sentinel из платформы аналитики угроз (TIP), например Threat Connect, Palo Alto Networks MindMeld, MISP или других интегрированных приложений. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов. Дополнительные сведения см. в документации >по Microsoft Sentinel .
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
API отправки аналитики угроз (предварительная версия)
Поддерживается корпорациейМайкрософт
Microsoft Sentinel предлагает API плоскости данных для анализа угроз из платформы аналитики угроз (TIP), например Threat Connect, Palo Alto Networks MineMeld, MISP или других интегрированных приложений. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса, хэши файлов и адреса электронной почты. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Соединитель безопасности передачи (с помощью Функции Azure)
Поддерживается:Передача безопасности
Соединитель данных [Безопасность передачи] предоставляет возможность приема распространенных событий передачи API безопасности в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TransmitSecurityActivity_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Идентификатор клиента REST API. Требуется параметр TransmitSecurityClientID . Дополнительные сведения об API см. в документации
https://developer.transmitsecurity.com/по . -
Секрет клиента REST API: требуется параметр TransmitSecurityClientSecret . Дополнительные сведения об API см. в документации
https://developer.transmitsecurity.com/по .
Trellix Endpoint Security (через платформу соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных Trellix Endpoint Security позволяет принимать события безопасности из Trellix ePO (ePolicy Orchestrator) в Microsoft Sentinel. Этот соединитель использует проверку подлинности учетных данных клиента OAuth2 и автоматически обрабатывает разбиение на страницы для сбора комплексных данных о безопасности конечных точек, включая сведения об обнаружении угроз, сведения об анализаторе, сведения об исходной и целевой системе, а также действия по реагированию на угрозы.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TrellixEvents |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Trend Vision One (с помощью Функции Azure)
Поддерживается:Trend Micro
Соединитель Trend Vision One позволяет легко подключать данные оповещений Workbench к Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования. Это позволяет получить больше сведений о сетях и системах вашей организации и улучшить возможности операций по обеспечению безопасности.
Соединитель Trend Vision One поддерживается в Microsoft Sentinel в следующих регионах: Восточная Австралия, Юго-Восточная Австралия, Южная Бразилия, Центральная Канада, Восточная Канада, Центральная Индия, Центральная Часть США, Восточная Азия, Восточная ЧАСТЬ США, Восточная Франция, Восточная Япония, Центральная Корея, Северная часть США, Северная Европа, Восточная Норвегия, Южная Африка, Южная Африка, Центрально-Южная Часть США, Юго-Восточная Азия, Центральная Швеция, Северная Швейцария, Север ОАЭ, Южная Часть Соединенного Королевства, Западная Часть Великобритании, Западная Европа, Западная часть США, Западная часть США 2, Западная часть США 3.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
TrendMicro_XDR_WORKBENCH_CL |
Нет | Нет |
TrendMicro_XDR_RCA_Task_CL |
Нет | Нет |
TrendMicro_XDR_RCA_Result_CL |
Нет | Нет |
TrendMicro_XDR_OAT_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Маркер API Trend Vision One. Требуется маркер API Trend Vision One. Дополнительные сведения об API Trend Vision One см. в документации.
Безопасность Tropico — оповещения
Поддерживается:TROPICO Security
Прием оповещений системы безопасности от платформы безопасности Tropico в формате поиска безопасности OCSF.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
{{graphQueriesTableName}} |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Безопасность Tropico — события
Поддерживается:TROPICO Security
Прием событий безопасности из платформы безопасности Tropico в формате поиска безопасности OCSF.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
{{graphQueriesTableName}} |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Безопасность Tropico — инциденты
Поддерживается:TROPICO Security
Прием инцидентов сеанса злоумышленников из платформы безопасности Tropico.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
{{graphQueriesTableName}} |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Соединитель принудительной отправки Varonis Purview
Поддерживается:Varonis
Соединитель Varonis Purview позволяет синхронизировать ресурсы из Varonis с Microsoft Purview.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
VaronisResources_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Varonis SaaS
Поддерживается:Varonis
Varonis SaaS предоставляет возможность приема оповещений Varonis в Microsoft Sentinel.
