Найдите нужный соединитель данных Microsoft Sentinel

2025-07-14
Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

В этой статье перечислены все поддерживаемые встроенные соединители данных и ссылки на шаги развертывания каждого соединителя.

Important

Noted Microsoft Sentinel data connectors are currently in Preview. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5. Starting in July 2026, Microsoft Sentinel will be supported in the Defender portal only, and any remaining customers using the Azure portal will be automatically redirected. Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel (блог).

Соединители данных доступны в рамках следующих предложений:

Решения. Многие соединители данных развертываются как часть решения Microsoft Sentinel вместе со связанным содержимым, такими как правила аналитики, книги и сборники схем. Дополнительные сведения см. в каталоге решений Microsoft Sentinel.
Community connectors: More data connectors are provided by the Microsoft Sentinel community and can be found in the Azure Marketplace. Ответственность за документацию по соединителям данных, разработанным сообществом, несет организацию, которая создала соединитель.
Пользовательские соединители: если у вас есть источник данных, который не указан или поддерживается в данный момент, можно также создать собственный настраиваемый соединитель. Дополнительные сведения см. в статье "Ресурсы" для создания пользовательских соединителей Microsoft Sentinel.

Note

Сведения о доступности компонентов в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в облачной доступности для клиентов для государственных организаций США.

Предварительные требования для соединителя данных

Каждый соединитель данных имеет собственный набор необходимых компонентов. Предварительные требования могут включать в себя наличие определенных разрешений в рабочей области Azure, подписке или политике. Кроме того, необходимо выполнить другие требования к источнику данных партнера, к которому вы подключаетесь.

Предварительные требования для каждого соединителя данных перечислены на соответствующей странице соединителя данных в Microsoft Sentinel.

Соединители данных на основе агента Azure Monitor (AMA) требуют подключения к Интернету из системы, в которой установлен агент. Включите исходящий порт 443, чтобы разрешить подключение между системой, в которой установлен агент, и Microsoft Sentinel.

Соединители системного журнала и общего формата событий (CEF)

Сбор журналов из многих устройств безопасности и устройств поддерживается соединителями данных Syslog через AMA или Common Event Format (CEF) через AMA в Microsoft Sentinel. Чтобы перенаправить данные в рабочую область Log Analytics для Microsoft Sentinel, выполните действия, описанные в разделе "Прием сообщений системного журнала и CEF" в Microsoft Sentinel с помощью агента Azure Monitor. These steps include installing the Microsoft Sentinel solution for a security appliance or device from the Content hub in Microsoft Sentinel. Затем настройте системный журнал через AMA или общий формат событий (CEF) с помощью соединителя данных AMA, подходящего для установленного решения Microsoft Sentinel. Выполните настройку, настроив устройство безопасности или устройство. Инструкции по настройке устройства безопасности или устройства см. в одной из следующих статей:

Обратитесь к поставщику решений, чтобы получить дополнительные сведения или где информация недоступна для устройства или устройства.

Пользовательские журналы через соединитель AMA

Фильтрация и прием журналов в текстовом формате из сетевых или приложений безопасности, установленных на компьютерах Windows или Linux, с помощью пользовательских журналов через соединитель AMA в Microsoft Sentinel. Дополнительные сведения см. в следующих статьях:

Соединители данных Sentinel

Note

В следующей таблице перечислены соединители данных, доступные в Центре содержимого Microsoft Sentinel. Соединители поддерживаются поставщиком продукта. For support, see the link in the Supported by column in the following table.

