Hitta din Microsoft Sentinel dataanslutning

Gäller för: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

I den här artikeln visas alla färdiga dataanslutningsprogram som stöds och länkar till distributionsstegen för varje anslutningsapp.

Viktigt

Observera att Microsoft Sentinel dataanslutningar för närvarande är i förhandsversion. De kompletterande villkoren för Azure förhandsversion innehåller ytterligare juridiska villkor som gäller för Azure funktioner som är i betaversion, förhandsversion eller på annat sätt ännu inte har släppts i allmän tillgänglighet.
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen. Från och med juli 2025 registreras och omdirigeras många nya kunder automatiskt till Defender-portalen. Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender. Mer information finns i It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Det är dags att flytta: Dra tillbaka Microsoft Sentinel är Azure Portal för ökad säkerhet).

Dataanslutningar är tillgängliga som en del av följande erbjudanden:

Lösningar: Många dataanslutningar distribueras som en del av Microsoft Sentinel lösning tillsammans med relaterat innehåll som analysregler, arbetsböcker och spelböcker. Mer information finns i Microsoft Sentinel-lösningskatalogen.
Community-anslutningsappar: Fler dataanslutningar tillhandahålls av Microsoft Sentinel community och finns på Azure Marketplace. Dokumentation för community-dataanslutningar ansvarar för den organisation som skapade anslutningsappen.
Anpassade anslutningsappar: Om du har en datakälla som inte finns med i listan eller som stöds för närvarande kan du också skapa en egen anpassad anslutningsapp. Mer information finns i Resurser för att skapa Microsoft Sentinel anpassade anslutningsappar.

Obs!

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Tillgänglighet för molnfunktioner för amerikanska myndighetskunder.

Krav för dataanslutning

Varje dataanslutning har en egen uppsättning krav. Krav kan vara att du måste ha specifika behörigheter för din Azure arbetsyta, prenumeration eller princip. Eller så måste du uppfylla andra krav för den partnerdatakälla som du ansluter till.

Krav för varje dataanslutningsapp visas på sidan för relevant dataanslutning i Microsoft Sentinel.

Azure Monitor-agentbaserade dataanslutningsprogram (AMA) kräver en Internetanslutning från systemet där agenten är installerad. Aktivera utgående port 443 för att tillåta en anslutning mellan systemet där agenten är installerad och Microsoft Sentinel.

Syslog- och CEF-anslutningsappar (Common Event Format)

Logginsamling från många säkerhetsenheter och enheter stöds av dataanslutningarna Syslog via AMA eller Common Event Format (CEF) via AMA i Microsoft Sentinel. Om du vill vidarebefordra data till Log Analytics-arbetsytan för Microsoft Sentinel slutför du stegen i Mata in syslog- och CEF-meddelanden för att Microsoft Sentinel med Azure Monitor-agenten. Dessa steg omfattar installation av Microsoft Sentinel lösning för en säkerhetsinstallation eller enhet från innehållshubben i Microsoft Sentinel. Konfigurera sedan Syslog via AMA eller Common Event Format (CEF) via AMA-dataanslutningen som är lämplig för den Microsoft Sentinel lösning som du har installerat. Slutför konfigurationen genom att konfigurera säkerhetsenheten eller installationen. Hitta instruktioner för att konfigurera din säkerhetsenhet eller -installation i någon av följande artiklar:

Kontakta lösningsleverantören om du vill ha mer information eller var informationen inte är tillgänglig för enheten eller enheten.

Anpassade loggar via AMA-anslutningsprogram

Filtrera och mata in loggar i textfilsformat från nätverk eller säkerhetsprogram som är installerade på Windows eller Linux datorer med hjälp av anpassade loggar via AMA-anslutningsappen i Microsoft Sentinel. Mer information finns i följande artiklar:

Sentinel dataanslutningar

Obs!

I följande tabell visas de dataanslutningar som är tillgängliga i Microsoft Sentinel Innehållshubb. Anslutningsapparna stöds av produktleverantören. Mer information finns i länken Stöds av .

Tips

En lista över tabeller som matas in i Microsoft Sentinel och de anslutningsappar som matar in dem finns i Microsoft Sentinel tabeller och associerade anslutningsappar.

1Password (serverlös)

Stöds av:1Password

Med 1Password CCF-anslutningsappen kan användaren mata in 1Password Audit, Signin & ItemUsage-händelser i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`OnePasswordEventLogs_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

1Password API-token: En 1Password API-token krävs. Se 1Password-dokumentationen om hur du skapar en API-token.

1Password (med Azure Functions)

Stöds av:1Password

Med 1Password-lösningen för Microsoft Sentinel kan du mata in inloggningsförsök, objektanvändning och granskningshändelser från ditt 1Password Business-konto med hjälp av API:et 1Password Events Reporting. På så sätt kan du övervaka och undersöka händelser i 1Password i Microsoft Sentinel tillsammans med andra program och tjänster som din organisation använder.