Varonis уделяет приоритетное внимание глубокой видимости данных, возможностям классификации и автоматическому исправлению для доступа к данным. Varonis создает единое приоритетное представление о рисках для ваших данных, чтобы вы могли упреждающе и систематически устранять риски, связанные с внутренними угрозами и кибератаками.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
VaronisAlerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
Vectra XDR (с использованием Функции Azure)
Поддерживается:Поддержка Vectra
Соединитель Vectra XDR позволяет принимать данные обнаружения, аудита, оценки сущностей, блокировки, работоспособности и сущностей в Microsoft Sentinel с помощью REST API Vectra. Дополнительные сведения см. в документации https://support.vectra.ai/s/article/KB-VS-1666 по API.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Detections_Data_CL |
Да | Да |
Audits_Data_CL |
Да | Да |
Entity_Scoring_Data_CL |
Да | Да |
Lockdown_Data_CL |
Да | Да |
Health_Data_CL |
Да | Да |
Entities_Data_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API. Идентификатор клиента Vectra и секрет клиента требуются для сбора данных работоспособности, оценки сущностей, сущностей, обнаружения, блокировки и аудита. Дополнительные сведения об API см. в документации
https://support.vectra.ai/s/article/KB-VS-1666по .
Соединитель данных Veeam (с помощью Функции Azure)
Поддерживается:Veeam Software
Соединитель данных Veeam позволяет принимать данные телеметрии Veeam из нескольких пользовательских таблиц в Microsoft Sentinel.
Соединитель поддерживает интеграцию с платформами Veeam Backup & Replication, Veeam ONE и Coveware, чтобы обеспечить комплексный мониторинг и аналитику безопасности. Данные собираются через Функции Azure и хранятся в пользовательских таблицах Log Analytics с выделенными правилами сбора данных (DCR) и конечными точками сбора данных (DCE).
Пользовательские таблицы включены:
- VeeamMalwareEvents_CL: события обнаружения вредоносных программ из репликации Veeam Backup &
- VeeamSecurityComplianceAnalyzer_CL. Результаты анализатора соответствия требованиям безопасности &, собранные из компонентов инфраструктуры резервного копирования Veeam
- VeeamAuthorizationEvents_CL: события авторизации и проверки подлинности
- VeeamOneTriggeredAlarms_CL: срабатывание оповещений с серверов Veeam ONE
- VeeamCovewareFindings_CL: результаты анализа безопасности из решения Coveware
- VeeamSessions_CL: сеансы Veeam
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
VeeamMalwareEvents_CL |
Да | Да |
VeeamSecurityComplianceAnalyzer_CL |
Да | Да |
VeeamOneTriggeredAlarms_CL |
Да | Да |
VeeamAuthorizationEvents_CL |
Да | Да |
VeeamCovewareFindings_CL |
Да | Да |
VeeamSessions_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Доступ к инфраструктуре Veeam. Требуется доступ к REST API репликации & резервного копирования Veeam и платформе мониторинга Veeam ONE. Сюда входят правильные учетные данные проверки подлинности и сетевое подключение.
VersasecCms
Поддерживается:Versasec Support
Соединитель данных VersasecCms позволяет принимать журналы в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
VersasecCmsSysLogs_CL |
Нет | Нет |
VersasecCmsErrorLogs_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
VirtualMetric DataStream для Microsoft Sentinel
Поддерживается:VirtualMetric
Соединитель VirtualMetric DataStream развертывает правила сбора данных для приема данных телеметрии безопасности в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Регистрация приложения или управляемое удостоверение Azure. VirtualMetric DataStream требует идентификатора Entra для проверки подлинности и отправки журналов в Microsoft Sentinel. Вы можете создать регистрацию приложения с идентификатором клиента и секретом клиента или использовать управляемое удостоверение Azure для повышения безопасности без управления учетными данными.
-
Назначение роли группы ресурсов. Выбранное удостоверение (регистрация приложения или управляемое удостоверение) должно быть назначено группе ресурсов, содержащей конечную точку сбора данных со следующими ролями: издатель метрик мониторинга (для приема журнала) и средство чтения мониторинга (для чтения конфигурации потока).