Connector	Supported by
1Password (Serverless) Соединитель CCF 1Password позволяет пользователю принять события 1Password Audit, Signin и ItemUsage в Microsoft Sentinel. Таблицы Log Analytics: - `OnePasswordEventLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Маркер API 1Password: требуется маркер API 1Password. See the 1Password documentation on how to create an API token.	1Password
1Password (использование Функций Azure) The 1Password solution for Microsoft Sentinel enables you to ingest sign-in attempts, item usage, and audit events from your 1Password Business account using the 1Password Events Reporting API. Это позволяет отслеживать и исследовать события в 1Password в Microsoft Sentinel вместе с другими приложениями и службами, которые использует ваша организация. Используемые базовые технологии Майкрософт: This solution depends on the following technologies, and some of which may be in Preview state or may incur additional ingestion or operational costs: - Azure Functions Таблицы Log Analytics: - `OnePasswordEventLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Маркер API событий 1Password: требуется маркер API событий 1Password. Дополнительные сведения см. в API 1Password. Note: A 1Password Business account is required	1Password
AbnormalSecurity (с помощью функции Azure) Соединитель данных "Abnormal Security" предоставляет возможность приема журналов угроз и случаев в Microsoft Sentinel с помощью РЕСТ API "Abnormal Security". Таблицы Log Analytics: - `ABNORMAL_THREAT_MESSAGES_CL` - `ABNORMAL_CASES_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Ненормальный маркер API безопасности: требуется ненормальный маркер API безопасности. Дополнительные сведения см. в разделе API аномальной безопасности. Note: An Abnormal Security account is required	Abnormal Security
AIShield AIShield connector allows users to connect with AIShield custom defense mechanism logs with Microsoft Sentinel, allowing the creation of dynamic Dashboards, Workbooks, Notebooks and tailored Alerts to improve investigation and thwart attacks on AI systems. Он дает пользователям больше сведений о безопасности активов ИИ своей организации и улучшает возможности операций безопасности систем ИИ. AIShield.GuArdIan анализирует созданное llM содержимое для выявления и устранения вредного содержимого, защиты от юридических, политик, ролей и нарушений на основе использования Таблицы Log Analytics: - `AIShield_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Note: Users should have utilized AIShield SaaS offering to conduct vulnerability analysis and deployed custom defense mechanisms generated along with their AI asset. Click here to know more or get in touch.	AIShield
AliCloud (использование функций Azure) The AliCloud data connector provides the capability to retrieve logs from cloud applications using the Cloud API and store events into Microsoft Sentinel through the REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `AliCloud_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: AliCloudAccessKeyId и AliCloudAccessKey требуются для вызова API.	Microsoft Corporation
Amazon Web Services Инструкции по подключению к AWS и потоковой передаче журналов CloudTrail в Microsoft Sentinel отображаются во время установки. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AWSCloudTrail` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Amazon Web Services NetworkFirewall (через платформу соединителей без кода) (предварительная версия) Этот соединитель данных позволяет выполнять прием журналов сетевого брандмауэра AWS в Microsoft Sentinel для расширенного обнаружения угроз и мониторинга безопасности. Используя Amazon S3 и Amazon SQS, соединитель перенаправит журналы сетевого трафика, оповещения обнаружения вторжений и события брандмауэра в Microsoft Sentinel, что позволяет анализировать и корреляцию в режиме реального времени с другими данными безопасности. Таблицы Log Analytics: - `AWSNetworkFirewallFlow` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Amazon Web Services S3 Этот соединитель позволяет собирать журналы служб AWS, собранные в контейнерах AWS S3, в Microsoft Sentinel. Поддерживаемые в настоящее время типы данных: * AWS CloudTrail * Журналы потоков VPC * AWS GuardDuty * AWSCloudWatch Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AWSGuardDuty` - `AWSVPCFlow` - `AWSCloudTrail` - `AWSCloudWatch` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Environment: You must have the following AWS resources defined and configured: S3, Simple Queue Service (SQS), IAM roles and permissions policies, and the AWS services whose logs you want to collect.	Microsoft Corporation
Amazon Web Services S3 WAF Этот соединитель позволяет принять журналы AWS WAF, собранные в контейнерах AWS S3, в Microsoft Sentinel. Журналы AWS WAF — это подробные записи о трафике, который анализирует списки управления веб-доступом (ACL), необходимые для обеспечения безопасности и производительности веб-приложений. Эти журналы содержат такие сведения, как время, когда WAF AWS получил запрос, особенности запроса и действия, принятые правилом, соответствующим запросом. Таблицы Log Analytics: - `AWSWAF` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
ARGOS Cloud Security Интеграция ARGOS Cloud Security для Microsoft Sentinel позволяет использовать все важные события облачной безопасности в одном месте. Это позволяет легко создавать панели мониторинга, оповещения и сопоставлять события в нескольких системах. В целом это улучшит состояние безопасности вашей организации и реагирование на инциденты безопасности. Таблицы Log Analytics: - `ARGOS_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	ARGOS Cloud Security
Действия оповещений Armis (с помощью функций Azure) The Armis Alerts Activities connector gives the capability to ingest Armis Alerts and Activities into Microsoft Sentinel through the Armis REST API. Обратитесь к документации API: `https://<YourArmisInstance>.armis.com/api/v1/docs` для получения дополнительной информации. Соединитель предоставляет возможность получать сведения об оповещениях и действиях из платформы Armis, а также выявлять и определять приоритеты угроз в вашей среде. Armis использует существующую инфраструктуру для обнаружения и идентификации устройств без необходимости развертывать агенты. Таблицы Log Analytics: - `Armis_Alerts_CL` - `Armis_Activities_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: требуется секретный ключ Armis . Дополнительные сведения об API см. в документации `https://<YourArmisInstance>.armis.com/api/v1/doc`	Armis Corporation
Устройства Armis (с помощью функций Azure) The Armis Device connector gives the capability to ingest Armis Devices into Microsoft Sentinel through the Armis REST API. Обратитесь к документации API: `https://<YourArmisInstance>.armis.com/api/v1/docs` для получения дополнительной информации. Соединитель предоставляет возможность получать сведения об устройстве из платформы Armis. Armis использует существующую инфраструктуру для обнаружения и идентификации устройств без необходимости развертывать агенты. Armis также может интегрироваться с существующими средствами управления ИТ и безопасностью для идентификации и классификации каждого устройства, управляемого или неуправляемого в вашей среде. Таблицы Log Analytics: - `Armis_Devices_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: требуется секретный ключ Armis . Дополнительные сведения об API см. в документации `https://<YourArmisInstance>.armis.com/api/v1/doc`	Armis Corporation
Оповещения Atlassian Beacon Atlassian Beacon — это облачный продукт, созданный для интеллектуального обнаружения угроз на платформах Atlassian (Jira, Confluence и Atlassian Admin). Это может помочь пользователям обнаруживать, исследовать и реагировать на рискованные действия пользователей для набора продуктов Atlassian. Это настраиваемый соединитель данных из DEFENSE Ltd. Используется для визуализации оповещений, полученных от Atlassian Beacon в Microsoft Sentinel через приложение логики. Таблицы Log Analytics: - `atlassian_beacon_alerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	DEFEND Ltd.
Аудит Atlassian Confluence (с помощью платформы соединителей без кода) The Atlassian Confluence Audit data connector provides the capability to ingest Confluence Audit Records events into Microsoft Sentinel through the REST API. Refer to API documentation for more information. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `ConfluenceAuditLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Доступ к API Atlassian Confluence: для получения доступа к API журналов аудита Confluence требуется разрешение администрирования Confluence . Дополнительные сведения об API аудита см. в документации по API Confluence .	Microsoft Corporation
Atlassian Jira Audit (с помощью функций Azure) The Atlassian Jira Audit data connector provides the capability to ingest Jira Audit Records events into Microsoft Sentinel through the REST API. Refer to API documentation for more information. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `Jira_Audit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: JiraAccessToken, JiraUsername требуется для REST API. For more information, see API. Проверьте все требования и следуйте инструкциям по получению учетных данных.	Microsoft Corporation
Atlassian Jira Audit (с помощью REST API) The Atlassian Jira Audit data connector provides the capability to ingest Jira Audit Records events into Microsoft Sentinel through the REST API. Refer to API documentation for more information. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `Jira_Audit_v2_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Доступ к API Atlassian Jira: для получения доступа к API журналов аудита Jira требуется разрешение администрирования Jira . Дополнительные сведения об API аудита см. в документации по API Jira .	Microsoft Corporation
Управление доступом Auth0 (с помощью функций Azure) Соединитель данных Auth0 Access Management предоставляет возможность интеграции событий журнала Auth0 в Microsoft Sentinel Таблицы Log Analytics: - `Auth0AM_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: требуется маркер API . For more information, see API token	Microsoft Corporation
Auth0 Logs The Auth0 data connector allows ingesting logs from Auth0 API into Microsoft Sentinel. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework. Он использует API Auth0 для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не должны анализировать их снова, что приводит к повышению производительности. Таблицы Log Analytics: - `Auth0Logs_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Автоматизированная логика WebCTRL Журналы аудита можно передавать из сервера SQL WebCTRL, размещенного на компьютерах Windows, подключенных к Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Это дает аналитические сведения о промышленных системах управления, которые отслеживаются или контролируются приложением WEBCTRL BAS. Таблицы Log Analytics: - `Event` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Azure Activity Журнал действий Azure — это журнал подписок, который предоставляет аналитические сведения о событиях уровня подписки, происходящих в Azure, включая события из операционных данных Azure Resource Manager, события работоспособности службы, операции записи, выполняемые в вашей подписке, и состояние действий, выполняемых в Azure. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureActivity` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Учетная запись пакетной службы Azure пакетная служба Azure Учетная запись — это уникально определяемая сущность в пакетной службе. Для хранения файлов ресурсов и выходных файлов большинство решений Пакетной службы используют службы хранилища Azure, поэтому каждая учетная запись пакетной службы обычно связывается с соответствующей учетной записью хранения. Этот соединитель позволяет выполнять потоковую передачу пакетная служба Azure учетной записи диагностика журналов в Microsoft Sentinel, что позволяет непрерывно отслеживать действия. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Policy: Owner role assigned for each policy assignment scope	Microsoft Corporation
Azure CloudNGFW By Palo Alto Networks Брандмауэр следующего поколения облака от Palo Alto Networks — это служба azure Native ISV — это брандмауэр следующего поколения Palo Alto Networks (NGFW), предоставляемый в качестве облачной службы в Azure. Вы можете обнаружить Cloud NGFW в Azure Marketplace и использовать его в виртуальная сеть Azure (виртуальная сеть). С помощью Cloud NGFW вы можете получить доступ к основным возможностям NGFW, таким как идентификатор приложения, технологии фильтрации URL-адресов. Она обеспечивает защиту от угроз и обнаружение с помощью облачных служб безопасности и подписей защиты от угроз. Соединитель позволяет легко подключать журналы Cloud NGFW к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности. Дополнительные сведения см. в документации по Cloud NGFW для Azure. Таблицы Log Analytics: - `fluentbit_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Palo Alto Networks
Когнитивный поиск Azure Когнитивный поиск Azure — это облачная служба поиска, которая предоставляет разработчикам инфраструктуру, API и средства для создания расширенного интерфейса поиска по поводу частного, разнородного содержимого в интернете, мобильных и корпоративных приложениях. Этот соединитель позволяет передавать журналы Когнитивный поиск Azure диагностика в Microsoft Sentinel, позволяя непрерывно отслеживать действия. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Policy: Owner role assigned for each policy assignment scope	Microsoft Corporation
Защита от атак DDoS Azure Подключитесь к журналам защиты от атак DDoS Azure уровня "Стандартный" через журналы диагностики общедоступных IP-адресов. Помимо базовой защиты от атак DDoS на платформе, служба Защита от атак DDoS Azure уровня "Стандартный" предоставляет расширенные возможности предотвращения сетевых атак DDoS. Она автоматически настраивается для защиты конкретных ресурсов Azure. Защиту можно включить во время создания виртуальных сетей. Кроме того, это можно сделать после создания. При этом не требуются никакие изменения приложения или ресурса. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Журналы аудита Azure DevOps (с помощью платформы соединителя без кода) Соединитель данных журналов аудита Azure DevOps позволяет прием событий аудита из Azure DevOps в Microsoft Sentinel. Этот соединитель данных создается с помощью платформы microsoft Sentinel Codeless Connector Framework, обеспечивая простую интеграцию. Он использует API журналов аудита Azure DevOps для получения подробных событий аудита и поддерживает преобразования времени приема данных на основе DCR. Эти преобразования позволяют анализировать полученные данные аудита в настраиваемую таблицу во время приема, повышая производительность запросов, устраняя необходимость дополнительного анализа. Используя этот соединитель, вы можете получить улучшенную видимость среды Azure DevOps и упростить операции безопасности. Таблицы Log Analytics: - `ADOAuditLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Предварительные требования к Azure DevOps. Убедитесь, что это необходимо: 1. Регистрация приложения Entra в Центре администрирования Microsoft Entra в разделе "Регистрация приложений". 2. В разделе "Разрешения API" добавьте разрешения в azure DevOps — vso.auditlog. 3. В разделе "Сертификаты и секреты" создайте "секрет клиента". 4. В разделе "Проверка подлинности" добавьте URI перенаправления: "https://portal.azure.com/TokenAuthorize/ExtensionName/Microsoft_Azure_Security_Insights". 5. В параметрах Azure DevOps включите журнал аудита и задайте для пользователя журнал аудита View . Аудит Azure DevOps. 6. Убедитесь, что пользователь, назначенный для подключения соединителя данных, имеет разрешение "Просмотр журналов аудита" явно задано значение Allow (Разрешить) в любое время. Это разрешение необходимо для успешного приема журналов. Если разрешение отозвано или не предоставлено, прием данных завершится ошибкой или прерван.	Microsoft Corporation
Концентратор событий Azure Центры событий Azure — это платформа потоковой передачи больших данных и служба приема событий. Он может получать и обрабатывать миллионы событий в секунду. Этот соединитель позволяет передавать журналы концентратора событий Azure диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Policy: Owner role assigned for each policy assignment scope	Microsoft Corporation
Azure Firewall Подключитесь к Брандмауэр Azure. Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure. Это сервис брандмауэра с полным отслеживанием состояния, с высокой доступностью и неограниченными возможностями облачного масштабирования. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureDiagnostics` - `AZFWApplicationRule` - `AZFWFlowTrace` - `AZFWFatFlow` - `AZFWNatRule` - `AZFWDnsQuery` - `AZFWIdpsSignature` - `AZFWInternalFqdnResolutionFailure` - `AZFWNetworkRule` - `AZFWThreatIntel` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Azure Key Vault Azure Key Vault — это облачная служба для безопасного хранения и доступа к секретам. Секрет — это все, к чему требуется жестко контролировать доступ, например ключи API, пароли, сертификаты или криптографические ключи. Этот соединитель позволяет передавать журналы Azure Key Vault диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Служба Azure Kubernetes (AKS) Служба Azure Kubernetes (AKS) — это полностью управляемая служба оркестрации контейнеров с открытым кодом, которая позволяет развертывать и масштабировать контейнеры Docker и приложения на основе контейнеров и управлять ими в среде кластера. Этот соединитель позволяет передавать журналы Служба Azure Kubernetes (AKS) диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Azure Logic Apps Azure Logic Apps — это облачная платформа для создания и запуска автоматизированных рабочих процессов, которые интегрируют приложения, данные, службы и системы. Этот соединитель позволяет передавать журналы Azure Logic Apps диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Policy: Owner role assigned for each policy assignment scope	Microsoft Corporation
Служебная шина Azure Служебная шина Azure — это полностью управляемый корпоративный брокер сообщений с очередями сообщений и тематикой публикации и подписки (в пространстве имен). Этот соединитель позволяет передавать журналы Служебная шина Azure диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Policy: Owner role assigned for each policy assignment scope	Microsoft Corporation
Базы данных SQL Azure База данных SQL Azure — это полностью управляемое ядро СУБД, предоставляемое по модели "платформа как услуга" (PaaS), которое выполняет большую часть функций управления базой данных, например обновление, исправление, резервное копирование и мониторинг, не требуя участия пользователя. Этот соединитель позволяет передавать журналы аудита и диагностики баз данных SQL Azure в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Учетная запись хранения Azure Учетная запись хранения Azure — это облачное решение, позволяющее реализовать современные сценарии хранения данных. Учетная запись хранения содержит все объекты данных: BLOB-объекты, файлы, очереди, таблицы и диски. Этот соединитель позволяет передавать служба хранилища Azure учетные записи диагностика журналы в рабочую область Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах и обнаруживать вредоносные действия в организации. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureMetrics` - `StorageBlobLogs` - `StorageQueueLogs` - `StorageTableLogs` - `StorageFileLogs` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Policy: Owner role assigned for each policy assignment scope	Microsoft Corporation
Azure Stream Analytics Azure Stream Analytics — это аналитика в режиме реального времени и сложный механизм обработки событий, предназначенный для анализа и обработки больших объемов быстрой потоковой передачи данных из нескольких источников одновременно. Этот соединитель позволяет передавать журналы концентратора Azure Stream Analytics диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Policy: Owner role assigned for each policy assignment scope	Microsoft Corporation
Брандмауэр веб-приложений Azure (WAF) Подключитесь к azure Брандмауэр веб-приложений (WAF) для Шлюз приложений, Front Door или CDN. Этот WAF защищает приложения от распространенных веб-уязвимостей, таких как внедрение SQL и межсайтовые скрипты, и позволяет настраивать правила для снижения ложных срабатываний. Инструкции по потоковой передаче журналов брандмауэра веб-приложения Майкрософт в Microsoft Sentinel отображаются во время установки. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
BETTER Mobile Threat Defense (MTD) Соединитель BETTER MTD позволяет предприятиям подключать свои экземпляры MTD к Microsoft Sentinel, просматривать их данные на панелях мониторинга, создавать пользовательские оповещения, использовать его для активации сборников схем и расширения возможностей поиска угроз. Это дает пользователям больше сведений о мобильных устройствах своей организации и возможности быстрого анализа текущей системы безопасности мобильных устройств, что улучшает их общие возможности SecOps. Таблицы Log Analytics: - `BetterMTDIncidentLog_CL` - `BetterMTDDeviceLog_CL` - `BetterMTDNetflowLog_CL` - `BetterMTDAppLog_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Better Mobile Security Inc.
Bitglass (с помощью Функций Azure) The Bitglass data connector provides the capability to retrieve security event logs of the Bitglass services and more events into Microsoft Sentinel through the REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `BitglassLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: BitglassToken и BitglassServiceURL необходимы для вызова API.	Microsoft Corporation
Соединитель данных Bitsight (с помощью функций Azure) The BitSight Data Connector supports evidence-based cyber risk monitoring by bringing BitSight data in Microsoft Sentinel. Таблицы Log Analytics: - `Alerts_data_CL` - `BitsightBreaches_data_CL` - `BitsightCompany_details_CL` - `BitsightCompany_rating_details_CL` - `BitsightDiligence_historical_statistics_CL` - `BitsightDiligence_statistics_CL` - `BitsightFindings_data_CL` - `BitsightFindings_summary_CL` - `BitsightGraph_data_CL` - `BitsightIndustrial_statistics_CL` - `BitsightObservation_statistics_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: требуется маркер API BitSight. See the documentation to learn more about API Token.	BitSight Support
Журналы событий Bitwarden Этот соединитель содержит сведения о действиях вашей организации Bitwarden, таких как активность пользователя (вошедший в систему, измененный пароль, 2fa и т. д.), действие шифра (созданное, обновленное, удаленное, общее, и т. д.), действие коллекции, активность организации и многое другое. Таблицы Log Analytics: - `BitwardenEventLogs` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Идентификатор клиента Bitwarden и секрет клиента: ключ API можно найти в консоли администрирования организации Bitwarden. Please see Bitwarden documentation for more information.	Bitwarden Inc
Box (использование функций Azure) Соединитель данных Box предоставляет возможность приема событий предприятия Box в Microsoft Sentinel с помощью REST API Box. Refer to Box documentation for more information. Таблицы Log Analytics: - `BoxEvents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные API Box: для проверки подлинности JWT rest API Box требуется файл JSON конфигурации Box. For more information, see JWT authentication.	Microsoft Corporation
События Box (CCF) Соединитель данных Box предоставляет возможность приема событий предприятия Box в Microsoft Sentinel с помощью REST API Box. Refer to Box documentation for more information. Таблицы Log Analytics: - `BoxEventsV2_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Учетные данные API Box. Для проверки подлинности API Box требуется идентификатор клиента и секрет клиента Box. Дополнительные сведения см. в разделе "Предоставление учетных данных клиента" - Box Enterprise ID: Box Enterprise ID является обязательным для подключения. См. документацию по поиску идентификатора Enterprise	Microsoft Corporation
Check Point CloudGuard CNAPP Connector for Microsoft Sentinel The CloudGuard data connector enables the ingestion of security events from the CloudGuard API into Microsoft Sentinel™, using Microsoft Sentinel’s Codeless Connector Framework. Соединитель поддерживает преобразования времени приема данных на основе DCR, которые анализируют входящие данные события безопасности в настраиваемые столбцы. Этот процесс предварительного анализа устраняет необходимость синтаксического анализа во время запроса, что приводит к повышению производительности запросов к данным. Таблицы Log Analytics: - `CloudGuard_SecurityEvents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Ключ API CloudGuard: ознакомьтесь с инструкциями, приведенными здесь , чтобы создать ключ API.	Check Point
Cisco ASA/FTD через AMA Соединитель брандмауэра Cisco ASA позволяет легко подключать журналы Cisco ASA к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности. Таблицы Log Analytics: - `CommonSecurityLog` Поддержка правила сбора данных: Рабочая область преобразования DCR Prerequisites: — Для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Learn more	Microsoft Corporation
