Microsoft Sentinel-dataanslutningsprogram

Anteckning

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabeller i molnfunktionstillgänglighet för amerikanska myndighetskunder.

När du har registrerat Microsoft Sentinel på din arbetsyta kan du använda dataanslutningsprogram för att börja mata in dina data i Microsoft Sentinel. Microsoft Sentinel levereras med många färdiga anslutningsappar för Microsoft-tjänster, som du kan integrera i realtid. Till exempel är Microsoft 365 Defender-anslutningsappen en tjänst-till-tjänst-anslutning som integrerar data från Office 365, Azure Active Directory (Azure AD), Microsoft Defender for Identity och Microsoft Defender for Cloud Apps.

Du kan också aktivera inbyggda anslutningsappar till det bredare säkerhetsekosystemet för produkter som inte kommer från Microsoft. Du kan till exempel använda Syslog, Common Event Format (CEF) eller REST-API:er för att ansluta dina datakällor till Microsoft Sentinel.

Lär dig mer om typer av Microsoft Sentinel-dataanslutningsprogram eller lär dig mer om Microsoft Sentinel-lösningskatalogen.

På sidan Dataanslutningsprogram för Microsoft Sentinel visas en fullständig lista över anslutningsappar och deras status på din arbetsyta.

Skärmbild av galleriet för dataanslutningsprogram.

Aktivera en dataanslutning

Välj den anslutningsapp som du vill ansluta till och välj sedan Sidan Öppna anslutningsapp.

  • När du uppfyller alla krav som anges på fliken Instruktioner beskriver anslutningssidan hur du matar in data till Microsoft Sentinel. Det kan ta lite tid innan data börjar komma. När du har anslutit visas en sammanfattning av data i diagrammet Mottagna data och anslutningsstatus för datatyperna.

    Skärmbild som visar hur du konfigurerar dataanslutningsprogram.

  • På fliken Nästa steg visas mer innehåll för den specifika datatypen: Exempelfrågor, visualiseringsarbetsböcker och analysregelmallar som hjälper dig att identifiera och undersöka hot.

    Skärmbild som visar fliken Nästa steg för dataanslutning.

Läs mer om din specifika dataanslutning i referensen för dataanslutningsprogram.

REST API-integrering för dataanslutningsprogram

Många säkerhetstekniker tillhandahåller en uppsättning API:er för att hämta loggfiler, och vissa datakällor kan använda dessa API:er för att ansluta till Microsoft Sentinel.

Dataanslutningsprogram som använder API:er kan antingen integreras från providersidan eller integreras med Azure Functions, enligt beskrivningen i följande avsnitt.

Läs mer om dataanslutningar i referensen för dataanslutningsprogram.

REST API-integrering på providersidan

En API-integrering som skapats av providern ansluter till providerdatakällorna och skickar data till anpassade Loggtabeller i Microsoft Sentinel med hjälp av AZURE Monitor Data Collector API.

Om du vill veta mer om REST API-integrering läser du providerdokumentationen och Anslut datakällan till Microsoft Sentinels REST-API för att mata in data.

REST API-integrering med Azure Functions

Integreringar som använder Azure Functions för att ansluta till ett provider-API formaterar först data och skickar dem sedan till anpassade loggtabeller i Microsoft Sentinel med hjälp av API:et för Azure Monitor Data Collector. Lär dig hur du använder Azure Functions för att ansluta datakällan till Microsoft Sentinel.

Viktigt

Integreringar som använder Azure Functions kan ha extra datainmatningskostnader eftersom du är värd för Azure Functions i din Azure-klientorganisation. Läs mer om Azure Functions prissättning.

Agentbaserad integrering för dataanslutningsprogram

Microsoft Sentinel kan använda Syslog-protokollet för att ansluta en agent till alla datakällor som kan utföra loggströmning i realtid. De flesta lokala datakällor ansluter till exempel med agentbaserad integrering.

I följande avsnitt beskrivs de olika typerna av Microsoft Sentinel-agentbaserade dataanslutningsprogram. Följ stegen på varje microsoft Sentinel-dataanslutningssida för att konfigurera anslutningar med agentbaserade mekanismer.

Lär dig vilka brandväggar, proxyservrar och slutpunkter som ansluter till Microsoft Sentinel via CEF eller Syslog i referensen för dataanslutningsappar.

Syslog

Du kan strömma händelser från Linux-baserade Syslog-stödenheter till Microsoft Sentinel med hjälp av Log Analytics-agenten för Linux, som tidigare hette OMS-agenten. Beroende på enhetstyp installeras agenten antingen direkt på enheten eller på en dedikerad Linux-baserad loggvidare. Log Analytics-agenten tar emot händelser från Syslog-daemon via UDP. Om en Linux-dator förväntas samla in en stor mängd Syslog-händelser skickar den händelser via TCP från Syslog-daemonen till agenten och därifrån till Log Analytics. Lär dig hur du ansluter Syslog-baserade enheter till Microsoft Sentinel.