VirtualMetric DataStream для озера данных Microsoft Sentinel
Поддерживается:VirtualMetric
Соединитель VirtualMetric DataStream развертывает правила сбора данных для приема телеметрии безопасности в Microsoft Sentinel озера данных.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Регистрация приложения или управляемое удостоверение Azure. VirtualMetric DataStream требует идентификатора Entra для проверки подлинности и отправки журналов в озеро данных Microsoft Sentinel. Вы можете создать регистрацию приложения с идентификатором клиента и секретом клиента или использовать управляемое удостоверение Azure для повышения безопасности без управления учетными данными.
-
Назначение роли группы ресурсов. Выбранное удостоверение (регистрация приложения или управляемое удостоверение) должно быть назначено группе ресурсов, содержащей конечную точку сбора данных со следующими ролями: издатель метрик мониторинга (для приема журнала) и средство чтения мониторинга (для чтения конфигурации потока).
Прокси-сервер директора виртуальной метрики
Поддерживается:VirtualMetric
VirtualMetric Director Proxy развертывает приложение-функцию Azure для безопасного соединения VirtualMetric DataStream с Azure службами, включая Microsoft Sentinel, Azure Data Explorer и хранилище Azure.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- приложение-функция Azure. Для размещения прокси-сервера директора необходимо развернуть приложение-функцию Azure. Для создания приложения-функции и управления ими требуются разрешения на чтение, запись и удаление ресурсов Microsoft.Web/sites в группе ресурсов.
- Конфигурация VirtualMetric DataStream. Для подключения к прокси-серверу директора необходимо настроить VirtualMetric DataStream с учетными данными проверки подлинности. Прокси-сервер директора выступает в качестве безопасного моста между VirtualMetric DataStream и службами Azure.
-
Целевые службы Azure. Настройте целевые службы Azure, например конечные точки сбора данных Microsoft Sentinel, кластеры Azure Data Explorer или учетные записи хранения Azure, в которых прокси-сервер директора будет пересылать данные.
VMRayThreatIntelligence (с помощью Функции Azure)
Поддерживается:VMRay
Соединитель VMRayThreatIntelligence автоматически создает и передает аналитику угроз для всех отправлений в VMRay, улучшая обнаружение угроз и реагирование на инциденты в Sentinel. Такая простая интеграция позволяет командам упреждающе устранять возникающие угрозы.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ThreatIntelligenceIndicator |
Да | Нет |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Azure подписка: Azure подписка с ролью владельца необходима для регистрации приложения в Azure Active Directory() и назначения роли участник приложению в группе ресурсов.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: требуется ключ API VMRay .
VMware Carbon Black Cloud (с использованием Функции Azure)
Поддерживается:Майкрософт
Соединитель VMware Carbon Black Cloud предоставляет возможность приема данных о черном углероде в Microsoft Sentinel. Соединитель обеспечивает видимость журналов аудита, уведомлений и событий в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CarbonBlackEvents_CL |
Нет | Нет |
CarbonBlackNotifications_CL |
Нет | Нет |
CarbonBlackAuditLogs_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Ключи API для VMware Carbon Black: требуются API углерода и (или) API уровня SIEM. Дополнительные сведения об API углеродного черного цвета см. в документации.
- Для журналов аудита и событий требуется идентификатор API уровня доступа и ключ API Carbon Black.
- Для оповещений об уведомлениях требуется идентификатор API уровня доступа SIEM carbon Black и ключ.
-
Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступа AWS, имя контейнера AWS S3, имя папки в контейнере AWS S3 требуются для REST API Amazon S3.
VMware Carbon Black Cloud через AWS S3 (с помощью платформы соединителей без кода)
Поддерживается:Майкрософт
Соединитель данных VMware Carbon Black Cloud через AWS S3 предоставляет возможность приема событий списка отслеживания, оповещений, проверки подлинности и конечных точек через AWS S3 и потоковой передачи их в нормализованные таблицы ASIM. Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CarbonBlack_Alerts_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Среда. Необходимо определить и настроить следующие ресурсы AWS: S3, Simple Queue Service (SQS), роли IAM и политики разрешений.