Безопасность Cisco Duo (с помощью функций Azure) The Cisco Duo Security data connector provides the capability to ingest authentication logs, administrator logs, telephony logs, offline enrollment logs and Trust Monitor events into Microsoft Sentinel using the Cisco Duo Admin API. Refer to API documentation for more information. Таблицы Log Analytics: - `CiscoDuo_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные API Cisco Duo: учетные данные API Cisco Duo с журналом предоставления разрешений требуются для API Cisco Duo. See the documentation to learn more about creating Cisco Duo API credentials.	Microsoft Corporation
Cisco ETD (с помощью функций Azure) Соединитель извлекает данные из API ETD для анализа угроз Таблицы Log Analytics: - `CiscoETD_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - API защиты от угроз электронной почты, ключ API, идентификатор клиента и секрет: убедитесь, что у вас есть ключ API, идентификатор клиента и секретный ключ.	N/A
Cisco Meraki (с помощью REST API) The Cisco Meraki connector allows you to easily connect your Cisco Meraki organization events (Security events, Configuration Changes and API Requests) to Microsoft Sentinel. Соединитель данных использует REST API Cisco Meraki для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные и приемы в ASIM и пользовательские таблицы в рабочей области Log Analytics. Этот соединитель данных обеспечивает преимущества таких возможностей, как фильтрация времени приема данных на основе DCR, нормализация данных. Поддерживаемая схема ASIM: 1. Сетевой сеанс 2. Веб-сеанс 3. Событие аудита Таблицы Log Analytics: - `ASimNetworkSessionLogs` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Ключ REST API Cisco Meraki: включение доступа к API в Cisco Meraki и создание ключа API. Please refer to Cisco Meraki official documentation for more information. - Cisco Meraki Organization Id: Получите идентификатор организации Cisco Meraki для получения событий безопасности. Follow the steps in the documentation to obtain the Organization Id using the Meraki API Key obtained in previous step.	Microsoft Corporation
Безопасная конечная точка Cisco (с помощью платформы соединителя без кода) (предварительная версия) The Cisco Secure Endpoint (formerly AMP for Endpoints) data connector provides the capability to ingest Cisco Secure Endpoint audit logs and events into Microsoft Sentinel. Таблицы Log Analytics: - `CiscoSecureEndpointAuditLogsV2_CL` - `CiscoSecureEndpointEventsV2_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Учетные данные и регионы API безопасной конечной точки Cisco: чтобы создать учетные данные API и понять регионы, следуйте ссылке документа, предоставленной здесь. Click here.	Microsoft Corporation
Cisco Software Defined WAN The Cisco Software Defined WAN(SD-WAN) data connector provides the capability to ingest Cisco SD-WAN Syslog and Netflow data into Microsoft Sentinel. Таблицы Log Analytics: - `Syslog` - `CiscoSDWANNetflow_CL` Поддержка правила сбора данных: Преобразование DCR рабочей области	Cisco Systems
Cisco Umbrella (использование функций Azure) The Cisco Umbrella data connector provides the capability to ingest Cisco Umbrella events stored in Amazon S3 into Microsoft Sentinel using the Amazon S3 REST API. Дополнительные сведения см. в документации по управлению журналами Cisco Umbrella. Таблицы Log Analytics: - `Cisco_Umbrella_dns_CL` - `Cisco_Umbrella_proxy_CL` - `Cisco_Umbrella_ip_CL` - `Cisco_Umbrella_cloudfirewall_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступаAWS, имя контейнера AWS S3 требуется для REST API Amazon S3.	Microsoft Corporation
Claroty xDome Claroty xDome delivers comprehensive security and alert management capabilities for healthcare and industrial network environments. Он предназначен для сопоставления нескольких типов источников, идентификации собранных данных и интеграции его в модели данных Microsoft Sentinel. Это приводит к тому, что вы можете отслеживать все потенциальные угрозы в медицинских и промышленных средах в одном расположении, что приводит к более эффективному мониторингу безопасности и более сильной позиции безопасности. Таблицы Log Analytics: - `CommonSecurityLog` Поддержка правила сбора данных: Преобразование DCR рабочей области	Поддержка клиентов xDome
Cloudflare (предварительная версия) (с помощью функций Azure) The Cloudflare data connector provides the capability to ingest Cloudflare logs into Microsoft Sentinel using the Cloudflare Logpush and Azure Blob Storage. Refer to Cloudflare documentation for more information. Таблицы Log Analytics: - `Cloudflare_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Строка подключения к хранилищу BLOB-объектов Azure и имя контейнера: строка подключения к хранилищу BLOB-объектов Azure и имя контейнера, в которых журналы отправляются в Cloudflare Logpush. Дополнительные сведения см. в статье о создании контейнера хранилища BLOB-объектов Azure.	Cloudflare
Cognni Соединитель Cognni обеспечивает быструю и простую интеграцию с Microsoft Sentinel. Вы можете использовать Cognni для автономной сопоставления ранее неклассифицированной важной информации и обнаружения связанных инцидентов. Это позволяет распознавать риски для важных сведений, понимать серьезность инцидентов и исследовать сведения, необходимые для исправления, достаточно быстро, чтобы внести изменения. Таблицы Log Analytics: - `CognniIncidents_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Cognni
Согласованность (использование функций Azure) Приложения-функции "Сплоченность" предоставляют возможность приема оповещений программы-шантажистов в Microsoft Sentinel. Таблицы Log Analytics: - `Cohesity_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Строка подключения к хранилищу BLOB-объектов Azure и имя контейнера: строка подключения к хранилищу BLOB-объектов Azure и имя контейнера	Cohesity
CommvaultSecurityIQ (с помощью функций Azure) Эта функция Azure позволяет пользователям Commvault получать оповещения и события в экземпляре Microsoft Sentinel. С помощью правил аналитики Microsoft Sentinel может автоматически создавать инциденты Microsoft Sentinel из входящих событий и журналов. Таблицы Log Analytics: - `CommvaultSecurityIQ_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - URL-адрес конечной точки среды Commvault: обязательно следуйте документации и задайте значение секрета в KeyVault. - Токен QSDK Commvault: обязательно следуйте документации и задайте значение секрета в KeyVault.	Commvault
Экспортер соединителей Corelight The Corelight data connector enables incident responders and threat hunters who use Microsoft Sentinel to work faster and more effectively. The data connector enables ingestion of events from Zeek and Suricata via Corelight Sensors into Microsoft Sentinel. Таблицы Log Analytics: - `Corelight` Поддержка правила сбора данных: В настоящее время не поддерживается	Corelight
Cortex XDR — инциденты Настраиваемый соединитель данных из DEFENSE для использования API Cortex для приема инцидентов из платформы Cortex XDR в Microsoft Sentinel. Таблицы Log Analytics: - `CortexXDR_Incidents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Учетные данные API Cortex: маркер API Cortex требуется для REST API. For more information, see API. Проверьте все требования и следуйте инструкциям по получению учетных данных.	DEFEND Ltd.
Cribl The Cribl connector allows you to easily connect your Cribl (Cribl Enterprise Edition - Standalone) logs with Microsoft Sentinel. Это дает больше сведений о безопасности конвейеров данных вашей организации. Таблицы Log Analytics: - `CriblInternal_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Cribl
Соединитель данных API CrowdStrike (через платформу соединителя без кода) (предварительная версия) Соединитель данных CrowdStrike позволяет получать журналы из API CrowdStrike в Microsoft Sentinel. Этот соединитель построен на платформе соединителя Без кода Microsoft Sentinel и использует API CrowdStrike для получения журналов оповещений, обнаружения, узлов, инцидентов и уязвимостей. Она поддерживает преобразования времени приема данных на основе DCR, чтобы запросы могли выполняться более эффективно. Таблицы Log Analytics: - `CrowdStrikeVulnerabilities` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Аналитика сокола Краудстрик Сокол (с помощью функций Azure) The CrowdStrike Falcon Indicators of Compromise connector retrieves the Indicators of Compromise from the Falcon Intel API and uploads them Microsoft Sentinel Threat Intel. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Идентификатор клиента и секрет клиента CrowdStrike: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Учетные данные CrowdStrike должны иметь область чтения индикаторов (Falcon Intelligence).	Microsoft Corporation
Репликатор данных CrowdStrike Falcon (AWS S3) (через платформу соединителя без кода) Соединитель репликатора данных Falcon (S3) crowdstrike Data Replicator (S3) предоставляет возможность приема данных событий FDR в Microsoft Sentinel из контейнера AWS S3, в котором передаются журналы FDR. Соединитель предоставляет возможность получать события от агентов Falcon, которые помогают изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации и многое другое. NOTE: 1. Лицензия CrowdStrike FDR должна быть доступна и включена. 2. Соединителю требуется настроить роль IAM в AWS, чтобы разрешить доступ к контейнеру AWS S3 и не подходит для сред, использующих управляемые контейнеры CrowdStrike. 3. В средах, использующих контейнеры, управляемые CrowdStrike, настройте соединитель репликатора данных Falcon (CrowdStrike-Managed AWS S3). Таблицы Log Analytics: - `CrowdStrike_Additional_Events_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Репликатор данных CrowdStrike Falcon (Managed AWS-S3CrowdStrike) (с помощью функций Azure) Этот соединитель позволяет приему данных FDR в Microsoft Sentinel с помощью Функций Azure для поддержки оценки потенциальных рисков безопасности, анализа действий совместной работы, идентификации проблем конфигурации и других операционных аналитических сведений. NOTE: 1. Лицензия CrowdStrike FDR должна быть доступна и включена. 2. Соединитель использует проверку подлинности на основе ключа и секрета и подходит для управляемых контейнеров CrowdStrike. 3. В средах, использующих полностью принадлежащий контейнер AWS S3, корпорация Майкрософт рекомендует использовать соединитель репликатора данных Falcon (AWS S3). Таблицы Log Analytics: - `CrowdStrikeReplicatorV2` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL. For more information, see data pulling. Чтобы начать, обратитесь в службу поддержки CrowdStrike. По запросу он создаст управляемый контейнер Amazon Web Services (AWS) CrowdStrike S3 для краткосрочных целей хранения, а также учетную запись SQS (простая служба очередей) для мониторинга изменений в контейнере S3.	Microsoft Corporation
CTERA Syslog Соединитель данных CTERA для Microsoft Sentinel предлагает возможности мониторинга и обнаружения угроз для решения CTERA. В ней содержится книга, визуализируя сумму всех операций на тип, удаление и запрещенный доступ. Он также предоставляет аналитические правила, которые обнаруживают инциденты программ-шантажистов и оповещают вас о том, что пользователь заблокирован из-за подозрительной активности программ-шантажистов. Кроме того, он помогает определить критически важные шаблоны, такие как массовый доступ к запрещенным событиям, массовым удалениям и изменениям в массовом разрешении, что обеспечивает упреждающее управление угрозами и реагирование. Таблицы Log Analytics: - `Syslog` Поддержка правила сбора данных: Преобразование DCR рабочей области	CTERA
Пользовательские журналы через AMA Многие приложения регистрируют сведения о текстовых или JSON-файлах вместо стандартных служб ведения журнала, таких как журналы событий Windows, системный журнал или CEF. Соединитель данных пользовательских журналов позволяет собирать события из файлов на компьютерах Windows и Linux и передавать их в созданные вами пользовательские таблицы журналов. При потоковой передаче данных можно анализировать и преобразовывать содержимое с помощью DCR. После сбора данных можно применять аналитические правила, охоту, поиск, аналитику угроз, обогащение и многое другое. ПРИМЕЧАНИЕ. Используйте этот соединитель для следующих устройств: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, Apache HTTP server, Apache Tomcat, Jboss Enterprise application platform, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP server, Oracle Weblogic server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP и AI vectra stream. Таблицы Log Analytics: - `JBossEvent_CL<br>` - `JuniperIDP_CL<br>` - `ApacheHTTPServer_CL<br>` - `Tomcat_CL<br>` - `meraki_CL<br>` - `VectraStream_CL<br>` - `MarkLogicAudit_CL<br>` - `MongoDBAudit_CL<br>` - `NGINX_CL<br>` - `OracleWebLogicServer_CL<br>` - `PostgreSQL_CL<br>` - `SquidProxy_CL<br>` - `Ubiquiti_CL<br>` - `vcenter_CL<br>` - `ZPA_CL<br>` - `SecurityBridgeLogs_CL<br>` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Permissions: To collect data from non-Azure VMs, they must have Azure Arc installed and enabled. Learn more	Microsoft Corporation
Интеграция "Слепые точечные" (с помощью функций Azure) Благодаря интеграции API вы можете получить все вопросы, связанные с организациями CBS, через интерфейс RESTful. Таблицы Log Analytics: - `CBSLog_Azure_1_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.	Управление киберугрывами 360
CyberArkAudit (с помощью функций Azure) The CyberArk Audit data connector provides the capability to retrieve security event logs of the CyberArk Audit service and more events into Microsoft Sentinel through the REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `CyberArk_AuditEvents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Аудит сведений о подключениях REST API и учетных данных: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint и AuditApiBaseUrl требуются для выполнения вызовов API.	CyberArk Support
CyberArkEPM (с помощью функций Azure) Коннектор данных CyberArk Endpoint Privilege Manager предоставляет возможность получения журналов событий безопасности служб CyberArk EPM и других событий в Microsoft Sentinel через REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `CyberArkEPM_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: CyberArkEPMUsername, CyberArkEPMPassword и CyberArkEPMServerURL необходимы для вызова API.	CyberArk Support
Журналы безопасности Киберпиона Соединитель данных журналов безопасности Cyberpion записывает журналы из системы Cyberpion непосредственно в Sentinel. Соединитель позволяет пользователям визуализировать свои данные, создавать оповещения и инциденты и улучшать исследования безопасности. Таблицы Log Analytics: - `CyberpionActionItems_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Cyberpion Subscription: A subscription and account is required for cyberpion logs. Его можно получить здесь.	Cyberpion
Оповещения, доступные для действий cybersixgill (с помощью функций Azure) Оповещения, доступные для действий, предоставляют настраиваемые оповещения на основе настроенных ресурсов Таблицы Log Analytics: - `CyberSixgill_Alerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: для выполнения вызовов API требуются Client_ID и Client_Secret .	Cybersixgill
Cyborg Security Hunter Хант пакеты охоты Cyborg Security является ведущим поставщиком передовых решений по поиску угроз, с миссией по расширению возможностей организаций с передовыми технологиями и средствами совместной работы для упреждающего обнаружения и реагирования на кибер-угрозы. Флагманское предложение Cyborg Security, платформа HUNTER, объединяет мощные аналитические данные, курированное содержимое охоты на угрозы и комплексные возможности управления охотой для создания динамической экосистемы для эффективных операций охоты на угрозы. Выполните действия, чтобы получить доступ к сообществу Cyborg Security и настроить возможности Open in Tool на платформе HUNTER. Таблицы Log Analytics: - `SecurityEvent` Поддержка правила сбора данных: В настоящее время не поддерживается	Cyborg Security
Оповещения об атаке Cyfirma N/A Таблицы Log Analytics: - `CyfirmaASCertificatesAlerts_CL` - `CyfirmaASConfigurationAlerts_CL` - `CyfirmaASDomainIPReputationAlerts_CL` - `CyfirmaASOpenPortsAlerts_CL` - `CyfirmaASCloudWeaknessAlerts_CL` - `CyfirmaASDomainIPVulnerabilityAlerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Cyfirma
Оповещения Cyfirma Brand Intelligence N/A Таблицы Log Analytics: - `CyfirmaBIDomainITAssetAlerts_CL` - `CyfirmaBIExecutivePeopleAlerts_CL` - `CyfirmaBIProductSolutionAlerts_CL` - `CyfirmaBISocialHandlersAlerts_CL` - `CyfirmaBIMaliciousMobileAppsAlerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Cyfirma
Оповещения о цифровых рисках Cyfirma Соединитель данных Cyfirma DeCYFIR/DeTCT Alerts обеспечивает простое прием журналов из API DeCYFIR/DeTCT в Microsoft Sentinel. В основе платформы соединителя Microsoft Sentinel без кода используется API оповещений DeCYFIR для получения журналов. Кроме того, он поддерживает преобразования времени приема данных на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость синтаксического анализа во время запроса, повышения производительности и эффективности. Таблицы Log Analytics: - `CyfirmaDBWMPhishingAlerts_CL` - `CyfirmaDBWMRansomwareAlerts_CL` - `CyfirmaDBWMDarkWebAlerts_CL` - `CyfirmaSPESourceCodeAlerts_CL` - `CyfirmaSPEConfidentialFilesAlerts_CL` - `CyfirmaSPEPIIAndCIIAlerts_CL` - `CyfirmaSPESocialThreatAlerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Cyfirma
События безопасности Cynerio The Cynerio connector allows you to easily connect your Cynerio Security Events with Microsoft Sentinel, to view IDS Events. Это дает более подробное представление о настройке сетевой безопасности организации и улучшении возможностей операций безопасности. Таблицы Log Analytics: - `CynerioEvent_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Cynerio
Соединитель Darktrace для REST API Microsoft Sentinel Соединитель REST API Darktrace отправляет события в режиме реального времени из Darktrace в Microsoft Sentinel и предназначен для использования с решением Darktrace для Sentinel. Соединитель записывает журналы в пользовательскую таблицу журналов с названием "darktrace_model_alerts_CL". Нарушения модели, инциденты, выявленные ИИ-аналитиком, системные оповещения и оповещения по электронной почте могут быть обработаны. Дополнительные фильтры можно настроить на странице конфигурации системы Darktrace. Данные отправляются в Sentinel с основных серверов Darktrace. Таблицы Log Analytics: - `darktrace_model_alerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Darktrace Prerequisites: To use this Data Connector a Darktrace master running v5.2+ is required. Данные отправляются в API сборщика HTTP-данных Azure Monitor по протоколу HTTPs из мастеров Darktrace, поэтому требуется исходящее подключение из мастера Darktrace к REST API Microsoft Sentinel. - Фильтрация данных Darktrace: во время настройки можно настроить дополнительную фильтрацию на странице "Конфигурация системы Darktrace", чтобы ограничить объем или типы отправленных данных. - Попробуйте решение Darktrace Sentinel: вы можете получить большую часть этого соединителя, установив решение Darktrace для Microsoft Sentinel. Это позволит книгам визуализировать данные оповещений и правила аналитики для автоматического создания оповещений и инцидентов из нарушений модели Darktrace и инцидентов аналитика ИИ.	Darktrace
Datalake2Sentinel Это решение устанавливает соединитель Datalake2Sentinel, который построен с помощью платформы соединителя без кода и позволяет автоматически прием индикаторов аналитики угроз из платформы CTI Datalake Orange Cyberdefense в Microsoft Sentinel с помощью REST API индикаторов отправки. После установки решения настройте и включите этот соединитель данных, следуя инструкциям в представлении решения "Управление". Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящее время не поддерживается	Orange Cyberdefense
Соединитель данных dataminr Pulse Alerts (с помощью функций Azure) Соединитель данных Dataminr Pulse Alerts Data Connector внедряет аналитику в режиме реального времени, основанную на искусственном интеллекте, в Microsoft Sentinel для более быстрого обнаружения угроз и реагирования. Таблицы Log Analytics: - `DataminrPulse_Alerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group. - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Обязательные учетные данные и разрешения Dataminr: a. Users must have a valid Dataminr Pulse API client ID and secret to use this data connector. b. На веб-сайте Dataminr Pulse Watchlist необходимо настроить один или несколько списков отслеживания пульса Dataminr.	Dataminr Support
Derdack SIGNL4 Когда критически важные системы завершаются сбоем или инцидентами безопасности, SIGNL4 перестраивает "последнюю милю" сотрудникам, инженерам, ИТ-администраторам и работникам в этой области. Он добавляет в службы, системы и процессы в режиме реального времени в режиме реального времени. SIGNL4 уведомляет о постоянной мобильной отправке, SMS-тексте и голосовых звонках с подтверждением, отслеживанием и эскалацией. Интегрированное планирование обязанностей и смены гарантирует, что правильные люди оповещены в нужное время. Подробнее> Таблицы Log Analytics: - `SecurityIncident` Поддержка правила сбора данных: В настоящее время не поддерживается	Derdack
Средство поиска цифровых теней (с помощью функций Azure) Соединитель данных Digital Shadows обеспечивает прием инцидентов и оповещений от цифрового средства поиска теней в Microsoft Sentinel с помощью REST API. Соединитель предоставит сведения об инцидентах и оповещениях, чтобы помочь в изучении, диагностике и анализе потенциальных рисков и угроз безопасности. Таблицы Log Analytics: - `DigitalShadows_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: идентификатор учетной записи Digital Shadows, секрет и ключ необходимы. Дополнительные сведения об API см. в `https://portal-digitalshadows.com/learn/searchlight-api/overview/description`документации.	Digital Shadows
DNS Соединитель журналов DNS позволяет легко подключать журналы аналитики и аудита DNS к Microsoft Sentinel и другим связанным данным, чтобы улучшить исследование. Если включить коллекцию журналов DNS, вы можете: — определите клиентов, пытающихся разрешить вредоносные доменные имена. — определение устаревших записей ресурсов. — Определите часто запрашиваемые доменные имена и разговорные DNS-клиенты. — Просмотр нагрузки запросов на DNS-серверах. — Просмотр динамических сбоев регистрации DNS. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `DnsEvents` - `DnsInventory` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Соединитель данных Doppel Соединитель данных основан на событиях и оповещениях Doppel в Microsoft Sentinel и поддерживает преобразования времени приема данных на основе DCR, которые анализируют полученные данные события безопасности в настраиваемые столбцы, чтобы запросы не нужно повторно анализировать их, что приводит к повышению производительности. Таблицы Log Analytics: - `DoppelTable_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Идентификатор клиента Microsoft Entra, идентификатор клиента и секрет клиента: идентификатор Microsoft Entra id требует идентификатора клиента и секрета клиента для проверки подлинности приложения. Кроме того, для назначения зарегистрированному приложению роли издателя метрик мониторинга группы ресурсов требуется уровень доступа глобального администратора или владельца. - Требуется идентификатор рабочей области, DCE-URI, DCR-ID: необходимо получить идентификатор рабочей области Log Analytics, URI приема журналов DCE и неизменяемый идентификатор DCR для конфигурации.	Doppel
Перетаскивание уведомлений через Cloud Sitestore The Dragos Platform is the leading Industrial Cyber Security platform it offers a comprehensive Operational Technology (OT) cyber threat detection built by unrivaled industrial cybersecurity expertise. Это решение позволяет просматривать данные уведомлений о платформе Dragos в Microsoft Sentinel, чтобы аналитики безопасности могли просматривать потенциальные события кибербезопасности, происходящие в их промышленных средах. Таблицы Log Analytics: - `DragosAlerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Доступ к API Dragos Sitestore: учетная запись пользователя Sitestore с разрешением `notification:read` . Эта учетная запись также должна иметь ключ API, который можно предоставить Sentinel.	Dragos Inc
Соединитель событий Druva Предоставляет возможность приема событий Druva из API Druva Таблицы Log Analytics: - `DruvaSecurityEvents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Доступ к API Druva: ДЛЯ проверки подлинности API Druva требуется идентификатор клиента и секрет клиента.	Druva Inc
Dynamics 365 Finance and Operations Dynamics 365 for Finance and Operations — это комплексное решение для планирования ресурсов предприятия (ERP), которое объединяет финансовые и операционные возможности, помогающие предприятиям управлять своими повседневными операциями. Он предлагает ряд функций, позволяющих предприятиям оптимизировать рабочие процессы, автоматизировать задачи и получить аналитические сведения о производительности операций. Соединитель данных Dynamics 365 Finance and Operations выполняет прием действий администратора и операций Dynamics 365 Finance and Operations, а также журналов бизнес-процессов пользователей и действий приложений в Microsoft Sentinel. Таблицы Log Analytics: - `FinanceOperationsActivity_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Регистрация приложения Microsoft Entra: идентификатор клиента приложения и секрет, используемые для доступа к Dynamics 365 Finance and Operations.	Microsoft Corporation
