Найдите нужный соединитель данных Microsoft Sentinel

Статья
10/03/2024
Применяется к:

Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

В этой статье перечислены все поддерживаемые встроенные соединители данных и ссылки на шаги развертывания каждого соединителя.

Внимание

Отмеченные соединители данных Microsoft Sentinel сейчас доступны в виде предварительной версии. Предварительная версия дополнительных условий использования Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или еще не общедоступны по другим причинам.
Для соединителей, использующих агент Log Analytics, агент будет прекращен 31 августа 2024 года. Если вы используете агент Log Analytics в развертывании Microsoft Sentinel, рекомендуется перенести агент Azure Monitor (AMA). Дополнительные сведения см. в статье Переход на AMA для Microsoft Sentinel.
Microsoft Sentinel теперь общедоступен на платформе унифицированных операций безопасности Майкрософт на портале Microsoft Defender. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Соединители данных доступны в рамках следующих предложений:

Решения. Многие соединители данных развертываются как часть решения Microsoft Sentinel вместе со связанным содержимым, такими как правила аналитики, книги и сборники схем. Дополнительные сведения см. в статье Каталог решений Microsoft Sentinel.
Соединители сообщества: дополнительные соединители данных предоставляются сообществом Microsoft Sentinel и находятся в Azure Marketplace. Ответственность за документацию по соединителям данных, разработанным сообществом, несет организацию, которая создала соединитель.
Пользовательские соединители: если у вас есть источник данных, который не указан или поддерживается в данный момент, можно также создать собственный настраиваемый соединитель. Дополнительные сведения см. в статье Ресурсы для создания пользовательских соединителей Microsoft Sentinel.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Предварительные требования для соединителя данных

Каждый соединитель данных имеет собственный набор необходимых компонентов. Предварительные требования могут включать в себя наличие определенных разрешений в рабочей области Azure, подписке или политике. Кроме того, необходимо выполнить другие требования к источнику данных партнера, к которому вы подключаетесь.

Предварительные требования для каждого соединителя данных перечислены на соответствующей странице соединителя данных в Microsoft Sentinel.

Соединители системного журнала и общего формата событий (CEF)

Сбор журналов из многих устройств безопасности и устройств поддерживается соединителями данных Syslog через AMA или Common Event Format (CEF) через AMA в Microsoft Sentinel. Чтобы перенаправить данные в рабочую область Log Analytics для Microsoft Sentinel, выполните действия, описанные в разделе "Прием сообщений системного журнала и CEF" в Microsoft Sentinel с помощью агента Azure Monitor. Эти действия включают установку решения Microsoft Sentinel для устройства безопасности или устройства из центра содержимого в Microsoft Sentinel. Затем настройте системный журнал через AMA или общий формат событий (CEF) с помощью соединителя данных AMA , подходящего для установленного решения Microsoft Sentinel. Выполните настройку, настроив устройство безопасности или устройство. Инструкции по настройке устройства безопасности или устройства см. в одной из следующих статей:

Обратитесь к поставщику решений, чтобы получить дополнительные сведения или где информация недоступна для устройства или устройства.

Пользовательские журналы через соединитель AMA

Фильтрация и прием журналов в текстовом формате из сетевых или приложений безопасности, установленных на компьютерах Windows или Linux, с помощью пользовательских журналов через соединитель AMA в Microsoft Sentinel. Дополнительные сведения см. в следующих статьях:

Соединители платформы соединителей без кода

Следующие соединители используют текущую платформу соединителя без кода, но не создают определенную страницу документации. Они доступны из центра содержимого в Microsoft Sentinel в рамках решения. Инструкции по настройке этих соединителей данных см. в инструкциях, доступных для каждого соединителя данных в Microsoft Sentinel.

Имя соединителя без кода	Решение Azure Marketplace
Atlassian Jira Audit (с помощью REST API) (предварительная версия)	Atlassian Jira Audit
Cisco Meraki (с помощью REST API)	События Cisco Meraki через REST API
События безопасности браузера Ermes	Безопасность браузера Ermes для Microsoft Sentinel
Okta Single Sign-On (предварительная версия)	Решение единого входа Okta
Sophos Endpoint Protection (с помощью REST API) (предварительная версия)	Решение Sophos Endpoint Protection
Действие пользователя Workday (предварительная версия)	Workday (предварительная версия)