-
Среда. Для создания контейнеров Данных, пересылаемых в AWS S3, необходимо иметь учетную запись сажи и необходимые разрешения.
Дополнительные сведения см. в документации по серверу пересылки данных carbon black.
События Windows DNS через AMA
Поддерживается корпорациейМайкрософт
Соединитель журналов Windows DNS позволяет легко фильтровать и передавать все журналы аналитики с DNS-серверов Windows в рабочую область Microsoft Sentinel с помощью агента мониторинга Azure (AMA). Наличие этих данных в Microsoft Sentinel помогает выявить проблемы и угрозы безопасности, такие как:
- Попытка устранения вредоносных доменных имен.
- Устаревшие записи ресурсов.
- Часто запрашиваются доменные имена и разговорчивые DNS-клиенты.
- Атаки, выполняемые на DNS-сервере.
Вы можете получить следующие аналитические сведения о DNS-серверах Windows из Microsoft Sentinel:
- Все журналы централизованы в одном месте.
- Загрузка запросов на DNS-серверы.
- Сбои динамической регистрации DNS.
События Windows DNS поддерживаются расширенной информационной моделью SIEM (ASIM) и передают данные в таблицу ASimDnsActivityLogs. Подробнее.
Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ASimDnsActivityLogs |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Брандмауэр Windows
Поддерживается корпорациейМайкрософт
Брандмауэр Windows — это приложение Microsoft Windows, которое фильтрует сведения, поступающие в систему из Интернета и блокирующие потенциально опасные программы. Программное обеспечение блокирует обмен данными между большинством программ через брандмауэр. Пользователи просто добавляют программу в список разрешенных программ, чтобы разрешить ей взаимодействовать через брандмауэр. При использовании общедоступной сети брандмауэр Windows также может защитить систему, блокируя все нежелательные попытки подключения к компьютеру. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правил сбора данных: В настоящее время не поддерживается
События брандмауэра Windows через AMA
Поддерживается корпорациейМайкрософт
Брандмауэр Windows — это приложение Microsoft Windows, которое фильтрует сведения, поступающие в систему из Интернета и блокирующие потенциально опасные программы. Программное обеспечение брандмауэра блокирует обмен данными между большинством программ через брандмауэр. Для потоковой передачи журналов приложений брандмауэра Windows, собранных с компьютеров, используйте агент Azure монитора (AMA) для потоковой передачи этих журналов в рабочую область Microsoft Sentinel.
Настроенную конечную точку сбора данных (DCE) необходимо связать с правилом сбора данных (DCR), созданным для AMA для сбора журналов. Для этого соединителя DCE автоматически создается в том же регионе, что и рабочая область. Если вы уже используете DCE, хранящийся в том же регионе, можно изменить созданный по умолчанию DCE и использовать существующий с помощью API. DcEs могут находиться в ресурсах с префиксом SentinelDCE в имени ресурса.
Дополнительные сведения см. в следующих статьях:
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|
Поддержка правил сбора данных: В настоящее время не поддерживается
Переадресованные события Windows
Поддерживается корпорациейМайкрософт
Вы можете выполнять потоковую передачу всех журналов переадресации событий Windows (WEF) с серверов Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента мониторинга Azure (AMA). Это подключение позволяет просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Это дает вам больше сведений о сети вашей организации и улучшает возможности операций безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
WindowsEvent |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Безопасность Windows события через AMA
Поддерживается корпорациейМайкрософт
С помощью агента Windows можно выполнять потоковую передачу всех событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Это дает вам больше сведений о сети вашей организации и улучшает возможности операций безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityEvent |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
API WithSecure Elements (функция Azure)
Поддерживается:WithSecure
WithSecure Elements — это единая облачная платформа кибербезопасности, предназначенная для снижения риска, сложности и неэффективности.
