соединитель учетной записи служба хранилища Azure для Microsoft Sentinel
Учетная запись хранения Azure — это облачное решение, позволяющее реализовать современные сценарии хранения данных. Учетная запись хранения содержит все объекты данных: BLOB-объекты, файлы, очереди, таблицы и диски. Этот соединитель позволяет передавать служба хранилища Azure учетные записи диагностика журналы в рабочую область Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах и обнаруживать вредоносные действия в организации. Дополнительные сведения см. в документации по Microsoft Sentinel.
Это автоматически сформированное содержимое. Для изменений обратитесь к поставщику решений.
атрибуты Подключение or
| Атрибут соединителя | Description |
|---|---|
| Таблицы Log Analytics | AzureMetrics (служба хранилища Azure) StorageBlobLogs StorageQueueLogs StorageTableLogs StorageFileLogs |
| Поддержка правил сбора данных | В настоящий момент не поддерживается |
| Поддерживается | Корпорация Майкрософт |
Примеры запросов
Все журналы
StorageBlobLogs
| where TimeGenerated > ago(3d)
| project TimeGenerated, OperationName, StatusCode, StatusText, _ResourceId
| sort by TimeGenerated
Необходимые компоненты
Чтобы интегрироваться с учетной записью служба хранилища Azure, убедитесь, что у вас есть:
- Политика: роль владельца, назначенная для каждого назначения политики область
Инструкции по установке поставщика
Подключение учетные записи служба хранилища Azure диагностика в Sentinel.
Этот соединитель использует набор политик Azure для применения конфигурации потоковой передачи журналов к коллекции экземпляров, определенных как область. Следуйте приведенным ниже инструкциям, чтобы создать и применить политики ко всем текущим и будущим экземплярам. Чтобы получить большую часть журнала диагностики служба хранилища учетной записи из учетной записи служба хранилища Azure, рекомендуется включить ведение журнала диагностики из всех служб в учетной записи служба хранилища Azure — BLOB-объект, очередь, таблица и файл. Обратите внимание, что у вас уже может быть активная политика для этого типа ресурса.
Следующие шаги
Дополнительные сведения см. в связанном решении в Azure Marketplace.