Microsoft Sentinel-dataanslutningsprogram

  • Artikel
  • Gäller för:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

När du har registrerat Microsoft Sentinel på din arbetsyta använder du dataanslutningsprogram för att börja mata in dina data i Microsoft Sentinel. Microsoft Sentinel levereras med många färdiga anslutningsappar för Microsoft-tjänster, som integreras i realtid. Microsoft Defender XDR-anslutningsprogrammet är till exempel en tjänst-till-tjänst-anslutning som integrerar data från Office 365, Microsoft Entra ID, Microsoft Defender för identitet och Microsoft Defender för molnet-appar.

Inbyggda anslutningsappar möjliggör anslutning till det bredare säkerhetsekosystemet för produkter som inte kommer från Microsoft. Använd till exempel Syslog, Common Event Format (CEF) eller REST-API:er för att ansluta dina datakällor till Microsoft Sentinel.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Viktigt!

Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Dataanslutningar som tillhandahålls med lösningar

Microsoft Sentinel-lösningar tillhandahåller paketerat säkerhetsinnehåll, inklusive dataanslutningsprogram, arbetsböcker, analysregler, spelböcker med mera. När du distribuerar en lösning med en dataanslutning får du dataanslutningsappen tillsammans med relaterat innehåll i samma distribution.

Sidan Dataanslutningsprogram för Microsoft Sentinel visar en lista över installerade eller använda dataanslutningar.

Om du vill lägga till fler dataanslutningar installerar du lösningen som är associerad med dataanslutningen från Innehållshubben. Mer information finns i följande artiklar:

REST API-integrering för dataanslutningar

Många säkerhetstekniker tillhandahåller en uppsättning API:er för att hämta loggfiler. Vissa datakällor kan använda dessa API:er för att ansluta till Microsoft Sentinel.

Dataanslutningar som använder API:er kan antingen integreras från providersidan eller integreras med Hjälp av Azure Functions, enligt beskrivningen i följande avsnitt.

Integrering på providersidan

En API-integrering som skapats av providern ansluter till providerdatakällorna och skickar data till anpassade Loggtabeller i Microsoft Sentinel med hjälp av Api:et för Datainsamlare i Azure Monitor. Mer information finns i Skicka loggdata till Azure Monitor med hjälp av HTTP Data Collector API.

Om du vill veta mer om REST API-integrering läser du din providerdokumentation och Anslut datakällan till Microsoft Sentinels REST-API för att mata in data.

Integrering med Hjälp av Azure Functions

Integreringar som använder Azure Functions för att ansluta till ett provider-API formaterar först data och skickar dem sedan till microsoft Sentinel-anpassade loggtabeller med hjälp av Azure Monitor Data Collector API.

Mer information finns i:

Integreringar som använder Azure Functions kan ha extra datainmatningskostnader eftersom du är värd för Azure Functions i din Azure-organisation. Läs mer om priser för Azure Functions.

Agentbaserad integrering för dataanslutningar

Microsoft Sentinel kan använda Syslog-protokollet för att ansluta en agent till alla datakällor som kan utföra loggströmning i realtid. De flesta lokala datakällor ansluter till exempel med hjälp av agentbaserad integrering.

I följande avsnitt beskrivs de olika typerna av Microsoft Sentinel-agentbaserade dataanslutningar. Om du vill konfigurera anslutningar med hjälp av agentbaserade mekanismer följer du stegen på varje microsoft Sentinel-sida för dataanslutning.

Syslog

Du kan strömma händelser från Linux-baserade syslogstödande enheter till Microsoft Sentinel med hjälp av Azure Monitor Agent (AMA). Beroende på enhetstyp installeras agenten antingen direkt på enheten eller på en dedikerad Linux-baserad loggvidare. AMA tar emot händelser från Syslog-daemon via UDP. Syslog-daemon vidarebefordrar händelser till agenten internt och kommunicerar via UDS (Unix Domain Sockets). AMA överför sedan dessa händelser till Microsoft Sentinel-arbetsytan.