Повышение безопасности от конечных точек до облачных приложений. Вооружитесь всеми типами киберугрыш, от целевых атак до программ-шантажистов нулевого дня.
WithSecure Elements объединяет в себе мощные прогнозные, профилактические и адаптивные возможности безопасности, которые управляются и отслеживаются с помощью единого центра безопасности. Наша модульная структура и гибкие модели ценообразования дают вам свободу для развития. С нашим опытом и пониманием, вы всегда будете иметь возможности - и вы никогда не будете одиноки.
Интеграция Microsoft Sentinel позволяет сопоставлять данные о событиях безопасности из решения WithSecure Elements с данными из других источников, обеспечивая широкий обзор всей среды и ускоряя реакцию на угрозы.
В этом решении функция Azure развертывается в клиенте, периодически опрашивая события безопасности WithSecure Elements.
Дополнительные сведения см. на нашем веб-сайте по адресу : https://www.withsecure.com.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
WsSecurityEvents_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные клиента API ЭлементовSecure: необходимы учетные данные клиента.
Дополнительные сведения см. в документации.
Wiz (с помощью Функции Azure)
Поддерживается:Wiz
Соединитель Wiz позволяет легко отправлять проблемы Wiz, результаты уязвимостей и журналы аудита в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) |
Нет | Нет |
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) |
Нет | Нет |
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные учетной записи службы Wiz. Убедитесь, что у вас есть идентификатор клиента и секрет клиента учетной записи Wiz, URL-адрес конечной точки API и URL-адрес проверки подлинности. Инструкции см. в документации по Wiz.
Активность пользователя Workday
Поддерживается корпорациейМайкрософт
Соединитель данных активности пользователя Workday предоставляет возможность приема журналов действий пользователей из API Workday в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ASimAuditEventLogs |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Доступ к API активности пользователя Workday. Требуется доступ к API активности пользователя Workday через Oauth. Клиент API должен иметь область: System, и он должен быть авторизован учетной записью с разрешениями аудита системы.
Рабочее место из Facebook (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных Workplace предоставляет возможность приема распространенных событий Workplace в Microsoft Sentinel через веб-перехватчики. Веб-перехватчики позволяют пользовательским приложениям интеграции подписываться на события в Workplace и получать обновления в режиме реального времени. При изменении в Workplace запрос HTTPS POST с сведениями о событии отправляется на URL-адрес соединителя данных обратного вызова. Дополнительные сведения см. в документации по веб-перехватчикам . Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Workplace_Facebook_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения веб-перехватчиков: для рабочих веб-перехватчиков требуются WorkplaceAppSecret, WorkplaceVerifyToken, URL-адрес обратного вызова. Дополнительные сведения о настройке веб-перехватчиков и разрешениях см. в документации.
Платформа безопасности XBOW (через функцию Azure)
Поддерживается:XBOW
Соединитель данных XBOW выполняет прием моментальных снимков ресурсов, обнаружения уязвимостей и действий оценки из платформы безопасности XBOW в Microsoft Sentinel. Функция Azure опрашивает API XBOW по таймеру и отправляет моментальные снимки JSON ресурсов в XbowAssets_CL, обогащенные результаты (с доказательствами, рецептами poC, воздействием и устранением рисков) в XbowFindings_CL, а события жизненного цикла оценки — в XbowAssessments_CL, используя API Azure monitor ingestion (DCE/DCR).
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
XbowAssets_CL |
Нет | Нет |
XbowFindings_CL |
Нет | Нет |
XbowAssessments_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Токен API XBOW. Требуется личный маркер доступа XBOW. Создайте его в консоли XBOW в разделе Параметры > Личные маркеры доступа. Окажите маркер организации, которую вы хотите отслеживать.
- Идентификатор организации XBOW. Идентификатор организации из учетной записи XBOW. Найдите его по URL-адресу консоли XBOW или через API.
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
- Пользовательские предварительные требования при необходимости, в противном случае удалите этот тег таможни: Описание всех настраиваемых предварительных требований
-
Azure AD регистрация приложений: требуется Azure AD регистрация приложений (субъект-служба). После развертывания необходимо вручную назначить этому приложению роль издателя метрик мониторинга в правиле сбора данных (DCR).