Dynamics365 Соединитель действий Dynamics 365 Common Data Service (CDS) предоставляет аналитические данные о действиях администратора, пользователя и службы поддержки, а также события ведения журнала Microsoft Social Engagement. Подключив журналы Dynamics 365 CRM к Microsoft Sentinel, вы можете просматривать эти данные в книгах, использовать его для создания пользовательских оповещений и улучшения процесса исследования. Таблицы Log Analytics: - `Dynamics365Activity` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Dynatrace Attacks Этот соединитель использует REST API атак Dynatrace для приема обнаруженных атак в Microsoft Sentinel Log Analytics Таблицы Log Analytics: - `DynatraceAttacks_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace с включенным приложением Application Security , узнайте больше о платформе Dynatrace. - Маркер доступа Dynatrace: вам нужен маркер доступа Dynatrace, маркер должен иметь область атак чтения (атаки.read ).	Dynatrace
Журналы аудита Dynatrace Этот соединитель использует REST API журналов аудита Dynatrace для приема журналов аудита клиента в Microsoft Sentinel Log Analytics Таблицы Log Analytics: - `DynatraceAuditLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace, чтобы узнать больше о платформе Dynatrace Начните бесплатную пробную версию. - Маркер доступа Dynatrace: требуется маркер доступа Dynatrace, маркер должен иметь область "Чтение журналов аудита " (auditLogs.read).	Dynatrace
Dynatrace Problems Этот соединитель использует REST API проблемы Dynatrace для приема событий проблем в Microsoft Sentinel Log Analytics Таблицы Log Analytics: - `DynatraceProblems_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace, чтобы узнать больше о платформе Dynatrace Начните бесплатную пробную версию. - Маркер доступа Dynatrace: вам нужен маркер доступа Dynatrace, маркер должен иметь область чтения (problems.read ).	Dynatrace
Уязвимости среды выполнения Dynatrace Этот соединитель использует REST API проблемы безопасности Dynatrace для приема обнаруженных уязвимостей среды выполнения в Microsoft Sentinel Log Analytics. Таблицы Log Analytics: - `DynatraceSecurityProblems_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace с включенным приложением Application Security , узнайте больше о платформе Dynatrace. - Маркер доступа Dynatrace: требуется маркер доступа Dynatrace, маркер должен иметь область безопасности чтения (securityProblems.read).	Dynatrace
Агент Elastic (автономный) The Elastic Agent data connector provides the capability to ingest Elastic Agent logs, metrics, and security data into Microsoft Sentinel. Таблицы Log Analytics: - `ElasticAgentEvent` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Включите настраиваемые предварительные требования, если для подключения требуется - в противном случае удалите таможни: описание любого пользовательского предварительного требования	Microsoft Corporation
События безопасности браузера Ermes События безопасности браузера Ermes Таблицы Log Analytics: - `ErmesBrowserSecurityEvents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Идентификатор клиента Ermes и секрет клиента: включение доступа к API в Ermes. Обратитесь в службу поддержки кибербезопасности Ermes , чтобы получить дополнительные сведения.	Ermes Cyber Security S.p.A.
Защита платформы ESET (с помощью функций Azure) Соединитель данных ESET Protect Platform позволяет пользователям внедрять данные обнаружения из ESET Protect Platform с помощью предоставленного REST API интеграции. REST API интеграции выполняется как запланированное приложение-функция Azure. Таблицы Log Analytics: - `IntegrationTable_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Разрешение на регистрацию приложения в идентификаторе Microsoft Entra: требуются достаточные разрешения для регистрации приложения в клиенте Microsoft Entra. - Разрешение на назначение роли зарегистрированного приложения. Требуется разрешение на назначение роли издателя метрик мониторинга зарегистрированным приложению в идентификаторе Microsoft Entra ID.	Интеграция ESET Enterprise
Локальный сборщик Аналитики безопасности Exchange Соединитель, используемый для отправки конфигурации локальной безопасности Exchange для анализа Microsoft Sentinel Таблицы Log Analytics: - `ESIExchangeConfig_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Учетная запись службы с ролью управления организацией: учетная запись службы, которая запускает скрипт в качестве запланированной задачи, должна иметь возможность получения всех необходимых сведений о безопасности. - Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here	Community
Сборщик Exchange Security Insights Online (с помощью функций Azure) Соединитель, используемый для отправки конфигурации безопасности Exchange Online для Анализа Microsoft Sentinel Таблицы Log Analytics: - `ESIExchangeOnlineConfig_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - microsoft.automation/automationaccounts permissions: Read and write permissions to create an Azure Automation with a Runbook is required. For more information, see Automation Account. - Microsoft.Graph permissions: Groups.Read, Users.Read and Auditing.Read permissions are required to retrieve user/group information linked to Exchange Online assignments. Дополнительные сведения см. в документации. - Разрешения Exchange Online: разрешения Exchange.ManageAsApp и роль глобального читателя или читателя безопасности необходимы для получения конфигурации безопасности Exchange Online. Дополнительные сведения см. в документации. - (Необязательно) Разрешения хранилища журналов: участник данных BLOB-объектов хранилища в учетную запись хранения, связанную с управляемым удостоверением учетной записи службы автоматизации, или идентификатор приложения является обязательным для хранения журналов. Дополнительные сведения см. в документации.	Community
F5 BIG-IP Соединитель брандмауэра F5 позволяет легко подключать журналы F5 к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности. Таблицы Log Analytics: - `F5Telemetry_LTM_CL` - `F5Telemetry_system_CL` - `F5Telemetry_ASM_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	F5 Networks
Feedly Этот соединитель позволяет приему ioCs из Feedly. Таблицы Log Analytics: - `feedly_indicators_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Пользовательские предварительные требования при необходимости удаляются в противном случае этот таможенный тег: описание любых пользовательских предварительных требований	Feedly Inc
Flare Flare connector allows you to receive data and intelligence from Flare on Microsoft Sentinel. Таблицы Log Analytics: - `Firework_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Необходимые разрешения Flare. Только администраторы организации Flare могут настроить интеграцию Microsoft Sentinel.	Flare
Forcepoint DLP Соединитель Forcepoint DLP (Защита от потери данных) позволяет автоматически экспортировать данные инцидентов защиты от потери данных из Forcepoint DLP в Microsoft Sentinel в режиме реального времени. Это расширяет видимость действий пользователей и инцидентов потери данных, обеспечивает дополнительную корреляцию с данными из рабочих нагрузок Azure и других веб-каналов и улучшает возможности мониторинга с помощью книг в Microsoft Sentinel. Таблицы Log Analytics: - `ForcepointDLPEvents_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Community
Forescout The Forescout data connector provides the capability to ingest Forescout events into Microsoft Sentinel. Refer to Forescout documentation for more information. Таблицы Log Analytics: - `ForescoutEvent` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Монитор свойств узла Forescout Соединитель монитора свойств узла Forescout позволяет подключать свойства узла из платформы Forescout с помощью Microsoft Sentinel, просматривать, создавать пользовательские инциденты и улучшать исследование. Это дает более подробную информацию о сети организации и улучшает возможности операций безопасности. Таблицы Log Analytics: - `ForescoutHostProperties_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Требование подключаемого модуля Forescout: убедитесь, что подключаемый модуль Forescout Microsoft Sentinel запущен на платформе Forescout	Microsoft Corporation
Fortinet FortiNDR Cloud Соединитель данных Fortinet FortiNDR Cloud предоставляет возможность приема данных Fortinet FortiNDR Cloud в Microsoft Sentinel с помощью ОБЛАЧНОго API FortiNDR Таблицы Log Analytics: - `FncEventsSuricata_CL` - `FncEventsObservation_CL` - `FncEventsDetections_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - MetaStream Credentials: AWS Access Key Id, AWS Secret Access Key, FortiNDR Cloud Account Code are required to retrieve event data. - API Credentials: FortiNDR Cloud API Token, FortiNDR Cloud Account UUID are required to retrieve detection data.	Fortinet
Удаленные журналы GARrison ULTRA (с помощью функций Azure) The Garrison ULTRA Remote Logs connector allows you to ingest Garrison ULTRA Remote Logs into Microsoft Sentinel. Таблицы Log Analytics: - `Garrison_ULTRARemoteLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Garrison ULTRA: To use this data connector you must have an active Garrison ULTRA license.	Garrison
Журналы аудита gCP Pub/Sub Журналы аудита Google Cloud Platform (GCP), полученные из соединителя Microsoft Sentinel, позволяют записывать три типа журналов аудита: журналы действий администратора, журналы доступа к данным и журналы прозрачности доступа. Журналы аудита облака Google записывают след, который практикующие специалисты могут использовать для мониторинга доступа и обнаружения потенциальных угроз в ресурсах Google Cloud Platform (GCP). Таблицы Log Analytics: - `GCPAuditLogs` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Журналы GCP Pub/Sub Load Balancer (через платформу соединителей без кода). Журналы Подсистемы балансировки нагрузки Google Cloud Platform (GCP) предоставляют подробные сведения о сетевом трафике, записывая как входящие, так и исходящие действия. Эти журналы используются для мониторинга шаблонов доступа и выявления потенциальных угроз безопасности в ресурсах GCP. Кроме того, эти журналы также включают журналы брандмауэра веб-приложений GCP (WAF), повышая способность обнаруживать и устранять риски эффективно. Таблицы Log Analytics: - `GCPLoadBalancerLogs_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Журналы потоков GCP Pub/Sub VPC (через платформу соединителей без кода) Журналы потоков VPC Google Cloud Platform (GCP) позволяют отслеживать активность сетевого трафика на уровне VPC, позволяя отслеживать шаблоны доступа, анализировать производительность сети и обнаруживать потенциальные угрозы в ресурсах GCP. Таблицы Log Analytics: - `GCPVPCFlow` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Соединитель данных Gigamon AMX Используйте этот соединитель данных для интеграции с экспортером метаданных приложений Gigamon (AMX) и получения данных непосредственно в Microsoft Sentinel. Таблицы Log Analytics: - `Gigamon_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Gigamon
GitHub (с помощью веб-перехватчиков) (с помощью функций Azure) The GitHub webhook data connector provides the capability to ingest GitHub subscribed events into Microsoft Sentinel using GitHub webhook events. Соединитель предоставляет возможность получать события в Microsoft Sentinel, что помогает изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации и многое другое. Note: If you are intended to ingest Github Audit logs, Please refer to GitHub Enterprise Audit Log Connector from "Data Connectors" gallery. Таблицы Log Analytics: - `githubscanaudit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.	Microsoft Corporation
Журнал аудита GitHub Enterprise Соединитель журнала аудита GitHub предоставляет возможность приема журналов GitHub в Microsoft Sentinel. Подключив журналы аудита GitHub к Microsoft Sentinel, эти данные можно просмотреть в книгах, использовать его для создания пользовательских оповещений и улучшения процесса исследования. Note: If you intended to ingest GitHub subscribed events into Microsoft Sentinel, please refer to GitHub (using Webhooks) Connector from "Data Connectors" gallery. Таблицы Log Analytics: - `GitHubAuditLogPolling_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Личные маркеры доступа к API GitHub: вам нужен личный маркер доступа GitHub, чтобы включить опрос для журнала аудита организации. Вы можете использовать классический маркер с областью read:org или более точного маркера с областью "Администрирование: только для чтения". - Тип GitHub Enterprise: этот соединитель будет работать только с GitHub Enterprise Cloud; он не будет поддерживать GitHub Enterprise Server.	Microsoft Corporation
Google ApigeeX (через платформу соединителей без кода) (предварительная версия) Соединитель данных Google ApigeeX предоставляет возможность приема журналов аудита в Microsoft Sentinel с помощью API Apigee Google. Дополнительные сведения см. в документации по API Google Apigee . Таблицы Log Analytics: - `GCPApigee` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Google Cloud Platform CDN (через платформу соединителей без кода) (предварительная версия) Соединитель данных CDN Google Cloud Platform предоставляет возможность приема журналов аудита Cloud CDN и журналов трафика Cloud CDN в Microsoft Sentinel с помощью API подсистемы вычислений. Refer the Product overview document for more details. Таблицы Log Analytics: - `GCPCDN` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Google Cloud Platform Cloud IDS (через платформу соединителей без кода) (предварительная версия) Соединитель данных Google Cloud Platform IDS предоставляет возможность приема журналов трафика Cloud IDS, журналов угроз и журналов аудита в Microsoft Sentinel с помощью API Google Cloud IDS. Дополнительные сведения см. в документации по API Cloud IDS . Таблицы Log Analytics: - `GCPIDS` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Google Cloud Platform Cloud Monitoring (через Codeless Connector Framework) (предварительная версия) Соединитель данных Google Cloud Platform Cloud Monitoring загружает журналы мониторинга из Google Cloud в Microsoft Sentinel с использованием API Google Cloud Monitoring. Дополнительные сведения см. в документации по API облачного мониторинга . Таблицы Log Analytics: - `GCPMonitoring` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Google Cloud Platform DNS (через платформу соединителей без кода) Соединитель данных DNS Google Cloud Platform предоставляет возможность приема журналов облачных запросов DNS и журналов аудита облачных DNS в Microsoft Sentinel с помощью API Google Cloud DNS. Дополнительные сведения см. в документации по API Облачных DNS . Таблицы Log Analytics: - `GCPDNS` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Google Cloud Platform IAM (с помощью codeless Connector Framework) Соединитель данных IAM для Google Cloud Platform предоставляет возможность приема журналов аудита, связанных с действиями управления удостоверениями и доступом (IAM) в Google Cloud в Microsoft Sentinel с помощью API Google IAM. Дополнительные сведения см. в документации по API IAM GCP . Таблицы Log Analytics: - `GCPIAM` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Центр управления безопасностью Google Центр управления безопасностью Google Cloud Platform (GCP) — это комплексная платформа управления безопасностью и рисками для Google Cloud, полученная из соединителя Sentinel. Он предлагает такие функции, как инвентаризация активов и их обнаружение, обнаружение уязвимостей и угроз, а также смягчение и исправление рисков, которые помогут вам получить представление о безопасности и потенциальных угрозах для данных вашей организации. Эта интеграция позволяет выполнять задачи, связанные с выводами и ресурсами более эффективно. Таблицы Log Analytics: - `GoogleCloudSCC` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Google Workspace (G Suite) (с помощью функций Azure) The Google Workspace data connector provides the capability to ingest Google Workspace Activity events into Microsoft Sentinel through the REST API. The connector provides ability to get events which helps to examine potential security risks, analyze your team's use of collaboration, diagnose configuration problems, track who signs in and when, analyze administrator activity, understand how users create and share content, and more review events in your org. Таблицы Log Analytics: - `GWorkspace_ReportsAPI_admin_CL` - `GWorkspace_ReportsAPI_calendar_CL` - `GWorkspace_ReportsAPI_drive_CL` - `GWorkspace_ReportsAPI_login_CL` - `GWorkspace_ReportsAPI_mobile_CL` - `GWorkspace_ReportsAPI_token_CL` - `GWorkspace_ReportsAPI_user_accounts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: Для REST API требуется GooglePickleString . For more information, see API. Инструкции по получению учетных данных отображаются во время установки. Вы можете проверить все требования и следовать инструкциям, приведенным здесь.	Microsoft Corporation
GrayNoise Threat Intelligence (с помощью функций Azure) Этот соединитель данных устанавливает приложение-функцию Azure для скачивания индикаторов GreyNoise один раз в день и вставляет их в таблицу ThreatIntelligenceIndicator в Microsoft Sentinel. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Ключ API GreyNoise: получите ключ API GreyNoiseздесь.	GreyNoise
Intergration HackerView (с помощью Функций Azure) С помощью интеграции API вы можете получить все проблемы, связанные с организациями HackerView, через интерфейс RESTful. Таблицы Log Analytics: - `HackerViewLog_Azure_1_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.	Управление киберугрывами 360
Данные ресурса безопасности Holm (с помощью функций Azure) Соединитель предоставляет возможность опроса данных из Центра безопасности Holm в Microsoft Sentinel. Таблицы Log Analytics: - `net_assets_CL` - `web_assets_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Маркер API безопасности Holm: требуется маркер API безопасности Holm. Токен API безопасности Holm	Holm Security
Журналы IIS серверов Microsoft Exchange Server [Вариант 5] С помощью агента Azure Monitor можно передавать все журналы IIS с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование. Таблицы Log Analytics: - `W3CIISLog` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: — Azure Log Analytics не рекомендуется собирать данные из виртуальных машин, отличных от Azure, рекомендуется. Learn more - Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here	Community
Illumio SaaS (с помощью функций Azure) Illumio connector provides the capability to ingest events into Microsoft Sentinel. Соединитель предоставляет возможность приема событий аудита и потоков из контейнера AWS S3. Таблицы Log Analytics: - `Illumio_Auditable_Events_CL` - `Illumio_Flow_Events_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL. Если вы используете контейнер s3, предоставляемый Illumio, обратитесь в службу поддержки Illumio. По запросу они предоставят вам имя контейнера AWS S3, URL-адрес AWS SQS и учетные данные AWS для доступа к ним. - Ключ и секрет API Illumio: ILLUMIO_API_KEYILLUMIO_API_SECRET требуется для книги, чтобы подключиться к SaaS PCE и получить ответы api.	Illumio
Imperva Cloud WAF (с помощью функций Azure) Соединитель данных Imperva Cloud WAF предоставляет возможность интеграции и приема событий Брандмауэр веб-приложений в Microsoft Sentinel через REST API. Refer to Log integration documentation for more information. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `ImpervaWAFCloud_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI требуются для API. Дополнительные сведения см. в разделе "Настройка процесса интеграции журналов". Проверьте все требования и следуйте инструкциям по получению учетных данных. Обратите внимание, что этот соединитель использует формат события журнала CEF. More information about log format.	Microsoft Corporation
Infoblox Cloud Data Connector через AMA Соединитель облачных данных Infoblox позволяет легко подключать данные Infoblox к Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала. Таблицы Log Analytics: - `CommonSecurityLog` Поддержка правила сбора данных: Преобразование DCR рабочей области	Infoblox
Соединитель данных Infoblox через REST API Соединитель данных Infoblox позволяет легко подключать данные TIDE Infoblox и Dossier к Microsoft Sentinel. Подключив данные к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещений и обогащения аналитики угроз для каждого журнала. Таблицы Log Analytics: - `Failed_Range_To_Ingest_CL` - `Infoblox_Failed_Indicators_CL` - `dossier_whois_CL` - `dossier_tld_risk_CL` - `dossier_threat_actor_CL` - `dossier_rpz_feeds_records_CL` - `dossier_rpz_feeds_CL` - `dossier_nameserver_matches_CL` - `dossier_nameserver_CL` - `dossier_malware_analysis_v3_CL` - `dossier_inforank_CL` - `dossier_infoblox_web_cat_CL` - `dossier_geo_CL` - `dossier_dns_CL` - `dossier_atp_threat_CL` - `dossier_atp_CL` - `dossier_ptr_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group. - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: требуется ключ API Infoblox . Дополнительные сведения об API см. в документации по справочнику по REST API	Infoblox
Infoblox SOC Insights Data Connector через AMA Соединитель данных Infoblox SOC Insights позволяет легко подключать данные Infoblox BloxOne SOC Insights с помощью Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала. Этот соединитель данных отправляет журналы Infoblox SOC Insights CDC в рабочую область Log Analytics с помощью нового агента Azure Monitor. Learn more about ingesting using the new Azure Monitor Agent here. Корпорация Майкрософт рекомендует использовать этот соединитель данных. Таблицы Log Analytics: - `CommonSecurityLog` Поддержка правила сбора данных: Рабочая область преобразования DCR Prerequisites: — Для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Learn more — Общий формат событий (CEF) через AMA и Syslog через соединители данных AMA должен быть установлен. Learn more	Infoblox
Соединитель данных Infoblox SOC Insights через REST API Соединитель данных Infoblox SOC Insights позволяет легко подключать данные Infoblox BloxOne SOC Insights с помощью Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала. Таблицы Log Analytics: - `InfobloxInsight_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Infoblox
Соединитель данных InfoSecGlobal Используйте этот соединитель данных для интеграции с InfoSec Crypto Analytics и получения данных, отправляемых непосредственно в Microsoft Sentinel. Таблицы Log Analytics: - `InfoSecAnalytics_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	InfoSecGlobal
Аудит администратора браузера Island Enterprise (опрос CCF) The Island Admin connector provides the capability to ingest Island Admin Audit logs into Microsoft Sentinel. Таблицы Log Analytics: - `Island_Admin_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Ключ API острова: требуется ключ API острова.	Island
Активность пользователя браузера Island Enterprise (опрос CCF) The Island connector provides the capability to ingest Island User Activity logs into Microsoft Sentinel. Таблицы Log Analytics: - `Island_User_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Ключ API острова: требуется ключ API острова.	Island
Соединитель push-уведомлений Jamf Protect The Jamf Protect connector provides the capability to read raw event data from Jamf Protect in Microsoft Sentinel. Таблицы Log Analytics: - `jamfprotecttelemetryv2_CL` - `jamfprotectunifiedlogs_CL` - `jamfprotectalerts_CL` Поддержка правила сбора данных: Supported Prerequisites: - Microsoft Entra: Permission to create an app registration in Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии. - Microsoft Azure: Permission to assign Monitoring Metrics Publisher role on data collection rule (DCR). Как правило, требуется роль владельца Azure RBAC или администратора доступа пользователей	Jamf Software, LLC
LastPass Enterprise — отчеты (опрос CCF) The LastPass Enterprise connector provides the capability to LastPass reporting (audit) logs into Microsoft Sentinel. Соединитель обеспечивает видимость имен входа и действий в LastPass (например, чтение и удаление паролей). Таблицы Log Analytics: - `LastPassNativePoller_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Ключ API LastPass и CID: требуется ключ API LastPass и CID. For more information, see LastPass API.	Коллективный консультации
Lookout (с помощью функции Azure) The Lookout data connector provides the capability to ingest Lookout events into Microsoft Sentinel through the Mobile Risk API. Refer to API documentation for more information. The Lookout data connector provides ability to get events which helps to examine potential security risks and more. Таблицы Log Analytics: - `Lookout_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения API для мобильных рисков: EnterpriseName и ApiKey требуются для API мобильных рисков. For more information, see API. Проверьте все требования и следуйте инструкциям по получению учетных данных.	Lookout
Luminar IOCs и утечка учетных данных (с помощью функций Azure) Коннектор Luminar IOCs и утекших учетных данных позволяет интегрировать данные IOC, основанные на аналитике, и записи об утечках, связанные с клиентом, которые идентифицируются Luminar. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Azure Subscription: Azure Subscription with owner role is required to register an application in azure active directory() and assign role of contributor to app in resource group. - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: идентификатор клиента Luminar, секрет клиента Luminar и идентификатор учетной записи Luminar .	Cognyte Luminar
MailGuard 365 Расширенная безопасность электронной почты MailGuard 365 для Microsoft 365. Эксклюзивный для Microsoft Marketplace, MailGuard 365 интегрирован с безопасностью Microsoft 365 (включительно. Defender) для расширенной защиты от расширенных угроз электронной почты, таких как фишинг, программ-шантажистов и сложные атаки BEC. Таблицы Log Analytics: - `MailGuard365_Threats_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	MailGuard 365
