Планирование соединителей служб Майкрософт
После установки решений Центра содержимого можно подключить службы Microsoft Defender и Azure в разделе конфигурации страницы соединителя данных всего за несколько щелчков мыши. Для каждого соединителя отображаются отдельные рекомендации. Этот модуль демонстрирует подключение трех служб. Каждая служба отправляет данные в различные типы данных (таблицы).
Сначала используется соединитель XDR в Microsoft Defender. Параметр «Конфигурация» позволяет отправлять данные для Exchange, SharePoint и Teams. В зависимости от потребностей своей организации вы можете решить, какие данные следует принимать. Типы данных показывают, что все данные находятся в таблице OfficeActivity.
Второй — идентификатор Microsoft Entra, который имеет два варианта для журналов входа и журналов аудита.
Третий — Защита идентификации Microsoft Entra. Этот соединитель отправляет данные в таблицу SecurityAlert. Таблица SecurityAlert содержит данные оповещений только без базовых данных, вызвавших оповещение. Второй вариант — "Создать инциденты", который рекомендуется использовать! Этот процесс автоматически создает инцидент на основе и подключен к оповещению, полученному в таблице SecurityAlert из Защита идентификации Microsoft Entra. Правило создания инцидентов также можно активировать на странице Аналитики.
Последним соединителем является действие Azure. Журнал действий Azure — это журнал подписки с подробными сведениями о событиях на уровне подписки, которые происходят в Azure. Включение событий из операционных данных Azure Resource Manager, событий работоспособности служб, операций записи для ресурсов в подписке и состояния действий, выполняемых в Azure.