Zero Networks Segment (Push)
Поддерживается:Zero Networks
Соединитель push-уведомлений сегмента Zero Networks позволяет zero Networks отправлять аудиты, сетевые действия, действия удостоверений и действия RPC непосредственно в Microsoft Sentinel в режиме реального времени. Разверните соединитель, чтобы создать правило сбора данных (DCR) и Microsoft Entra приложение, а затем настройте приложение Zero Networks со сведениями о подключении для отправки событий.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZNAudit_CL |
Да | Да |
ZNNetworkActivity_CL |
Да | Да |
ZNIdentityActivity_CL |
Да | Да |
ZNRPCActivity_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Microsoft Entra: разрешение на создание регистрации приложения в Microsoft Entra ID. Обычно требуется Entra идентификатор роли разработчика приложения или выше.
-
Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга для правила сбора данных (DCR). Обычно требуется Azure роль владельца RBAC или администратора доступа пользователей.
Аудит сегментов нулевых сетей
Поддерживается:Zero Networks
Соединитель данных аудита сегментов нулевых сетей позволяет принимать события аудита нулевых сетей в Microsoft Sentinel с помощью REST API. Этот соединитель данных использует Microsoft Sentinel возможность собственного опроса.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZNSegmentAuditNativePoller_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
Маркер API Zero Networks. Для REST API требуется ZeroNetworksAPIToken . Ознакомьтесь с руководством по API и следуйте инструкциям по получению учетных данных.
ZeroFox CTI
Поддерживается:ZeroFox
Соединители данных ZeroFox CTI предоставляют возможность приема различных оповещений об угрозах zeroFox в Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZeroFox_CTI_advanced_dark_web_CL |
Нет | Нет |
ZeroFox_CTI_botnet_CL |
Нет | Нет |
ZeroFox_CTI_breaches_CL |
Нет | Нет |
ZeroFox_CTI_C2_CL |
Нет | Нет |
ZeroFox_CTI_compromised_credentials_CL |
Нет | Нет |
ZeroFox_CTI_credit_cards_CL |
Нет | Нет |
ZeroFox_CTI_dark_web_CL |
Нет | Нет |
ZeroFox_CTI_discord_CL |
Нет | Нет |
ZeroFox_CTI_disruption_CL |
Нет | Нет |
ZeroFox_CTI_email_addresses_CL |
Нет | Нет |
ZeroFox_CTI_exploits_CL |
Нет | Нет |
ZeroFox_CTI_irc_CL |
Нет | Нет |
ZeroFox_CTI_malware_CL |
Нет | Нет |
ZeroFox_CTI_national_ids_CL |
Нет | Нет |
ZeroFox_CTI_phishing_CL |
Нет | Нет |
ZeroFox_CTI_phone_numbers_CL |
Нет | Нет |
ZeroFox_CTI_ransomware_CL |
Нет | Нет |
ZeroFox_CTI_telegram_CL |
Нет | Нет |
ZeroFox_CTI_threat_actors_CL |
Нет | Нет |
ZeroFox_CTI_vulnerabilities_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения API ZeroFox: имя пользователя ZeroFox, личный маркер доступа ZeroFox требуются для REST API ZeroFox CTI.
ZeroFox Enterprise — оповещения (опрос CCF)
Поддерживается:ZeroFox
Собирает оповещения из API ZeroFox.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZeroFoxAlertPoller_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
-
ZeroFox Personal Access Token (PAT): требуется Pat ZeroFox. Его можно получить в веб-каналах данных API соединителей> данных.