MailRisk по безопасной практике (с помощью функций Azure) Соединитель данных для отправки сообщений электронной почты из MailRisk в Microsoft Sentinel Log Analytics. Таблицы Log Analytics: - `MailRiskEmails_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - API credentials: Your Secure Practice API key pair is also needed, which are created in the settings in the admin portal. Если вы потеряли секрет API, можно создать новую пару ключей (ПРЕДУПРЕЖДЕНИЕ: любые другие интеграции с помощью старой пары ключей перестают работать).	Secure Practice
Microsoft 365 (ранее — Office 365) Соединитель журнала действий Microsoft 365 (ранее — Office 365) предоставляет аналитические сведения о текущих действиях пользователей. Вы получите сведения об операциях, таких как скачивание файлов, запросы на доступ, изменения в событиях группы, наборе почтовых ящиков и сведения о пользователе, выполняющем действия. Подключив журналы Microsoft 365 к Microsoft Sentinel, эти данные можно использовать для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения процесса исследования. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `OfficeActivity` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Управление рисками предварительной оценки Microsoft 365 Microsoft 365 Insider Risk Management — это решение для обеспечения соответствия требованиям в Microsoft 365, которое помогает свести к минимуму внутренние риски, позволяя обнаруживать, исследовать и действовать на вредоносных и непреднамеренных действиях в организации. Аналитики рисков в вашей организации могут быстро выполнить соответствующие действия, чтобы убедиться, что пользователи соответствуют стандартам соответствия вашей организации. Политики внутренних рисков позволяют выполнять следующие действия. — определите типы рисков, которые необходимо определить и обнаружить в организации. — решите, какие действия следует предпринять в ответ, включая эскалацию случаев в Microsoft Advanced eDiscovery при необходимости. Это решение создает оповещения, которые могут видеть клиенты Office в решении "Управление рисками предварительной оценки" в Центре соответствия требованиям Microsoft 365. Learn More about Insider Risk Management. Эти оповещения можно импортировать в Microsoft Sentinel с помощью этого соединителя, что позволяет просматривать, исследовать и реагировать на них в более широком контексте угроз организации. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Журналы событий безопасности контроллеров домена Майкрософт Active-Directory [Вариант 3 и 4] С помощью агента Azure Monitor можно передавать часть или все журналы событий безопасности контроллеров домена с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование. Таблицы Log Analytics: - `SecurityEvent` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: — Azure Log Analytics не рекомендуется собирать данные из виртуальных машин, отличных от Azure, рекомендуется. Learn more - Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here	Community
Microsoft Dataverse Microsoft Dataverse — это масштабируемая и безопасная платформа данных, которая позволяет организациям хранить и управлять данными, используемыми бизнес-приложениями. Соединитель данных Microsoft Dataverse предоставляет возможность приема журналов действий Dataverse и Dynamics 365 CRM из журнала аудита Microsoft Purview в Microsoft Sentinel. Таблицы Log Analytics: - `DataverseActivity` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Tenant Permissions: 'Security Administrator' or 'Global Administrator' on the workspace's tenant. - Аудит Micorosft Purview: необходимо активировать аудит Microsoft Purview (стандартный или премиум). - Production Dataverse: Activity logging is available only for Production environments. Другие типы, такие как песочница, не поддерживают ведение журнала действий. - Параметры аудита dataverse: параметры аудита должны быть настроены как глобально, так и на уровне сущности или таблицы. Дополнительные сведения см. в разделе "Параметры аудита Dataverse".	Microsoft Corporation
Microsoft Defender для облачных приложений Подключаясь к Microsoft Defender для облака приложениям, вы получите представление о облачных приложениях, получите сложную аналитику для выявления и борьбы с киберугрозами и управления способом перемещения данных. — Определение теневых ОБЛАЧНЫх приложений ИТ в вашей сети. — Управление и ограничение доступа на основе условий и контекста сеанса. — Используйте встроенные или пользовательские политики для обмена данными и предотвращения потери данных. — Определение использования с высоким риском и получение оповещений для необычных действий пользователей с помощью аналитики поведения Майкрософт и возможностей обнаружения аномалий, включая действия программы-шантажисты, невозможное путешествие, подозрительные правила пересылки электронной почты и массовую загрузку файлов. — массовая загрузка файлов Развертывание сейчас > Таблицы Log Analytics: - `SecurityAlert` - `McasShadowItReporting` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Microsoft Defender для конечной точки Microsoft Defender для конечной точки — это платформа безопасности, которая позволяет предотвращать, обнаруживать, исследовать сложные угрозы и реагировать на них. Платформа создает предупреждения, когда в организации обнаруживаются подозрительные события безопасности. Получение в Microsoft Sentinel предупреждений, созданных в Microsoft Defender для конечной точки, чтобы можно было эффективно анализировать события безопасности. Можно создавать правила, строить панели мониторинга и разрабатывать сборники схем для немедленного реагирования. Дополнительные сведения см. в документации >по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Microsoft Defender для удостоверений Подключите Microsoft Defender для удостоверений, чтобы получить представление о событиях и аналитике пользователей. Microsoft Defender для удостоверений определяет, обнаруживает и помогает исследовать расширенные угрозы, скомпрометированные удостоверения и вредоносные действия, направленные на вашу организацию. Microsoft Defender для удостоверений позволяет аналитикам SecOp и специалистам по безопасности обнаруживать расширенные атаки в гибридных средах: — мониторинг пользователей, поведения сущностей и действий с помощью аналитики на основе обучения — защита удостоверений пользователей и учетных данных, хранящихся в Active Directory — Выявление и исследование подозрительных действий пользователей и расширенных атак в цепочке убийств — Предоставление четкой информации об инциденте на простой временной шкале для быстрого выполнения Попробуйте сейчас > Развертывание сейчас > Дополнительные сведения см. в документации >по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Microsoft Defender для Интернета вещей Получите аналитические сведения о безопасности в Интернете вещей, подключив оповещения Microsoft Defender для Интернета вещей в Microsoft Sentinel. Вы можете получить встроенные метрики и данные оповещений, включая тренды для оповещений, топ оповещений и разбивку оповещений по степени серьезности. Вы также можете получить сведения о рекомендациях, предоставленных центрам Интернета вещей, включая топ рекомендаций и рекомендации по степени серьезности. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Microsoft Defender для Office 365 (предварительная версия) Microsoft Defender для Office 365 защищает вашу организацию от вредоносных угроз, связанных с сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы. При приеме оповещений Microsoft Defender для Office 365 в Microsoft Sentinel вы можете включить сведения об угрозах на основе электронной почты и URL-адресов в более широкий анализ рисков и сценарии реагирования на сборку соответствующим образом. Будут импортированы следующие типы оповещений. — обнаружен потенциально вредоносный URL-адрес — Сообщения электронной почты, содержащие вредоносные программы, удаленные после доставки — Сообщения электронной почты, содержащие фишинговые URL-адреса, удаленные после доставки — Сообщение электронной почты, сообщаемое пользователем как вредоносные программы или фишинг — обнаруженные шаблоны отправки подозрительных сообщений электронной почты — пользователь, ограниченный от отправки электронной почты Эти оповещения можно увидеть клиентами Office в Центре безопасности и соответствия требованиям Office. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных:** В настоящее время не поддерживается	Microsoft Corporation
Аналитика угроз в Microsoft Defender Microsoft Sentinel предоставляет возможность импорта аналитики угроз, созданной корпорацией Майкрософт, для включения мониторинга, оповещения и охоты. Используйте этот соединитель данных для импорта индикаторов компрометации (IOCs) из Аналитика угроз Microsoft Defender (MDTI) в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов и т. д. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Microsoft Defender XDR XDR в Microsoft Defender — это единый, встроенный, предварительно и после брейщовый набор защиты предприятия, который защищает конечную точку, удостоверение, электронную почту и приложения и помогает обнаруживать, предотвращать, исследовать и автоматически реагировать на сложные угрозы. Набор XDR в Microsoft Defender включает: — Microsoft Defender для конечной точки — Microsoft Defender для удостоверений — Microsoft Defender для Office 365 — Управление угрозами и уязвимостями — Microsoft Defender для облачных приложений Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityIncident` - `SecurityAlert` - `DeviceEvents` - `EmailEvents` - `IdentityLogonEvents` - `CloudAppEvents` - `AlertEvidence` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Идентификатор Microsoft Entra Получите аналитические сведения об идентификаторе Microsoft Entra, подключив журналы аудита и входа в Microsoft Sentinel для сбора аналитических сведений о сценариях идентификатора Microsoft Entra ID. Журналы входа предоставляют сведения об использовании приложений, политиках условного доступа, а также об устаревшем способе проверки подлинности. Вы можете получить сведения об использовании самостоятельного сброса пароля (SSPR), действиях управления идентификаторами Microsoft Entra, таких как пользователь, группа, роль, управление приложениями с помощью таблицы журналов аудита. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SigninLogs` - `AuditLogs` - `AADNonInteractiveUserSignInLogs` - `AADServicePrincipalSignInLogs` - `AADManagedIdentitySignInLogs` - `AADProvisioningLogs` - `ADFSSignInLogs` - `AADUserRiskEvents` - `AADRiskyUsers` - `NetworkAccessTraffic` - `AADRiskyServicePrincipals` - `AADServicePrincipalRiskEvents` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Защита идентификаторов Microsoft Entra Защита идентификации Microsoft Entra предоставляет консолидированное представление о пользователях риска, событиях рисках и уязвимостях с возможностью немедленного устранения рисков и настройке политик для автоматического исправления будущих событий. Эта служба создана на основе опыта корпорации Майкрософт в области защиты идентификации пользователей и работает чрезвычайно точно, получая сведения о более чем 13 миллиардах входов в день. Интеграция оповещений Microsoft Защита идентификации Microsoft Entra с Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения исследования. Дополнительные сведения см. в документации по Microsoft Sentinel. Получение идентификатора Microsoft Entra ID Premium P1/P2 Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Журналы аудита администратора Microsoft Exchange по журналам событий [Вариант 1] С помощью агента Azure Monitor можно передавать все события аудита Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. Это используется книгами безопасности Microsoft Exchange для предоставления аналитических сведений о безопасности локальной среды Exchange. Таблицы Log Analytics: - `Event` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: — Azure Log Analytics не рекомендуется собирать данные из виртуальных машин, отличных от Azure, рекомендуется. Learn more - Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here	Community
Журналы прокси-сервера HTTP Microsoft Exchange [Вариант 7] С помощью агента Azure Monitor можно передавать журналы HTTP-прокси и журналы событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование. Learn more Таблицы Log Analytics: - `ExchangeHttpProxy_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Azure Log Analytics будет нерекомендуем: Azure Log Analytics будет не рекомендуется собирать данные из виртуальных машин, отличных от Azure, Azure Arc рекомендуется. Learn more - Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here	Community
Журналы и события Microsoft Exchange [Вариант 2] С помощью агента Azure Monitor можно передавать все журналы событий Безопасности и приложений Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование. Таблицы Log Analytics: - `Event` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Azure Log Analytics будет нерекомендуем: Azure Log Analytics будет не рекомендуется собирать данные из виртуальных машин, отличных от Azure, Azure Arc рекомендуется. Learn more - Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here	Community
Журналы отслеживания сообщений Microsoft Exchange [Вариант 6] С помощью агента Azure Monitor можно передавать все сообщения Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Эти журналы можно использовать для отслеживания потока сообщений в среде Exchange. Этот соединитель данных основан на варианте 6 вики-сайта Безопасности Microsoft Exchange. Таблицы Log Analytics: - `MessageTrackingLog_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Azure Log Analytics будет нерекомендуем: Azure Log Analytics будет не рекомендуется собирать данные из виртуальных машин, отличных от Azure, Azure Arc рекомендуется. Learn more - Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here	Community
Microsoft Power Automate Power Automate — это служба Майкрософт, которая помогает пользователям создавать автоматизированные рабочие процессы между приложениями и службами для синхронизации файлов, получения уведомлений, сбора данных и т. д. Она упрощает автоматизацию задач, повышает эффективность, уменьшая ручную, повторяющуюся задачу и повышая производительность. Соединитель данных Power Automate предоставляет возможность приема журналов действий Power Automate из журнала аудита Microsoft Purview в Microsoft Sentinel. Таблицы Log Analytics: - `PowerAutomateActivity` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Tenant Permissions: 'Security Administrator' or 'Global Administrator' on the workspace's tenant. - Аудит Micorosft Purview: необходимо активировать аудит Microsoft Purview (стандартный или премиум).	Microsoft Corporation
Действие администратора Microsoft Power Platform Microsoft Power Platform — это набор с низким кодом или без кода, который позволяет разработчикам граждан и профессиональным разработчикам оптимизировать бизнес-процессы, позволяя создавать пользовательские приложения, автоматизацию рабочих процессов и анализ данных с минимальным кодом. Соединитель данных администратора Power Platform предоставляет возможность приема журналов действий администратора Power Platform из журнала аудита Microsoft Purview в Microsoft Sentinel. Таблицы Log Analytics: - `PowerPlatformAdminActivity` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Tenant Permissions: 'Security Administrator' or 'Global Administrator' on the workspace's tenant. - Аудит Micorosft Purview: необходимо активировать аудит Microsoft Purview (стандартный или премиум).	Microsoft Corporation
Microsoft PowerBI Microsoft PowerBI — это коллекция программных служб, приложений и соединителей, которые работают вместе, чтобы превратить несвязанные источники данных в последовательные, визуально иммерсивные и интерактивные аналитические сведения. Данные могут быть электронной таблицей Excel, коллекцией облачных и локальных гибридных хранилищ данных или хранилищем данных другого типа. Этот соединитель позволяет передавать журналы аудита PowerBI в Microsoft Sentinel, позволяя отслеживать действия пользователей в среде PowerBI. Вы можете фильтровать данные аудита по диапазону дат, пользователю, панели мониторинга, отчету, набору данных и типу действия. Таблицы Log Analytics: - `PowerBIActivity` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Microsoft Project Microsoft Project (MSP) — это программное обеспечение для управления проектами. В зависимости от плана Microsoft Project позволяет планировать проекты, назначать задачи, управлять ресурсами, создавать отчеты и многое другое. Этот соединитель позволяет передавать журналы аудита Проекта Azure в Microsoft Sentinel, чтобы отслеживать действия проекта. Таблицы Log Analytics: - `ProjectActivity` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft
Microsoft Purview Подключитесь к Microsoft Purview, чтобы включить обогащение конфиденциальности данных Microsoft Sentinel. Журналы классификации данных и меток конфиденциальности из сканирований Microsoft Purview можно получать и визуализировать с помощью книг, аналитических правил и т. д. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `PurviewDataSensitivityLogs` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Microsoft Purview Information Protection Microsoft Purview Information Protection помогает обнаруживать, классифицировать, защищать конфиденциальные данные и управлять ими, независимо от места расположения или перемещения. С помощью этих возможностей вы можете узнать данные, определить элементы, которые чувствительны и получить представление о том, как они используются для более эффективной защиты данных. Метки конфиденциальности — это базовая возможность, которая обеспечивает действия защиты, применение шифрования, ограничений доступа и визуальных пометок. Интеграция журналов Защита информации Microsoft Purview с Microsoft Sentinel для просмотра панелей мониторинга, создания пользовательских оповещений и улучшения исследования. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `MicrosoftPurviewInformationProtection` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Аудит Mimecast (с помощью функций Azure) The data connector for Mimecast Audit provides customers with the visibility into security events related to audit and authentication events within Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения о действиях пользователей, помочь в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений. Продукты Mimecast, включенные в соединитель, : Audit Таблицы Log Analytics: - `Audit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group. - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.	Mimecast
Аудит Mimecast и проверка подлинности (с помощью функций Azure) Коннектор данных для Mimecast Audit & Authentication обеспечивает клиентам возможность видеть события безопасности, связанные с событиями аудита и проверки подлинности в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения о действиях пользователей, помочь в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений. Продукты Mimecast, включенные в соединитель, : Аудит и проверка подлинности Таблицы Log Analytics: - `MimecastAudit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации: — mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast — mimecastPassword: пароль для выделенного пользователя администратора Mimecast — mimecastAppId: идентификатор приложения API Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast — mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast — mimecastBaseURL: URL-адрес базового API Mimecast для регионального API > Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование \| Службы \| Интеграция API и платформы. > Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/ - Resource group: You need to have a resource group created with a subscription you are going to use. - Functions app: You need to have an Azure App registered for this connector to use 1. Идентификатор приложения 2. Идентификатор клиента 3. Идентификатор клиента 4. Секрет клиента	Mimecast
Обучение осведомленности Mimecast (с помощью функций Azure) Соединитель данных для Mimecast Awareness Training предоставляет клиентам видимость событий безопасности, связанных с технологиями проверки целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Продукты Mimecast, включенные в соединитель, : — сведения о производительности - Сведения о безопасной оценке — Пользовательские данные — Сведения о списке наблюдения Таблицы Log Analytics: - `Awareness_Performance_Details_CL` - `Awareness_SafeScore_Details_CL` - `Awareness_User_Data_CL` - `Awareness_Watchlist_Details_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group. - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.	Mimecast
Mimecast Cloud Integrated (using Azure Functions) Соединитель данных для Mimecast Cloud Integrated предоставляет клиентам видимость событий безопасности, связанных с технологиями облачной интегрированной проверки в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Таблицы Log Analytics: - `Cloud_Integrated_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group. - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.	Mimecast
Mimecast Intelligence для Майкрософт — Microsoft Sentinel (с помощью функций Azure) Соединитель данных для Mimecast Intelligence для Майкрософт предоставляет региональную аналитику угроз, курированную с помощью технологий проверки электронной почты Mimecast с предварительно созданными панелями мониторинга, чтобы аналитики могли просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на расследование. Необходимые продукты и функции Mimecast: — Безопасный шлюз электронной почты Mimecast — Аналитика угроз Mimecast Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации: — mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast — mimecastPassword: пароль для выделенного пользователя администратора Mimecast — mimecastAppId: идентификатор приложения API Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast — mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast — mimecastBaseURL: URL-адрес базового API Mimecast для регионального API > Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование \| Службы \| Интеграция API и платформы. > Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/ - Resource group: You need to have a resource group created with a subscription you are going to use. - Functions app: You need to have an Azure App registered for this connector to use 1. Идентификатор приложения 2. Идентификатор клиента 3. Идентификатор клиента 4. Секрет клиента	Mimecast
Безопасный шлюз электронной почты Mimecast (с помощью функций Azure) Соединитель данных для Шлюза безопасной электронной почты Mimecast позволяет легко собирать лог-файлы из Шлюза безопасной электронной почты, чтобы получать аналитическую информацию и отслеживать активность пользователей в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Необходимые продукты и функции Mimecast: — Безопасный шлюз электронной почты Mimecast — Предотвращение утечки данных Mimecast Таблицы Log Analytics: - `MimecastSIEM_CL` - `MimecastDLP_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации: — mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast — mimecastPassword: пароль для выделенного пользователя администратора Mimecast — mimecastAppId: идентификатор приложения API Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast — mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast — mimecastBaseURL: URL-адрес базового API Mimecast для регионального API > Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование \| Службы \| Интеграция API и платформы. > Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/ - Resource group: You need to have a resource group created with a subscription you are going to use. - Functions app: You need to have an Azure App registered for this connector to use 1. Идентификатор приложения 2. Идентификатор клиента 3. Идентификатор клиента 4. Секрет клиента	Mimecast
Безопасный шлюз электронной почты Mimecast (с помощью функций Azure) Соединитель данных для Шлюза безопасной электронной почты Mimecast позволяет легко собирать лог-файлы из Шлюза безопасной электронной почты, чтобы получать аналитическую информацию и отслеживать активность пользователей в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Необходимые продукты и функции Mimecast: — Облачный шлюз Mimecast — Предотвращение утечки данных Mimecast Таблицы Log Analytics: - `Seg_Cg_CL` - `Seg_Dlp_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group. - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.	Mimecast
Mimecast Targeted Threat Protection (using Azure Functions) Соединитель данных для Mimecast Targeted Threat Protection предоставляет клиентам видимость событий безопасности, связанных с технологиями проверки целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Продукты Mimecast, включенные в соединитель, : — защита URL-адреса — защита олицетворения — защита вложений Таблицы Log Analytics: - `MimecastTTPUrl_CL` - `MimecastTTPAttachment_CL` - `MimecastTTPImpersonation_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API. Для настройки интеграции вам потребуется следующее: — mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast — mimecastPassword: пароль для выделенного пользователя администратора Mimecast — mimecastAppId: идентификатор приложения API Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast — mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast — mimecastBaseURL: URL-адрес базового API Mimecast для регионального API > Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование \| Службы \| Интеграция API и платформы. > Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/	Mimecast