Här är ett enkelt flöde som visar hur Microsoft Sentinel strömmar Syslog-data.

  1. Enhetens inbyggda Syslog-daemon samlar in lokala händelser av de angivna typerna och vidarebefordrar händelserna lokalt till agenten.
  2. Agenten strömmar händelserna till Log Analytics-arbetsytan.
  3. Efter en lyckad konfiguration visas data i Log Analytics Syslog-tabellen.

Common Event Format (CEF)

Loggformaten varierar, men många källor stöder CEF-baserad formatering. Microsoft Sentinel-agenten, som faktiskt är Log Analytics-agenten, konverterar CEF-formaterade loggar till ett format som Log Analytics kan mata in.

För datakällor som genererar data i CEF konfigurerar du Syslog-agenten och konfigurerar sedan CEF-dataflödet. Efter en lyckad konfiguration visas data i tabellen CommonSecurityLog .

Lär dig hur du ansluter CEF-baserade enheter till Microsoft Sentinel.

Anpassade loggar

För vissa datakällor kan du samla in loggar som filer på Windows- eller Linux-datorer med hjälp av log analytics-agenten för anpassad logginsamling.

Följ stegen på varje sida för Microsoft Sentinel-dataanslutningsappen för att ansluta med log analytics-agenten för anpassad logginsamling. Efter en lyckad konfiguration visas data i anpassade tabeller.

Lär dig hur du samlar in data i anpassade loggformat till Microsoft Sentinel med Log Analytics-agenten.

Tjänst-till-tjänst-integrering för dataanslutningsprogram

Microsoft Sentinel använder Azure Foundation för att tillhandahålla support direkt från tjänst till tjänst för Microsoft-tjänster och Amazon Web Services.

Lär dig hur du ansluter till Azure-, Windows-, Microsoft- och Amazon-tjänster eller lär dig mer om dataanslutningstyper i referensen för dataanslutningsappar.

Distribuera dataanslutningsprogram som en del av en lösning

Microsoft Sentinel-lösningar tillhandahåller paket med säkerhetsinnehåll, inklusive dataanslutningsprogram, arbetsböcker, analysregler, spelböcker med mera. När du distribuerar en lösning med en dataanslutningsapp hämtar du dataanslutningsappen tillsammans med relaterat innehåll i samma distribution.

Lär dig hur du centralt identifierar och distribuerar färdigt innehåll och lösningar för Microsoft Sentinel eller lär dig mer om Microsoft Sentinel-lösningskatalogen.

Stöd för dataanslutningsprogram

Både Microsoft och andra organisationer skapar Microsoft Sentinel-dataanslutningsprogram. Varje dataanslutningsapp har någon av följande supporttyper:

Supporttyp Beskrivning
Microsoft stöds Gäller för:
  • Dataanslutningsprogram för datakällor där Microsoft är dataprovider och författare.
  • Vissa Microsoft-skapade dataanslutningsprogram för icke-Microsoft-datakällor.
Microsoft stöder och underhåller dataanslutningsprogram i den här kategorin enligt Microsoft Azure-supportplaner.

Partner eller communityn stöder dataanslutningsprogram som har skapats av någon annan part än Microsoft.
Partner som stöds Gäller för dataanslutningsprogram som skapats av andra parter än Microsoft.

Partnerföretaget tillhandahåller support eller underhåll för dessa dataanslutningar. Partnerföretaget kan vara en oberoende programvaruleverantör, en hanterad tjänstleverantör (MSP/MSSP), en systemintegrerare (SI) eller en organisation vars kontaktinformation finns på Sidan Microsoft Sentinel för dataanslutningsappen.

Om du har problem med en partnerstödd dataanslutning kontaktar du den angivna supportkontakten för dataanslutningsappen.
Community-stödd Gäller för dataanslutningsprogram som skapats av Microsoft eller partnerutvecklare som inte har angivna kontakter för stöd och underhåll av dataanslutningsappar på den angivna sidan för dataanslutning i Microsoft Sentinel.

Om du har frågor eller problem med dessa dataanslutningsprogram kan du skapa ett problem i Microsoft Sentinel GitHub-communityn.

Hitta supportkontakten för en dataanslutning

  1. På sidan Dataanslutningsprogram för Microsoft Sentinel väljer du relevant anslutningsapp.
  2. Om du vill få åtkomst till support och underhåll för anslutningsappen använder du länken supportkontakt i fältet Stöds av på sidopanelen för anslutningsprogrammet.

Skärmbild som visar fältet Stöds av för en dataanslutning i Microsoft Sentinel.

Nästa steg