Zimperium Mobile Threat Defense
Поддерживается:Zimperium
Соединитель Zimperium Mobile Threat Defense позволяет подключать журнал угроз Zimperium к Microsoft Sentinel для просмотра панелей мониторинга, создания пользовательских оповещений и улучшения исследования. Это дает вам больше сведений о ландшафте мобильных угроз вашей организации и расширяет возможности операций по обеспечению безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZimperiumThreatLog_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Масштаб отчетов (с помощью Функции Azure)
Поддерживается корпорациейМайкрософт
Соединитель данных "Отчеты о масштабировании" предоставляет возможность принимать события отчетов о масштабах в Microsoft Sentinel с помощью REST API. Дополнительные сведения см. в документации по API . Соединитель позволяет извлекать события для оценки потенциальных рисков безопасности, мониторинга совместной работы, а также диагностики и устранения неполадок с конфигурацией.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Zoom_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения REST API: для API масштабирования требуются AccountID, ClientID и ClientSecret . Дополнительные сведения см. в разделе API масштабирования.
Следуйте инструкциям для конфигураций API масштабирования.
Масштаб соединителя отчетов (с помощью платформы соединителей без кода)
Поддерживается корпорациейМайкрософт
Соединитель данных "Отчеты о масштабировании" позволяет принимать данные отчетов о масштабах в Microsoft Sentinel с помощью REST API масштабирования версии 2, что позволяет отслеживать и проверять использование масштаба в организации. Этот соединитель использует учетные данные учетной записи OAuth между серверами для проверки подлинности и поддерживает прием отчетов нескольких типов, включая отчеты о ежедневном использовании для статистики собраний и метрик использования, Отчеты пользователей для сведений об активном или неактивном узле пользователя, Отчеты телефонии для статистики использования телефонии, Отчеты об использовании облачной записи для использования облачного хранилища и записи, журналы операций для административных операций и журнал аудита. и журналы действий для действий входа и выхода пользователей. Каждый тип отчета собирается в отдельной конфигурации опроса с поддержкой автоматического разбиения на страницы с помощью NextPageToken. Соединитель данных основан на Microsoft Sentinel codeless Connector Framework и поддерживает преобразования времени приема на основе DCR для оптимизации производительности запросов.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
ZoomV2_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Доступ к API масштабирования: доступ к REST API zoom версии 2 с учетными данными учетной записи
Нерекомендуемые соединители данных Sentinel
Примечание.
В следующей таблице перечислены устаревшие и устаревшие соединители данных. Устаревшие соединители больше не поддерживаются.
[Не рекомендуется] Журнал аудита GitHub Enterprise
Поддерживается корпорациейМайкрософт
Соединитель журнала аудита GitHub предоставляет возможность приема журналов GitHub в Microsoft Sentinel. Подключив журналы аудита GitHub к Microsoft Sentinel, вы можете просматривать эти данные в книгах, использовать их для создания пользовательских оповещений и улучшения процесса исследования.
Примечание: Если вы планируете принимать события, подписанные на GitHub, в Microsoft Sentinel, обратитесь к соединителю GitHub (с помощью веб-перехватчиков) из коллекции "Соединители данных".
ПРИМЕЧАНИЕ. Этот соединитель данных устарел. Рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через нерекомендуемый API сборщика данных HTTP.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
GitHubAuditLogPolling_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
- Личный маркер доступа API GitHub. Для включения опроса журнала аудита организации требуется личный маркер доступа GitHub. Вы можете использовать либо классический маркер с область read:org, либо детализированный маркер с область "Администрирование: только для чтения".
-
Тип GitHub Enterprise: этот соединитель будет работать только с GitHub Enterprise Cloud; он не будет поддерживать GitHub Enterprise Server.
[Не рекомендуется] Infoblox SOC Insight Data Connector через устаревший агент
Поддерживается:Infoblox
Соединитель infoblox SOC Insight Data Connector позволяет легко подключить данные INFOblox BloxOne SOC Insight к Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска & корреляции, оповещения и обогащения аналитики угроз для каждого журнала.
Этот соединитель данных отправляет журналы CDC Infoblox SOC Insight в рабочую область Log Analytics с помощью устаревшего агента Log Analytics.
Корпорация Майкрософт рекомендует установить Infoblox SOC Insight Data Connector через соединитель AMA. Устаревший соединитель использует агент Log Analytics, который будет нерекомендуемым до 31 августа 2024 г . и должен быть установлен только в том случае, если AMA не поддерживается.