Mimecast Targeted Threat Protection (using Azure Functions) Соединитель данных для Mimecast Targeted Threat Protection предоставляет клиентам видимость событий безопасности, связанных с технологиями проверки целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Продукты Mimecast, включенные в соединитель, : — защита URL-адреса — защита олицетворения — защита вложений Таблицы Log Analytics: - `Ttp_Url_CL` - `Ttp_Attachment_CL` - `Ttp_Impersonation_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group. - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.	Mimecast
MISP2Sentinel Это решение устанавливает соединитель MISP2Sentinel, который позволяет автоматически отправлять индикаторы угроз из MISP в Microsoft Sentinel через REST API отправки индикаторов. После установки решения настройте и включите этот соединитель данных, следуя инструкциям в представлении решения "Управление". Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящее время не поддерживается	Community
MuleSoft Cloudhub (с помощью функций Azure) The MuleSoft Cloudhub data connector provides the capability to retrieve logs from Cloudhub applications using the Cloudhub API and more events into Microsoft Sentinel through the REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `MuleSoft_Cloudhub_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername и MuleSoftPassword необходимы для вызова API.	Microsoft Corporation
NC Protect NC Protect Data Connector (archtis.com) предоставляет возможность приема журналов и событий пользователя в Microsoft Sentinel. Соединитель обеспечивает видимость журналов действий и событий защиты пользователей в Microsoft Sentinel для улучшения возможностей мониторинга и исследования. Таблицы Log Analytics: - `NCProtectUAL_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - NC Protect: You must have a running instance of NC Protect for O365. Please contact us.	archTIS
Netclean ProActive Incidents Этот соединитель использует Netclean Webhook (необходимый) и Logic Apps для загрузки данных в Log Analytics Microsoft Sentinel. Таблицы Log Analytics: - `Netclean_Incidents_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	NetClean
Оповещения и события Netskope Оповещения и события безопасности Netskope Таблицы Log Analytics: - `NetskopeAlerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - URL-адрес организации Netskope: соединитель данных Netskope требует предоставления URL-адреса организации. Url-адрес организации можно найти, войдите на портал Netskope. - Ключ API Netskope: соединитель данных Netskope требует предоставления допустимого ключа API. You can create one by following the Netskope documentation.	Netskope
Соединитель данных Netskope (с помощью функций Azure) The Netskope data connector provides the following capabilities: 1. NetskopeToAzureStorage: >* Получение данных о оповещениях и событиях Netskope из Netskope и приема в хранилище Azure. 2. StorageToSentinel: >* Получение данных о оповещениях и событиях Netskope из хранилища Azure и приема в настраиваемую таблицу журналов в рабочей области Log Analytics. 3. WebTxMetrics: >* Получение данных WebTxMetrics из Netskope и прием в настраиваемую таблицу журналов в рабочей области Log Analytics. Дополнительные сведения о REST API см. в следующих документациях: 1. Документация по API Netskope: > https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/ 2. Документация по службе хранилища Azure: > /azure/storage/common/storage-introduction 3. Документация по аналитике журналов Майкрософт: > /azure/azure-monitor/logs/log-analytics-overview Таблицы Log Analytics: - `alertscompromisedcredentialdata_CL` - `alertsctepdata_CL` - `alertsdlpdata_CL` - `alertsmalsitedata_CL` - `alertsmalwaredata_CL` - `alertspolicydata_CL` - `alertsquarantinedata_CL` - `alertsremediationdata_CL` - `alertssecurityassessmentdata_CL` - `alertsubadata_CL` - `eventsapplicationdata_CL` - `eventsauditdata_CL` - `eventsconnectiondata_CL` - `eventsincidentdata_CL` - `eventsnetworkdata_CL` - `eventspagedata_CL` - `Netskope_WebTx_metrics_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Azure Subscription: Azure Subscription with owner role is required to register an application in azure active directory() and assign role of contributor to app in resource group. - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: требуется клиент Netskope и токен API Netskope . Дополнительные сведения об API см. в документации по справочнику по REST API	Netskope
Соединитель данных веб-транзакций Netskope (с помощью функций Azure) Соединитель данных Netskope Web Transactions предоставляет функциональные возможности образа Docker для извлечения данных Netskope Web Transactions из google pubsublite, обработки данных и приема обработанных данных в Log Analytics. В рамках этого соединителя данных две таблицы будут сформированы в Log Analytics, одна для данных веб-транзакций и другая для ошибок, возникающих во время выполнения. Дополнительные сведения о веб-транзакциях см. в следующей документации: 1. Документация по веб-транзакциям Netskope: > https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/ Таблицы Log Analytics: - `NetskopeWebtxData_CL` - `NetskopeWebtxErrors_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Azure Subscription: Azure Subscription with owner role is required to register an application in Microsoft Entra ID and assign role of contributor to app in resource group. - Microsoft.Compute permissions: Read and write permissions to Azure VMs is required. For more information, see Azure VMs. - Учетные данные и разрешения transactionEvents: требуется клиент Netskope и токен API Netskope. For more information, see Transaction Events. - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.	Netskope
Группы безопасности сети Группы безопасности сети Azure (NSG) позволяют фильтровать сетевой трафик в ресурсы Azure и из нее в виртуальной сети Azure. Группа безопасности сети включает правила, разрешающие или запрещающие трафик в подсеть виртуальной сети, сетевой интерфейс или оба. При включении ведения журнала для NSG можно собрать следующие типы данных журнала ресурсов: - Event: Entries are logged for which NSG rules are applied to VMs, based on MAC address. - Rule counter: Contains entries for how many times each NSG rule is applied to deny or allow traffic. Состояние этих правил регистрируется каждые 300 секунд. Этот соединитель позволяет передавать журналы NSG диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Единый вход Okta Соединитель данных "Единый вход" Okta Single Sign-On (SSO) предоставляет возможность приема журналов аудита и событий из API журнала Okta Sysem в Microsoft Sentinel. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework и использует API системного журнала Okta для получения событий. Соединитель поддерживает преобразования времени приема данных на основе DCR, которые анализируют полученные данные событий безопасности в настраиваемые столбцы, чтобы запросы не должны повторно анализировать их, что приводит к повышению производительности. Таблицы Log Analytics: - `OktaSSO` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Токен API Okta: маркер API Okta. Follow the following instructions to create an See the documentation to learn more about Okta System Log API.	Microsoft Corporation
Единый Sign-On Okta (с помощью функций Azure) Соединитель единого входа Okta предоставляет возможность приема журналов аудита и событий из API Okta в Microsoft Sentinel. Соединитель обеспечивает видимость этих типов журналов в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования. Таблицы Log Analytics: - `Okta_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Маркер API Okta: требуется маркер API Okta. Дополнительные сведения об API системного журнала Okta см. в документации.	Microsoft Corporation
Платформа IAM OneLogin (с помощью платформы соединителей без кода) The OneLogin data connector provides the capability to ingest common OneLogin IAM Platform events into Microsoft Sentinel through REST API by using OneLogin Events API and OneLogin Users API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `OneLoginEventsV2_CL` - `OneLoginUsersV2_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Учетные данные API OneLogin IAM. Чтобы создать учетные данные API, перейдите по ссылке документа, предоставленной здесь, щелкните здесь. Убедитесь, что у владельца учетной записи или администратора есть тип учетной записи, чтобы создать учетные данные API. После создания учетных данных API вы получите идентификатор клиента и секрет клиента.	Microsoft Corporation
Инфраструктура Oracle Cloud (с помощью функций Azure) The Oracle Cloud Infrastructure (OCI) data connector provides the capability to ingest OCI Logs from OCI Stream into Microsoft Sentinel using the OCI Streaming REST API. Таблицы Log Analytics: - `OCI_Logs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные API OCI: файл конфигурации ключа API и закрытый ключ требуются для подключения API OCI. Дополнительные сведения о создании ключей для доступа к API см. в документации	Microsoft Corporation
Оповещения системы безопасности Orca Соединитель оповещений системы безопасности Orca позволяет легко экспортировать журналы оповещений в Microsoft Sentinel. Таблицы Log Analytics: - `OrcaAlerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Orca Security
Palo Alto Cortex XDR Соединитель данных Palo Alto Cortex XDR позволяет прием журналов из API XDR Palo Alto Cortex в Microsoft Sentinel. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework. Он использует API XDR Palo Alto Cortex XDR для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не нуждались в повторном анализе, что приводит к повышению производительности. Таблицы Log Analytics: - `PaloAltoCortexXDR_Incidents_CL` - `PaloAltoCortexXDR_Endpoints_CL` - `PaloAltoCortexXDR_Audit_Management_CL` - `PaloAltoCortexXDR_Audit_Agent_CL` - `PaloAltoCortexXDR_Alerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Palo Alto Prisma Cloud CSPM (с помощью функций Azure) Соединитель данных Palo Alto Prisma Cloud CSPM предоставляет возможность приема оповещений Prisma Cloud CSPM и журналов аудита в Microsoft sentinel с помощью API Prisma Cloud CSPM. Дополнительные сведения см. в документации по API PRisma Cloud CSPM. Таблицы Log Analytics: - `PaloAltoPrismaCloudAlert_CL` - `PaloAltoPrismaCloudAudit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные API Для облака Palo Alto Prisma Cloud API: URL-адрес API Prisma Cloud, идентификатор ключа доступа к cloud Prisma Cloud Key, Prisma Cloud Secret Key требуется для подключения к облачному API Prisma. Дополнительные сведения о создании ключа доступа к cloud Access Prisma и получении URL-адреса API Prisma Cloud См. в документации.	Microsoft Corporation
Palo Alto Prisma Cloud CWPP (с помощью REST API) Соединитель данных Palo Alto Prisma Cloud CWPP позволяет подключаться к экземпляру Palo Alto Prisma Cloud CWPP и приему оповещений в Microsoft Sentinel. Соединитель данных основан на платформе соединителя Без кода Microsoft Sentinel и использует API Prisma Cloud для получения событий безопасности и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные события безопасности в настраиваемые столбцы, чтобы запросы не должны повторно анализировать их, что приводит к повышению производительности. Таблицы Log Analytics: - `PrismaCloudCompute_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Ключ API PrismaCloudCompute: требуется имя пользователя и пароль API Palo Alto Prisma Cloud CWPP Monitor. Дополнительные сведения см. в разделе API SIEM PrismaCloudCompute.	Microsoft Corporation
Журналы действий Периметра 81 Соединитель журналов действий Периметра 81 позволяет легко подключать журналы действий Периметра 81 с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Таблицы Log Analytics: - `Perimeter81_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Perimeter 81
Phosphorus Devices Соединитель устройств Изфоруса предоставляет возможность приема журналов данных устройства в Microsoft Sentinel с помощью REST API для фосфора. Соединитель обеспечивает видимость устройств, зарегистрированных в Фосфоре. Этот соединитель данных извлекает сведения о устройствах вместе с соответствующими оповещениями. Таблицы Log Analytics: - `Phosphorus_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Учетные данные и разрешения REST API: требуется ключ API Для фосфора . Убедитесь, что ключ API, связанный с пользователем, имеет разрешения на управление параметрами. Следуйте этим инструкциям, чтобы включить разрешения "Управление параметрами". 1. Войдите в приложение «Фосфор» 2. Перейдите в раздел "Параметры" —> "Группы" 3. Выберите группу пользователя интеграции является частью 4. Перейдите к разделу "Действия продукта" —> переключите разрешение "Управление параметрами".	Phosphorus Inc.
Соединитель данных Prancer The Prancer Data Connector has provides the capability to ingest Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] and PAC data to process through Microsoft Sentinel. Refer to Prancer Documentation for more information. Таблицы Log Analytics: - `prancer_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Включите настраиваемые предварительные требования, если для подключения требуется - в противном случае удалите таможни: описание любого пользовательского предварительного требования	Интеграция Prancer PenSuiteAI
Аналитика угроз Microsoft Defender уровня "Премиум" Microsoft Sentinel предоставляет возможность импорта аналитики угроз, созданной корпорацией Майкрософт, для включения мониторинга, оповещения и охоты. Используйте этот соединитель данных для импорта индикаторов компрометации (IOCs) из premium Аналитика угроз Microsoft Defender (MDTI) в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов и т. д. Примечание. Это платный соединитель. Чтобы использовать и прием данных из него, приобретите номер SKU "ДОСТУП к API MDTI" из Центра партнеров. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Проверка безопасности электронной почты по запросу (с помощью платформы соединителей без кода) Соединитель данных Proofpoint On Demand Email Security обеспечивает получение данных Proofpoint on Demand Email Protection, позволяет пользователям проверять прослеживаемость сообщений, проводить мониторинг активности электронной почты, угроз и кражи данных злоумышленниками и злонамеренными инсайдерами. Коннектор предоставляет возможность просматривать события в вашей организации на ускоренной основе и получать файлы журналов событий с почасовым интервалом для недавних действий. Таблицы Log Analytics: - `ProofpointPODMailLog_CL` - `ProofpointPODMessage_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Учетные данные и разрешения API Websocket: ProofpointClusterID и ProofpointToken необходимы. For more information, see API.	Microsoft Corporation
Proofpoint TAP (с помощью платформы соединителей без кода) Соединитель Proofpoint Targeted Attack Protection (TAP) предоставляет возможность приема журналов и событий Proofpoint TAP в Microsoft Sentinel. Соединитель обеспечивает видимость событий Message и Click в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования. Таблицы Log Analytics: - `ProofPointTAPMessagesDeliveredV2_CL` - `ProofPointTAPMessagesBlockedV2_CL` - `ProofPointTAPClicksPermittedV2_CL` - `ProofPointTAPClicksBlockedV2_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Ключ API Proofpoint TAP: субъект-служба API Proofpoint TAP и секрет требуются для доступа к API SIEM Для проверки подлинности. Дополнительные сведения см. в разделе API Proofpoint SIEM.	Microsoft Corporation
Qualys VM KnowledgeBase (с помощью функций Azure) Коннектор KnowledgeBase (KB) Qualys Управление уязвимостями (VM) предоставляет возможность получения последних данных об уязвимостях из Qualys KB в Microsoft Sentinel. Эти данные могут использоваться для корреляции и обогащения выявленных уязвимостей, обнаруженных соединителем данных Qualys Vulnerability Management (VM). Таблицы Log Analytics: - `QualysKB_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Ключ API Qualys: требуется имя пользователя и пароль API виртуальных машин Qualys. Дополнительные сведения см. в разделе API виртуальных машин Qualys.	Microsoft Corporation
Управление уязвимостями Qualys (с помощью платформы соединителей без кода) Соединитель данных Qualys Vulnerability Management (VM) предоставляет возможность приема данных обнаружения узлов уязвимостей в Microsoft Sentinel через API Qualys. Соединитель обеспечивает видимость данных об обнаружении узлов из проверок вольверности. Таблицы Log Analytics: - `QualysHostDetectionV3_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Доступ к API и роли. Убедитесь, что пользователь виртуальной машины Qualys имеет роль читателя или более поздней версии. Если роль — читатель, убедитесь, что для учетной записи включен доступ к API. Роль аудитора не поддерживается для доступа к API. Дополнительные сведения см. в документе api обнаружения узлов виртуальных машин Qualys и сравнения ролей пользователей .	Microsoft Corporation
Radiflow iSID через AMA iSID обеспечивает неразрушительный мониторинг распределенных сетей ICS для изменений в топологии и поведении, используя несколько пакетов безопасности, каждый из которых предлагает уникальную возможность, относящуюся к конкретному типу сетевой активности. Таблицы Log Analytics: - `RadiflowEvent` Поддержка правила сбора данных: В настоящее время не поддерживается	Radiflow
Отчеты об управлении уязвимостями платформы Rapid7 Insights (с помощью функций Azure) Соединитель данных отчета об отчете виртуальной машины Rapid7 Insights предоставляет возможность приема отчетов сканирования и данных уязвимостей в Microsoft Sentinel с помощью REST API из платформы Rapid7 Insights (управляемой в облаке). Refer to API documentation for more information. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `NexposeInsightVMCloud_assets_CL` - `NexposeInsightVMCloud_vulnerabilities_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные REST API: InsightsVMAPIKey требуется для REST API. For more information, see API. Проверьте все требования и следуйте инструкциям по получению учетных данных	Microsoft Corporation
Соединитель облачных данных Rubrik Security (с помощью функций Azure) Соединитель облачных данных Rubrik Security позволяет группам по операциям безопасности интегрировать аналитические сведения из служб наблюдения за данными Rubrik в Microsoft Sentinel. Эти аналитические сведения включают идентификацию аномального поведения файловой системы, связанного с программ-шантажистов и массовым удалением, оценку радиуса взрыва атаки программы-шантажистов и операторов конфиденциальных данных, чтобы определить приоритеты и быстрее исследовать потенциальные инциденты. Таблицы Log Analytics: - `Rubrik_Anomaly_Data_CL` - `Rubrik_Ransomware_Data_CL` - `Rubrik_ThreatHunt_Data_CL` - `Rubrik_Events_Data_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.	Rubrik
SaaS Security Подключает платформу безопасности SaaS Valence Azure Log Analytics через интерфейс REST API Таблицы Log Analytics: - `ValenceAlert_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Valence Security
SailPoint IdentityNow (с помощью функции Azure) The SailPoint IdentityNow data connector provides the capability to ingest [SailPoint IdentityNow] search events into Microsoft Sentinel through the REST API. Соединитель предоставляет клиентам возможность извлекать сведения аудита из своего клиента IdentityNow. Он предназначен для того, чтобы упростить перенос пользовательской активности и мероприятий по управлению IdentityNow в Microsoft Sentinel для улучшения аналитики вашего решения для мониторинга инцидентов безопасности и событий. Таблицы Log Analytics: - `SailPointIDN_Events_CL` - `SailPointIDN_Triggers_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные проверки подлинности API SailPoint IdentityNow: TENANT_ID, CLIENT_ID и CLIENT_SECRET требуются для проверки подлинности.	N/A
Cloud Salesforce Service Cloud (via Codeless Connector Framework) (предварительная версия) Соединитель данных Salesforce Service Cloud предоставляет возможность приема сведений о рабочих событиях Salesforce в Microsoft Sentinel через REST API. Соединитель предоставляет возможность просматривать события в организации на ускоренной основе, получать файлы журналов событий почасового увеличения для последних действий. Таблицы Log Analytics: - `SalesforceServiceCloudV2_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Доступ к облачному API Salesforce: требуется доступ к облачному API Службы Salesforce через подключенное приложение.	Microsoft Corporation
Samsung Knox Asset Intelligence (предварительная версия) Samsung Knox Asset Intelligence Data Connector позволяет централизировать события и журналы мобильной безопасности для просмотра настраиваемых аналитических сведений с помощью шаблона книги и выявления инцидентов на основе шаблонов правил аналитики. Таблицы Log Analytics: - `Samsung_Knox_Audit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Entra app: An Entra app needs to be registered and provisioned with ‘Microsoft Metrics Publisher’ role and configured with either Certificate or Client Secret as credentials for secure data transfer. Дополнительные сведения о создании, регистрации и настройке учетных данных записей см. в руководстве по приему журналов.	Samsung Electronics Co., Ltd.
SAP BTP Платформа SAP Business Technology Platform (SAP BTP) объединяет управление данными, аналитику, искусственный интеллект, разработку приложений, автоматизацию и интеграцию в одной единой среде. Таблицы Log Analytics: - `SAPBTPAuditLog_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Идентификатор клиента и секрет клиента для API получения аудита: включение доступа к API в BTP.	Microsoft Corporation
Sap Enterprise Threat Detection, cloud edition Соединитель данных SAP Enterprise Threat Detection, cloud edition (ETD) позволяет прием оповещений системы безопасности из ETD в Microsoft Sentinel, поддерживая кросс-корреляцию, оповещения и поиск угроз. Таблицы Log Analytics: - `SAPETDAlerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Идентификатор клиента и секрет клиента для API извлечения ETD: включение доступа к API в ETD.	SAP
SAP LogServ (RISE), частный выпуск S/4HANA Cloud SAP LogServ — это служба SAP Enterprise Cloud Services (ECS), предназначенная для сбора, хранения, пересылки и доступа к журналам. LogServ центрирует журналы из всех систем, приложений и служб ECS, используемых зарегистрированным клиентом. Основные функции: Почти коллекция журналов в режиме реального времени: возможность интегрироваться в Microsoft Sentinel в качестве решения SIEM. LogServ дополняет существующий мониторинг угроз и обнаружение угроз на уровне приложений SAP в Microsoft Sentinel с типами журналов, принадлежащими SAP ECS в качестве поставщика системы. К ним относятся такие журналы: журнал аудита безопасности SAP (AS ABAP), база данных HANA, AS JAVA, ICM, веб-диспетчер SAP, SAP Cloud Connector, OS, шлюз SAP, 3-сторонная база данных, сеть, DNS, прокси-сервер, брандмауэр Таблицы Log Analytics: - `SAPLogServ_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft Entra: Permission to create an app registration in Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии. - Microsoft Azure: Permission to assign Monitoring Metrics Publisher role on data collection rules. Обычно требуется роль владельца Azure RBAC или администратора доступа пользователей.	SAP
SenservaPro (Preview) Соединитель данных SenservaPro предоставляет возможность просмотра журналов сканирования SenservaPro. Просмотр панелей мониторинга данных, использование запросов для поиска и изучения и создания пользовательских оповещений. Таблицы Log Analytics: - `SenservaPro_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Senserva
SentinelOne The SentinelOne data connector allows ingesting logs from the SentinelOne API into Microsoft Sentinel. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework. Он использует API SentinelOne для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не должны повторно анализировать их, что приводит к повышению производительности. Таблицы Log Analytics: - `SentinelOneActivities_CL` - `SentinelOneAgents_CL` - `SentinelOneGroups_CL` - `SentinelOneThreats_CL` - `SentinelOneAlerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
SentinelOne (с помощью функций Azure) The SentinelOne data connector provides the capability to ingest common SentinelOne server objects such as Threats, Agents, Applications, Activities, Policies, Groups, and more events into Microsoft Sentinel through the REST API. Дополнительные сведения см. в документации по API: `https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview`. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `SentinelOne_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: требуется SentinelOneAPIToken . Дополнительные сведения об API см. в `https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview`документации.	Microsoft Corporation
Seraphic Web Security Соединитель данных Seraphic Web Security предоставляет возможность приема событий и оповещений Seraphic Web Security в Microsoft Sentinel. Таблицы Log Analytics: - `SeraphicWebSecurity_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Ключ Seraphic API: ключ API для Microsoft Sentinel, подключенный к клиенту Seraphic Web Security. Чтобы получить этот ключ API для клиента, ознакомьтесь с этой документацией.	Seraphic Security