Här är ett enkelt flöde som visar hur Microsoft Sentinel strömmar Syslog-data.

  1. Enhetens inbyggda Syslog-daemon samlar in lokala händelser av de angivna typerna och vidarebefordrar händelserna lokalt till agenten.
  2. Agenten strömmar händelserna till din Log Analytics-arbetsyta.
  3. Efter en lyckad konfiguration visas data i Log Analytics Syslog-tabellen.

Mer information finns i Självstudie: Vidarebefordra Syslog-data till en Log Analytics-arbetsyta med Microsoft Sentinel med hjälp av Azure Monitor Agent.

Common Event Format (CEF)

Loggformaten varierar, men många källor stöder CEF-baserad formatering. Microsoft Sentinel-agenten, som faktiskt är Log Analytics-agenten, konverterar CEF-formaterade loggar till ett format som Log Analytics kan mata in.

För datakällor som genererar data i CEF konfigurerar du Syslog-agenten och konfigurerar sedan CEF-dataflödet. Efter en lyckad konfiguration visas data i tabellen CommonSecurityLog .

Mer information finns i Hämta CEF-formaterade loggar från din enhet eller installation till Microsoft Sentinel.

Anpassade loggar

För vissa datakällor kan du samla in loggar som filer på Windows- eller Linux-datorer med hjälp av log Analytics-agenten för anpassad logginsamling.

Om du vill ansluta med log analytics-agenten för anpassad logginsamling följer du stegen på varje sida för Microsoft Sentinel-dataanslutning. När konfigurationen har slutförts visas data i anpassade tabeller.

Mer information finns i Samla in data i anpassade loggformat till Microsoft Sentinel med Log Analytics-agenten.

Tjänst-till-tjänst-integrering för dataanslutningar

Microsoft Sentinel använder Azure Foundation för att tillhandahålla service-till-tjänst-support för Microsoft-tjänster och Amazon Web Services.

Mer information finns i följande artiklar:

Stöd för dataanslutning

Både Microsoft och andra organisationer skapar Microsoft Sentinel-dataanslutningsprogram. Varje dataanslutning har någon av följande supporttyper som visas på dataanslutningssidan i Microsoft Sentinel.

Supporttyp beskrivning
Microsoft-stöd Gäller för:
  • Dataanslutningar för datakällor där Microsoft är dataleverantör och författare.
  • Vissa Microsoft-skapade dataanslutningsprogram för datakällor som inte är från Microsoft.
Microsoft stöder och underhåller dataanslutningar i den här kategorin enligt Microsoft Azure-supportplaner.

Partner eller communityn stöder dataanslutningar som skapats av någon annan part än Microsoft.
Partnerstödd Gäller för dataanslutningar som skapats av andra parter än Microsoft.

Partnerföretaget tillhandahåller support eller underhåll för dessa dataanslutningar. Partnerföretaget kan vara en oberoende programvaruleverantör, en hanterad tjänstleverantör (MSP/MSSP), en systemintegrerare (SI) eller någon organisation vars kontaktinformation finns på Sidan Microsoft Sentinel för dataanslutningen.

Om du har problem med en dataanslutning som stöds av en partner kontaktar du supportkontakten för den angivna dataanslutningen.
Community-stödd Gäller för dataanslutningar som skapats av Microsoft eller partnerutvecklare som inte har angivna kontakter för stöd och underhåll av dataanslutningsappar på sidan för dataanslutning i Microsoft Sentinel.

För frågor eller problem med dessa dataanslutningar kan du skapa ett problem i Microsoft Sentinel GitHub-communityn.

Mer information finns i Hitta stöd för en dataanslutning.

Nästa steg

Mer information om dataanslutningar finns i följande artiklar.

En grundläggande IaC-referens (Infrastruktur som kod) för Bicep, Azure Resource Manager och Terraform för att distribuera dataanslutningar i Microsoft Sentinel finns i IaC-referens för Microsoft Sentinel-dataanslutning.