Использование MMA и AMA на одном компьютере может привести к дублированию журнала и дополнительным затратам на прием. Дополнительные сведения.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CommonSecurityLog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
[Не рекомендуется] Журналы безопасности IONIX (push)
Поддерживается:IONIX
⚠️ Этот соединитель устарел и будет удален в июне 2026 г. Вместо этого используйте новый соединитель "Журналы безопасности IONIX (через платформу соединителя без кода)", который обеспечивает автоматическое ежедневное опросы без необходимости настройки вручную на портале IONIX.
Соединитель данных журналов безопасности IONIX отправляет журналы из системы IONIX непосредственно в Sentinel. Соединитель позволяет пользователям визуализировать свои данные, создавать оповещения и инциденты, а также улучшать исследования безопасности.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
CyberpionActionItems_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
-
Подписка IONIX: для журналов IONIX требуется подписка и учетная запись.
Его можно приобрести здесь.
[Не рекомендуется] Смотровой
Поддерживается:Lookout
Соединитель данных Lookout предоставляет возможность приема событий Lookout в Microsoft Sentinel через API мобильных рисков. Дополнительные сведения см. в документации по API . Соединитель данных Lookout предоставляет возможность получать события, которые помогают изучить потенциальные риски безопасности и многое другое.
ПРИМЕЧАНИЕ. Этот соединитель данных устарел. Рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через нерекомендуемый API сборщика данных HTTP.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Lookout_CL |
Нет | Нет |
Поддержка правил сбора данных: В настоящее время не поддерживается
Необходимые условия:
- Разрешения Microsoft.Web/sites: требуются разрешения на чтение и запись для Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе Функции Azure.
-
Учетные данные и разрешения API мобильных рисков. Для API рисков для мобильных устройств требуется EnterpriseName & ApiKey . Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.
[Не рекомендуется] Журналы и события Microsoft Exchange
Поддерживается:Community
Не рекомендуется использовать соединители данных ESI-Opt. С помощью агента Windows можно выполнять потоковую передачу всех событий аудита Exchange, журналов IIS, журналов прокси-сервера HTTP и журналов событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Он используется в книгах безопасности Microsoft Exchange для предоставления аналитических сведений о безопасности локальной среды Exchange.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Event |
Да | Нет |
SecurityEvent |
Да | Да |
W3CIISLog |
Да | Нет |
MessageTrackingLog_CL |
Да | Да |
ExchangeHttpProxy_CL |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Необходимые условия:
События безопасности с помощью устаревшего агента
Поддерживается корпорациейМайкрософт
С помощью агента Windows можно выполнять потоковую передачу всех событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать настраиваемые оповещения и улучшать исследование. Это дает вам больше сведений о сети вашей организации и улучшает возможности операций безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityEvent |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Microsoft Defender на основе подписки для облака (устаревшая версия)
Поддерживается корпорациейМайкрософт
Microsoft Defender для облака — это средство управления безопасностью, которое позволяет обнаруживать угрозы и быстро реагировать на них в Azure, гибридных и многооблачных рабочих нагрузках. Этот соединитель позволяет выполнять потоковую передачу оповещений системы безопасности из Microsoft Defender для облака в Microsoft Sentinel, чтобы вы могли просматривать данные Defender в книгах, запрашивать их для создания оповещений, а также исследовать инциденты и реагировать на них.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
SecurityAlert |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Системный журнал через устаревший агент
Поддерживается корпорациейМайкрософт
Системный журнал — это протокол ведения журнала событий, который является общим для Linux. Приложения будут отправлять сообщения, которые могут храниться на локальном компьютере или доставляться сборщику системного журнала. При установке агента для Linux настраивается локальная управляющая программа Syslog для пересылки сообщений агенту. Затем агент отправляет сообщение в рабочую область.
Таблицы Log Analytics:
| Таблица | Поддержка DCR | Прием только озера |
|---|---|---|
Syslog |
Да | Да |
Поддержка правил сбора данных:DCR преобразования рабочей области
Дальнейшие действия
Дополнительные сведения см. в указанных ниже статьях.