Консоль администрирования Silverfort The Silverfort ITDR Admin Console connector solution allows ingestion of Silverfort events and logging into Microsoft Sentinel. Silverfort предоставляет события на основе системного журнала и ведение журнала с помощью общего формата событий (CEF). Перенаправляя данные CEF консоли администрирования Silverfort ITDR в Microsoft Sentinel, вы можете воспользоваться преимуществами поиска Sentinels и корреляции, оповещения и обогащения аналитики угроз в данных Silverfort. Обратитесь к Silverfort или обратитесь к документации Silverfort для получения дополнительных сведений. Таблицы Log Analytics: - `CommonSecurityLog` Поддержка правила сбора данных: Преобразование DCR рабочей области	Silverfort
SINEC Security Guard Решение SINEC Security Guard для Microsoft Sentinel позволяет прием событий безопасности промышленных сетей из SINEC Security Guard в Microsoft Sentinel Таблицы Log Analytics: - `SINECSecurityGuard_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Siemens AG
SlackAudit (через платформу соединителей без кода) Соединитель данных SlackAudit предоставляет возможность приема журналов аудита Slack в Microsoft Sentinel через REST API. Refer to API documentation for more information. Таблицы Log Analytics: - `SlackAuditV2_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - UserName, SlackAudit API Key и Action Type: Чтобы создать маркер доступа, создайте новое приложение в Slack, а затем добавьте необходимые области и настройте URL-адрес перенаправления. For detailed instructions on generating the access token, user name and action name limit, refer the link.	Microsoft Corporation
Snowflake (через платформу соединителей без кода) (предварительная версия) Соединитель данных Snowflake предоставляет возможность приема журналов журнала входа Snowflake, журналов журнала запросов, User-Grant журналов,Role-Grant журналов, журналов загрузки, журналов журнала загрузки, журналов журналов обновления материализованного представления, журналов обновлений ролей, журналов таблиц, журналов хранилища таблиц, пользователей входит в Microsoft Sentinel с помощью API SQL Snowflake. Дополнительные сведения см. в документации по API SQL Snowflake . Таблицы Log Analytics: - `SnowflakeLogin_CL` - `SnowflakeQuery_CL` - `SnowflakeUserGrant_CL` - `SnowflakeRoleGrant_CL` - `SnowflakeLoad_CL` - `SnowflakeMaterializedView_CL` - `SnowflakeRoles_CL` - `SnowflakeTables_CL` - `SnowflakeTableStorageMetrics_CL` - `SnowflakeUsers_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Соединитель данных Sonrai Используйте этот соединитель данных для интеграции с Sonrai Security и получения билетов Sonrai, отправленных непосредственно в Microsoft Sentinel. Таблицы Log Analytics: - `Sonrai_Tickets_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	N/A
Sophos Cloud Optix Соединитель Sophos Cloud Optix позволяет легко подключать журналы Sophos Cloud Optix с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Это дает вам больше сведений о состоянии облачной безопасности и соответствия требованиям вашей организации и улучшает возможности операций облачной безопасности. Таблицы Log Analytics: - `SophosCloudOptix_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Sophos
Sophos Endpoint Protection (с помощью функций Azure) Соединитель данных Sophos Endpoint Protection предоставляет возможность приема событий Sophos в Microsoft Sentinel. Дополнительные сведения см. в документации по центру администрирования Sophos. Таблицы Log Analytics: - `SophosEP_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: требуется маркер API . For more information, see API token	Microsoft Corporation
Sophos Endpoint Protection (с помощью REST API) Соединитель данных Sophos Endpoint Protection предоставляет возможность приема событий Sophos и оповещений Sophos в Microsoft Sentinel. Дополнительные сведения см. в документации по центру администрирования Sophos. Таблицы Log Analytics: - `SophosEPEvents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Доступ к API Sophos Endpoint Protection: требуется доступ к API Sophos Endpoint Protection через субъект-службу.	Microsoft Corporation
Symantec Integrated Cyber Defense Exchange Соединитель Symantec ICDx позволяет легко подключать журналы решений безопасности Symantec с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности. Таблицы Log Analytics: - `SymantecICDx_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Системный журнал через AMA Системный журнал Syslog — это протокол ведения журнала событий, который обычно используется в Linux. Приложения отправляют сообщения, которые могут храниться на локальном компьютере или передаваться в сборщик системного журнала. Если агент для Linux установлен, он настраивает локальный демон syslog для отправки журналов агенту. Агент затем отправляет сообщение в рабочее пространство. Подробнее> Таблицы Log Analytics: - `Syslog` Поддержка правила сбора данных: Преобразование DCR рабочей области	Microsoft Corporation
Talon Insights Соединитель журналов безопасности Talon позволяет легко подключать события Talon и журналы аудита с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Таблицы Log Analytics: - `Talon_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Talon Security
Соединитель данных Scout Team Cymru (с помощью функций Azure) The TeamCymruScout Data Connector allows users to bring Team Cymru Scout IP, domain and account usage data in Microsoft Sentinel for enrichment. Таблицы Log Analytics: - `Cymru_Scout_Domain_Data_CL` - `Cymru_Scout_IP_Data_Foundation_CL` - `Cymru_Scout_IP_Data_Details_CL` - `Cymru_Scout_IP_Data_Communications_CL` - `Cymru_Scout_IP_Data_PDNS_CL` - `Cymru_Scout_IP_Data_Fingerprints_CL` - `Cymru_Scout_IP_Data_OpenPorts_CL` - `Cymru_Scout_IP_Data_x509_CL` - `Cymru_Scout_IP_Data_Summary_Details_CL` - `Cymru_Scout_IP_Data_Summary_PDNS_CL` - `Cymru_Scout_IP_Data_Summary_OpenPorts_CL` - `Cymru_Scout_IP_Data_Summary_Certs_CL` - `Cymru_Scout_IP_Data_Summary_Fingerprints_CL` - `Cymru_Scout_Account_Usage_Data_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения команды Cymru Scout: требуется учетная запись Группы Cymru Scout (имя пользователя, пароль).	Team Cymru
Десять удостоверений Соединитель для проверки подлинности удостоверений позволяет использовать индикаторы воздействия, индикаторы атак и журналов отслеживания данных в Microsoft Sentinel.Различные рабочие книги и средства анализа данных позволяют более легко управлять журналами и отслеживать среду Active Directory. Шаблоны аналитики позволяют автоматизировать ответы в отношении различных событий, воздействия и атак. Таблицы Log Analytics: Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Доступ к конфигурации TenableIE: разрешения на настройку подсистемы оповещений системного журнала	Tenable
Управление десятью уязвимостями (с помощью функций Azure) Соединитель данных TVM предоставляет возможность приема ресурсов, уязвимостей, соответствия требованиям и уязвимостей WAS в Microsoft Sentinel с помощью REST API TVM. Refer to API documentation for more information. Соединитель предоставляет возможность получать данные, которые помогают изучить потенциальные риски безопасности, получить представление о вычислительных ресурсах, диагностировать проблемы конфигурации и многое другое Таблицы Log Analytics: - `Tenable_VM_Asset_CL` - `Tenable_VM_Vuln_CL` - `Tenable_VM_Compliance_CL` - `Tenable_WAS_Asset_CL` - `Tenable_WAS_Vuln_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API. Для доступа к Тенеблируемому REST API требуется как TenableAccessKey , так и TenableSecretKey . For more information, see API. Проверьте все требования и следуйте инструкциям по получению учетных данных.	Tenable
Microsoft Defender на основе клиента для облака Microsoft Defender для облака — это средство управления безопасностью, с помощью которого можно обнаруживать угрозы в Azure, гибридных и многооблачных рабочих нагрузках и быстро реагировать на них. Этот соединитель позволяет передавать оповещения безопасности MDC из Microsoft 365 Defender в Microsoft Sentinel, чтобы использовать преимущества корреляции XDR, соединяющие точки между облачными ресурсами, устройствами и удостоверениями, а также просматривать данные в книгах, запросах и анализе инцидентов и реагировании на них. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Проект TheHive — TheHive (с помощью функций Azure) The TheHive data connector provides the capability to ingest common TheHive events into Microsoft Sentinel through Webhooks. TheHive может уведомлять внешнюю систему событий изменения (создание регистра, обновление оповещений, назначение задач) в режиме реального времени. При изменении в TheHive запрос HTTPS POST со сведениями о событии отправляется в URL-адрес соединителя данных обратного вызова. Refer to Webhooks documentation for more information. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `TheHive_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Webhooks Credentials/permissions: TheHiveBearerToken, Callback URL are required for working Webhooks. See the documentation to learn more about configuring Webhooks.	Microsoft Corporation
Theom Соединитель данныхOm позволяет организациям подключать среду Theom к Microsoft Sentinel. Это решение позволяет пользователям получать оповещения о рисках безопасности данных, создавать и дополнять инциденты, проверять статистику и запускать сборники схем SOAR в Microsoft Sentinel. Таблицы Log Analytics: - `TheomAlerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Theom
Аналитика угроз — TAXII Microsoft Sentinel интегрируется с источниками данных TAXII 2.0 и 2.1, чтобы обеспечить мониторинг, оповещение и поиск с помощью аналитики угроз. Используйте этот соединитель для отправки поддерживаемых типов объектов STIX с серверов TAXII в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов. Дополнительные сведения см. в документации >по Microsoft Sentinel. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Платформы аналитики угроз Microsoft Sentinel интегрируется с источниками данных Microsoft Graph Security API, чтобы обеспечить мониторинг, оповещение и охоту за угрозами с помощью аналитики угроз. Используйте этот соединитель для отправки индикаторов угроз в Microsoft Sentinel из платформы анализа угроз (TIP), например Threat Connect, Palo Alto Networks MindMeld, MISP, или других интегрированных приложений. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов. Дополнительные сведения см. в документации >по Microsoft Sentinel. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
API отправки аналитики угроз (предварительная версия) Microsoft Sentinel предлагает API плоскости данных для привлечения аналитики угроз из платформы аналитики угроз (TIP), например Threat Connect, Palo Alto Networks MineMeld, MISP или других интегрированных приложений. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса, хэши файлов и адреса электронной почты. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Соединитель безопасности передачи (с помощью функций Azure) Соединитель данных [Передача безопасности] предоставляет возможность приема распространенных событий API безопасности передачи в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `TransmitSecurityActivity_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Идентификатор клиента REST API: Требуется Идентификатор клиента TransmitSecurityClientID . Дополнительные сведения об API см. в `https://developer.transmitsecurity.com/`документации. - Секрет клиента REST API: требуется ПередачаSecurityClientSecret . Дополнительные сведения об API см. в `https://developer.transmitsecurity.com/`документации.	Transmit Security
Trend Vision One (использование функций Azure) Соединитель Trend Vision One позволяет легко подключать данные оповещений Workbench с помощью Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследований. Это дает вам больше сведений о сетях и системах вашей организации и улучшает возможности операций безопасности. Соединитель Trend Vision One поддерживается в Microsoft Sentinel в следующих регионах: Восточная Австралия, Юго-Восточная Австралия, Южная Бразилия, Центральная Канада, Восточная Индия, Центральная Индия, Центральная Часть США, Восточная часть США, Восточная ЧАСТЬ США 2, Восточная Франция, Центральная Корея, Северная Европа, Северная Европа, Восточная Африка, Северная Африка, Южная Африка, Южная Часть США, Юго-Восточная Азия, Центральная Швеция, Северная Швейцария, Северная ОАЭ, Южная Великобритания, Западная Европа, Западная часть США, Западная часть США 2, Западная часть США 3. Таблицы Log Analytics: - `TrendMicro_XDR_WORKBENCH_CL` - `TrendMicro_XDR_RCA_Task_CL` - `TrendMicro_XDR_RCA_Result_CL` - `TrendMicro_XDR_OAT_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Маркер API Для распознавания трендов: требуется маркер API для распознавания трендов. Дополнительные сведения об API Trend Vision One см. в документации.	Trend Micro
Varonis SaaS Varonis SaaS provides the capability to ingest Varonis Alerts into Microsoft Sentinel. Varonis определяет глубинную видимость данных, возможности классификации и автоматическое исправление для доступа к данным. Varonis создает одно приоритетное представление риска для ваших данных, поэтому вы можете упреждающим и систематически устранять риск от внутренних угроз и кибератак. Таблицы Log Analytics: - `VaronisAlerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions.	Varonis
Vectra XDR (с помощью функций Azure) The Vectra XDR connector gives the capability to ingest Vectra Detections, Audits, Entity Scoring, Lockdown, Health and Entities data into Microsoft Sentinel through the Vectra REST API. Обратитесь к документации API: `https://support.vectra.ai/s/article/KB-VS-1666` для получения дополнительной информации. Таблицы Log Analytics: - `Detections_Data_CL` - `Audits_Data_CL` - `Entity_Scoring_Data_CL` - `Lockdown_Data_CL` - `Health_Data_CL` - `Entities_Data_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: идентификатор клиента Vectra и секрет клиента требуются для сбора данных работоспособности, оценки сущностей, обнаружения, блокировки и аудита. Дополнительные сведения об API см. в `https://support.vectra.ai/s/article/KB-VS-1666`документации.	Vectra Support
Облако VMware Carbon Black Cloud (с помощью функций Azure) Соединитель VMware Carbon Black Cloud предоставляет возможность приема данных углеродного черного цвета в Microsoft Sentinel. Соединитель обеспечивает видимость журналов аудита, уведомлений и событий в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования. Таблицы Log Analytics: - `CarbonBlackEvents_CL` - `CarbonBlackNotifications_CL` - `CarbonBlackAuditLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Ключи API VMware Carbon Black: необходимы ключи API черного углерода и (или) API уровня SIEM. Дополнительные сведения об API углеродного черного цвета см. в документации. - A Carbon Black API access level API ID and Key is required for Audit and Event logs. - A Carbon Black SIEM access level API ID and Key is required for Notification alerts. - Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступаAWS, имя контейнера AWS S3, имя папки в контейнере AWS S3 требуются для REST API Amazon S3.	Microsoft
VMware Carbon Black Cloud через AWS S3 VMware Carbon Black Cloud через соединитель данных AWS S3 предоставляет возможность приема списков наблюдения, оповещений, событий проверки подлинности и конечных точек через AWS S3 и потоковую передачу их в нормализованные таблицы ASIM. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `CarbonBlack_Alerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Environment: You must have the following AWS resources defined and configured: S3, Simple Queue Service (SQS), IAM roles and permissions policies - Environment: You must have the a Carbon black account and required permissions to create a Data Forwarded to AWS S3 buckets. Дополнительные сведения см. в документации по пересылке данных углеродного черного цвета	Microsoft
События Windows DNS через AMA Соединитель журналов DNS Windows позволяет легко фильтровать и передавать все журналы аналитики с DNS-серверов Windows в рабочую область Microsoft Sentinel с помощью агента мониторинга Azure (AMA). Наличие этих данных в Microsoft Sentinel помогает выявлять проблемы и угрозы безопасности, такие как: — попытка устранить вредоносные доменные имена. — устаревшие записи ресурсов. — Часто запрашиваемые доменные имена и разговорные DNS-клиенты. — Атаки, выполняемые на DNS-сервере. Вы можете получить следующие сведения о DNS-серверах Windows из Microsoft Sentinel: — Все журналы, централизованные в одном месте. — запрос нагрузки на DNS-серверы. — Динамические сбои регистрации DNS. События WINDOWS DNS поддерживаются расширенной информационной моделью SIEM (ASIM) и передают данные в таблицу ASimDnsActivityLogs. Learn more. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `ASimDnsActivityLogs` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Windows Firewall Брандмауэр Windows — это приложение Microsoft Windows, которое фильтрует сведения, поступающие в систему из Интернета, и блокирует потенциально опасные программы. Программное обеспечение блокирует передачу большинства программ через брандмауэр. Пользователи просто добавляют программу в список разрешенных программ, чтобы разрешить ему взаимодействовать через брандмауэр. При использовании общедоступной сети брандмауэр Windows также может защитить систему, блокируя все незапрошенные попытки подключения к компьютеру. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `WindowsFirewall` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
События брандмауэра Windows через AMA Брандмауэр Windows — это приложение Microsoft Windows, которое фильтрует сведения, поступающие в систему из Интернета, и блокирует потенциально опасные программы. Программное обеспечение брандмауэра блокирует взаимодействие большинства программ через брандмауэр. Для потоковой передачи журналов приложений брандмауэра Windows, собранных с компьютеров, используйте агент Azure Monitor (AMA) для потоковой передачи этих журналов в рабочую область Microsoft Sentinel. Для сбора журналов необходимо связать настроенную конечную точку сбора данных (DCE). Для этого соединителя DCE автоматически создается в том же регионе, что и рабочая область. Если вы уже используете DCE, хранящийся в том же регионе, можно изменить созданный по умолчанию DCE и использовать существующий через API. DCEs can be located in your resources with SentinelDCE prefix in the resource name. Дополнительные сведения см. в следующих статьях: - Конечные точки сбора данных в Azure Monitor - Документация по Microsoft Sentinel Таблицы Log Analytics: - `ASimNetworkSessionLogs` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
События пересылки Windows Вы можете передавать все журналы пересылки событий Windows (WEF) из серверов Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Azure Monitor (AMA). Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `WindowsEvent` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
События безопасности Windows через AMA Вы можете выполнять потоковую передачу всех событий безопасности из виртуальных машин Windows, подключенных к рабочей области Microsoft Sentinel, с использованием агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityEvent` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
API WithSecure Elements (Функция Azure) WithSecure Elements — это единая облачная платформа кибербезопасности, предназначенная для снижения риска, сложности и неэффективности. Повышение безопасности от конечных точек до облачных приложений. Вооружитесь всеми типами киберугрышных угроз, от целевых атак до программ-шантажистов нулевого дня. WithSecure Elements объединяет мощные прогнозные, профилактические и адаптивные возможности безопасности — все управляемые и отслеживаемые через единый центр безопасности. Наша модульная структура и гибкие модели ценообразования дают вам свободу развиваться. С нашим опытом и пониманием, вы всегда будете иметь возможность - и вы никогда не будете одиноки. With Microsoft Sentinel integration, you can correlate security events data from the WithSecure Elements solution with data from other sources, enabling a rich overview of your entire environment and faster reaction to threats. При развертывании этой функции Azure в клиенте периодически опрашивать события безопасности WithSecure Elements. Дополнительные сведения см. на нашем веб-сайте: https://www.withsecure.com Таблицы Log Analytics: - `WsSecurityEvents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - С учетными данными клиента APISecure Elements: необходимы учетные данные клиента. Дополнительные сведения см. в документации.	WithSecure
Wiz (использование функций Azure) Соединитель Wiz позволяет легко отправлять журналы ошибок, уязвимостей и аудита Wiz в Microsoft Sentinel. Таблицы Log Analytics: - `union isfuzzy=true <br>(WizIssues_CL),<br>(WizIssuesV2_CL)` - `union isfuzzy=true <br>(WizVulnerabilities_CL),<br>(WizVulnerabilitiesV2_CL)` - `union isfuzzy=true <br>(WizAuditLogs_CL),<br>(WizAuditLogsV2_CL)` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные учетной записи службы Wiz. Убедитесь, что у вас есть идентификатор клиента и секрет клиента Wiz, URL-адрес конечной точки API и URL-адрес проверки подлинности. Instructions can be found on Wiz documentation.	Wiz
Действие пользователя Workday The Workday User Activity data connector provides the capability to ingest User Activity Logs from Workday API into Microsoft Sentinel. Таблицы Log Analytics: - `ASimAuditEventLogs` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Доступ к API действий пользователя Workday: требуется доступ к API действий пользователя Workday через Oauth. Клиент API должен иметь область действия: система и она должна быть авторизована учетной записью с разрешениями системного аудита.	Microsoft Corporation
Workplace from Facebook (using Azure Functions) The Workplace data connector provides the capability to ingest common Workplace events into Microsoft Sentinel through Webhooks. С помощью веб-перехватчиков настраиваемые приложения интеграции могут подписываться на события в Workplace и получать обновления в режиме реального времени. При изменении в Workplace запрос HTTPS POST со сведениями о событии отправляется в URL-адрес соединителя данных обратного вызова. Refer to Webhooks documentation for more information. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `Workplace_Facebook_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Webhooks Credentials/permissions: WorkplaceAppSecret, WorkplaceVerifyToken, Callback URL are required for working Webhooks. See the documentation to learn more about configuring Webhooks, configuring permissions.	Microsoft Corporation
Аудит сегментов нулевых сетей Соединитель данных аудита сегментов нулевых сетей предоставляет возможность приема событий аудита нулевых сетей в Microsoft Sentinel через REST API. Этот соединитель данных использует собственные возможности опроса Microsoft Sentinel. Таблицы Log Analytics: - `ZNSegmentAuditNativePoller_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Маркер API Zero Networks: ZeroNetworksAPIToken требуется для REST API. Ознакомьтесь с руководством по API и следуйте инструкциям по получению учетных данных.	Zero Networks
Аудит сегментов нулевых сетей (функция) (с помощью функций Azure) Соединитель данных аудита сегментов нулевых сетей предоставляет возможность приема событий аудита в Microsoft Sentinel через REST API. Дополнительные сведения см. в руководстве по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `ZNSegmentAudit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные REST API: для REST API требуется маркер APIсегмента нулевых сетей. См. руководство по API.	Zero Networks
ZeroFox CTI (с помощью функций Azure) The ZeroFox CTI data connectors provide the capability to ingest the different ZeroFox cyber threat intelligence alerts into Microsoft Sentinel. Таблицы Log Analytics: - `ZeroFox_CTI_advanced_dark_web_CL` - `ZeroFox_CTI_botnet_CL` - `ZeroFox_CTI_breaches_CL` - `ZeroFox_CTI_C2_CL` - `ZeroFox_CTI_compromised_credentials_CL` - `ZeroFox_CTI_credit_cards_CL` - `ZeroFox_CTI_dark_web_CL` - `ZeroFox_CTI_discord_CL` - `ZeroFox_CTI_disruption_CL` - `ZeroFox_CTI_email_addresses_CL` - `ZeroFox_CTI_exploits_CL` - `ZeroFox_CTI_irc_CL` - `ZeroFox_CTI_malware_CL` - `ZeroFox_CTI_national_ids_CL` - `ZeroFox_CTI_phishing_CL` - `ZeroFox_CTI_phone_numbers_CL` - `ZeroFox_CTI_ransomware_CL` - `ZeroFox_CTI_telegram_CL` - `ZeroFox_CTI_threat_actors_CL` - `ZeroFox_CTI_vulnerabilities_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения API ZeroFox: имя пользователя ZeroFox, личный маркер доступа ZeroFox требуется для REST API ZeroFox CTI.	ZeroFox
ZeroFox Enterprise — оповещения (опрос CCF) Собирает оповещения из API ZeroFox. Таблицы Log Analytics: - `ZeroFoxAlertPoller_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Маркер личного доступа ZeroFox (PAT) — требуется ПУТЬ к ZeroFox. Его можно получить в > данных.	ZeroFox
Защита от угроз Zimperium Mobile Соединитель Zimperium Mobile Threat Defense позволяет подключать журнал угроз Zimperium с помощью Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения исследования. За счет этого вы получите более полное представление о ландшафте угроз для мобильных устройств своей организации и сможете более эффективно обеспечивать безопасность. Таблицы Log Analytics: - `ZimperiumThreatLog_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Zimperium
Масштабирование отчетов (с помощью функций Azure) The Zoom Reports data connector provides the capability to ingest Zoom Reports events into Microsoft Sentinel through the REST API. Refer to API documentation for more information. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `Zoom_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: AccountID, ClientID и ClientSecret требуются для API масштабирования. For more information, see Zoom API. Следуйте инструкциям по конфигурациям API Масштабирования.	Microsoft Corporation

Устаревшие соединители данных Sentinel

Note

В следующей таблице перечислены устаревшие и устаревшие соединители данных. Устаревшие соединители больше не поддерживаются.

Connector	Supported by
[Не рекомендуется] Аудит Atlassian Confluence (с помощью функций Azure) The Atlassian Confluence Audit data connector provides the capability to ingest Confluence Audit Records for more information. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: - `Confluence_Audit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: ConfluenceAccessToken, ConfluenceUsername требуется для REST API. For more information, see API. Проверьте все требования и следуйте инструкциям по получению учетных данных.	Microsoft Corporation
[Не рекомендуется] Конечная точка Cisco Secure Endpoint (AMP) (с помощью функций Azure) The Cisco Secure Endpoint (formerly AMP for Endpoints) data connector provides the capability to ingest Cisco Secure Endpoint audit logs and events into Microsoft Sentinel. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные API безопасной конечной точки Cisco: требуются идентификатор клиента и ключ API Cisco Secure Endpoint. Дополнительные сведения см. в разделе API безопасной конечной точки Cisco. API domain must be provided as well.	Microsoft Corporation
[Не рекомендуется] Google Cloud Platform Cloud Monitoring (с помощью функций Azure) Соединитель данных мониторинга облака Google Cloud Platform предоставляет возможность приема метрик мониторинга GCP в Microsoft Sentinel с помощью API мониторинга GCP. Дополнительные сведения см. в документации по API мониторинга GCP. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетная запись службы GCP: учетная запись службы GCP с разрешениями на чтение метрик облачного мониторинга необходима для API мониторинга GCP (необходимая роль средства просмотра мониторинга ). Также требуется json-файл с ключом учетной записи службы. Дополнительные сведения о создании учетной записи службы и создании ключа учетной записи службы см. в документации.	Microsoft Corporation
[Не рекомендуется] Google Cloud Platform DNS (с помощью функций Azure) Соединитель данных DNS Google Cloud Platform предоставляет возможность приема журналов запросов Cloud DNS и журналов аудита Cloud DNS в Microsoft Sentinel с помощью GCP Logging API. Дополнительные сведения см. в документации по API ведения журнала GCP. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетная запись службы GCP: для API ведения журнала GCP требуется учетная запись службы GCP с разрешениями на чтение журналов (с разрешением log.logEntries.list). Также требуется json-файл с ключом учетной записи службы. See the documentation to learn more about permissions, creating service account and creating service account key.	Microsoft Corporation
[Не рекомендуется] Google Cloud Platform IAM (использование функций Azure) Соединитель данных Google Cloud Platform Identity and Access Management (IAM) предоставляет возможность приема журналов GCP IAM в Microsoft Sentinel с использованием API журналирования GCP. Дополнительные сведения см. в документации по API ведения журнала GCP. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетная запись службы GCP: для API ведения журнала GCP требуется учетная запись службы GCP с разрешениями на чтение журналов. Также требуется json-файл с ключом учетной записи службы. See the documentation to learn more about required permissions, creating service account and creating service account key.	Microsoft Corporation
[Не рекомендуется] Infoblox SOC Insights Data Connector через устаревший агент Соединитель данных Infoblox SOC Insights позволяет легко подключать данные Infoblox BloxOne SOC Insights с помощью Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала. Этот соединитель данных отправляет журналы Infoblox SOC Insights CDC в рабочую область Log Analytics с помощью устаревшего агента Log Analytics. Корпорация Майкрософт рекомендует установить соединитель данных Infoblox SOC Insights через соединитель AMA. Устаревший соединитель использует агент Log Analytics, который не рекомендуется использовать 31 августа 2024 г. и должен быть установлен только в том месте, где AMA не поддерживается. Использование MMA и AMA на одном компьютере может привести к дублированию журналов и дополнительным затратам на прием. More details. Таблицы Log Analytics: - `CommonSecurityLog` Поддержка правила сбора данных: Преобразование DCR рабочей области	Infoblox
[Не рекомендуется] Журналы и события Microsoft Exchange Не рекомендуется использовать соединители данных ESI-Opt. Вы можете передавать все события аудита Exchange, журналы IIS, журналы прокси-сервера HTTP и журналы событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. Это используется книгами безопасности Microsoft Exchange для предоставления аналитических сведений о безопасности локальной среды Exchange. Таблицы Log Analytics: - `Event` - `SecurityEvent` - `W3CIISLog` - `MessageTrackingLog_CL` - `ExchangeHttpProxy_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: — Azure Log Analytics не рекомендуется собирать данные из виртуальных машин, отличных от Azure, рекомендуется. Learn more - Detailled documentation: >NOTE: Detailled documentation on Installation procedure and usage can be found here	Community
[Не рекомендуется] Платформа IAM OneLogin (с помощью функций Azure) The OneLogin data connector provides the capability to ingest common OneLogin IAM Platform events into Microsoft Sentinel through Webhooks. API веб-перехватчика событий OneLogin, который также называется вещателем событий, будет отправлять пакеты событий практически в режиме реального времени в указанную конечную точку. При изменении в OneLogin запрос HTTPS POST со сведениями о событии отправляется в URL-адрес соединителя данных обратного вызова. Refer to Webhooks documentation for more information. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Webhooks Credentials/permissions: OneLoginBearerToken, Callback URL are required for working Webhooks. See the documentation to learn more about configuring Webhooks.You need to generate OneLoginBearerToken according to your security requirements and use it in Custom Headers section in format: Authorization: Bearer OneLoginBearerToken. Формат журналов: массив JSON.	Microsoft Corporation
[Не рекомендуется] Проверка безопасности электронной почты по запросу (с помощью функций Azure) Соединитель данных Proofpoint On Demand Email Security обеспечивает получение данных Proofpoint on Demand Email Protection, позволяет пользователям проверять прослеживаемость сообщений, проводить мониторинг активности электронной почты, угроз и кражи данных злоумышленниками и злонамеренными инсайдерами. Коннектор предоставляет возможность просматривать события в вашей организации на ускоренной основе и получать файлы журналов событий с почасовым интервалом для недавних действий. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: - `ProofpointPOD_message_CL` - `ProofpointPOD_maillog_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения API Websocket: ProofpointClusterID, ProofpointToken требуется. For more information, see API.	Microsoft Corporation
[Не рекомендуется] Proofpoint TAP (с помощью Функций Azure) Соединитель Proofpoint Targeted Attack Protection (TAP) предоставляет возможность приема журналов и событий Proofpoint TAP в Microsoft Sentinel. Соединитель обеспечивает видимость событий Message и Click в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: - `ProofPointTAPMessagesDelivered_CL` - `ProofPointTAPMessagesBlocked_CL` - `ProofPointTAPClicksPermitted_CL` - `ProofPointTAPClicksBlocked_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Ключ API Proofpoint TAP: требуется имя пользователя и пароль API Proofpoint TAP. Дополнительные сведения см. в разделе API Proofpoint SIEM.	Microsoft Corporation
[Не рекомендуется] Управление уязвимостями Qualys (с помощью функций Azure) Соединитель данных Qualys Vulnerability Management (VM) предоставляет возможность приема данных обнаружения узлов уязвимостей в Microsoft Sentinel через API Qualys. Соединитель обеспечивает видимость данных об обнаружении узлов из проверок вольверности. Этот соединитель предоставляет Microsoft Sentinel возможность просмотра панелей мониторинга, создания пользовательских оповещений и улучшения исследования ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: - `QualysHostDetectionV2_CL` - `QualysHostDetection_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Ключ API Qualys: требуется имя пользователя и пароль API виртуальных машин Qualys. Дополнительные сведения см. в разделе API виртуальных машин Qualys.	Microsoft Corporation
[Не рекомендуется] Cloud Salesforce Service Cloud (с помощью функций Azure) Соединитель данных Salesforce Service Cloud предоставляет возможность приема сведений о рабочих событиях Salesforce в Microsoft Sentinel через REST API. Соединитель предоставляет возможность просматривать события в организации на ускоренной основе, получать файлы журналов событий почасового увеличения для последних действий. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API: имя пользователя API Salesforce, пароль API Salesforce, маркер безопасности Salesforce, ключ потребителя Salesforce, секрет потребителя Salesforce требуется для REST API. For more information, see API.	Microsoft Corporation
[Не рекомендуется] Аудит Slack (использование функций Azure) The Slack Audit data connector provides the capability to ingest Slack Audit Records events into Microsoft Sentinel through the REST API. Refer to API documentation for more information. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: - `SlackAudit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Учетные данные и разрешения REST API. Для REST API требуется SlackAPIBearerToken . For more information, see API. Проверьте все требования и следуйте инструкциям по получению учетных данных.	Microsoft Corporation
[Не рекомендуется] Snowflake (использование функций Azure) The Snowflake data connector provides the capability to ingest Snowflake login logs and query logs into Microsoft Sentinel using the Snowflake Python Connector. Refer to Snowflake documentation for more information. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: - `Snowflake_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Prerequisites: - Microsoft.Web/sites permissions: Read and write permissions to Azure Functions to create a Function App is required. For more information, see Azure Functions. - Snowflake Credentials: Snowflake Account Identifier, Snowflake User and Snowflake Password are required for connection. Дополнительные сведения об идентификаторе учетной записи Snowflake см. в документации. Инструкции по созданию пользователя для этого соединителя отображаются во время установки.	Microsoft Corporation
События безопасности с помощью устаревшего агента Вы можете выполнять потоковую передачу всех событий безопасности из виртуальных машин Windows, подключенных к рабочей области Microsoft Sentinel, с использованием агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityEvent` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Microsoft Defender на основе подписки для облака (устаревшая версия) Microsoft Defender для облака — это средство управления безопасностью, с помощью которого можно обнаруживать угрозы в Azure, гибридных и многооблачных рабочих нагрузках и быстро реагировать на них. Этот соединитель позволяет выполнять потоковую передачу оповещений системы безопасности из Microsoft Defender для облака в Microsoft Sentinel, чтобы просматривать данные Defender в книгах, запрашивать их для создания оповещений, а также исследовать инциденты и реагировать на них. Дополнительные сведения> Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных: В настоящее время не поддерживается	Microsoft Corporation
Системный журнал с помощью устаревшего агента Системный журнал Syslog — это протокол ведения журнала событий, который обычно используется в Linux. Приложения отправляют сообщения, которые могут храниться на локальном компьютере или передаваться в сборщик системного журнала. Если агент для Linux установлен, он настраивает локальный демон syslog для отправки журналов агенту. Агент затем отправляет сообщение в рабочее пространство. Подробнее> Таблицы Log Analytics: - `Syslog` Поддержка правила сбора данных: Преобразование DCR рабочей области	Microsoft Corporation

Next steps

Дополнительные сведения см. в разделе:

Поделиться через

Найдите нужный соединитель данных Microsoft Sentinel

Предварительные требования для соединителя данных

Соединители системного журнала и общего формата событий (CEF)

Пользовательские журналы через соединитель AMA

Соединители данных Sentinel

Устаревшие соединители данных Sentinel

Next steps

Обратная связь

Дополнительные ресурсы