Underliggande Microsoft-tekniker som används:

Den här lösningen är beroende av följande tekniker, och vissa av dem kan vara i förhandsversionstillstånd eller kan medföra ytterligare inmatnings- eller driftskostnader:

Azure Functions

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`OnePasswordEventLogs_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
API-token för 1Password-händelser: En API-token för 1Password-händelser krävs. Mer information finns i 1Password-API:et.

Observera: Ett 1Password Business-konto krävs

A365 Observerbarhet

Stöds av:Microsoft Corporation

A365 Observability Data Connector ger bättre insikter om AI-agentaktivitet genom att ta med AI-agenttelemetri från A365, AI Foundry och Copilot i Microsoft Sentinel datasjö för att undersöka agentbeteende, verktygsanvändning och körning med jakt-, graf- och MCP-arbetsflöden. Data från den här anslutningsappen används för att undersöka AI-agentens beteende, verktygsanvändning och körning i Microsoft Sentinel. Om du har aktiverat dessa arbetsflöden förhindrar inaktivering av den här anslutningsappen att dessa undersökningar utförs.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar

Stöd för datainsamlingsregel: Stöds inte för närvarande

AbnormalSecurity (med hjälp av Azure Function)

Stöds av:Onormal säkerhet

Dataanslutningsappen Onormal säkerhet ger möjlighet att mata in hot- och ärendeloggar i Microsoft Sentinel med hjälp av rest-API:et för onormal säkerhet.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ABNORMAL_THREAT_MESSAGES_CL`	Nej	Nej
`ABNORMAL_CASES_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Onormal API för säkerhet token: En onormal API för säkerhet token krävs. Mer information finns i Onormal API för säkerhet. Observera: Ett onormalt säkerhetskonto krävs

AIShield

Stöds av:AIShield

MED AIShield-anslutningsappen kan användarna ansluta till AIShields anpassade skyddsmetodloggar med Microsoft Sentinel, vilket gör det möjligt att skapa dynamiska instrumentpaneler, arbetsböcker, notebook-filer och skräddarsydda aviseringar för att förbättra undersökningen och förhindra attacker på AI-system. Det ger användarna mer insikt i organisationens säkerhet för AI-tillgångar och förbättrar deras funktioner för säkerhetsåtgärd i AI-system. AIShield.GuArdIan analyserar det LLM-genererade innehållet för att identifiera och minimera skadligt innehåll, skydda mot juridiska, princip-, rollbaserade och användningsbaserade överträdelser

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AIShield_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Obs! Användare bör ha använt AIShield SaaS-erbjudandet för att utföra sårbarhetsanalys och distribuerade anpassade försvarsmekanismer som genererats tillsammans med deras AI-tillgång. Klicka här om du vill veta mer eller kontakta oss.

Alibaba Cloud ActionTrail (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Alibaba Cloud ActionTrail-dataanslutningen ger möjlighet att hämta actiontrail-händelser som lagras i Alibaba Cloud Simple Log Service och lagra dem i Microsoft Sentinel via SLS REST API. Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AliCloudActionTrailLogs_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Autentiseringsuppgifter/behörigheter för SLS REST API: AliCloudAccessKeyId och AliCloudAccessKeySecret krävs för att göra API-anrop. RAM-principuttryck med åtgärd av minst log:GetLogStoreLogs över resurs acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName} krävs för att ge en RAM-användare behörighet att anropa den här åtgärden.

Alibaba Cloud Networking Data Connector (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Alibaba Cloud Networking-dataanslutningsappen ger möjlighet att mata in Alibaba Cloud-nätverksdata i Microsoft Sentinel via REST-API:et för Simple Log Service (SLS). Mer information finns i API-dokumentationen . Anslutningsappen ger möjlighet att hämta VPC-flödesloggar, WAF-loggar och API Gateway-loggar från Alibaba Cloud.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AlibabaCloudVPCFlowLogs`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Alibaba Cloud SLS API-åtkomst: Åtkomst till Alibaba Cloud Simple Log Service krävs för SLS-API:et.

AliCloud (med Azure Functions)

Stöds av:Microsoft Corporation

AliCloud-dataanslutningsappen ger möjlighet att hämta loggar från molnprogram med hjälp av moln-API:et och lagra händelser i Microsoft Sentinel via REST-API:et. Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AliCloud_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: AliCloudAccessKeyId och AliCloudAccessKey krävs för att göra API-anrop.

Amazon Web Services

Stöds av:Microsoft Corporation

Instruktioner för att ansluta till AWS och strömma dina CloudTrail-loggar till Microsoft Sentinel visas under installationsprocessen. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AWSCloudTrail`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Amazon Web Services CloudFront (via Codeless Connector Framework) (förhandsversion)

Stöds av:Microsoft Corporation

Med den här dataanslutningsappen kan du integrera AWS CloudFront-loggar med Microsoft Sentinel för att stödja avancerad hotidentifiering, undersökning och säkerhetsövervakning. Genom att använda Amazon S3 för logglagring och Amazon SQS för meddelandeköer matar anslutningsappen in CloudFront-åtkomstloggar i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AWSCloudFront_AccessLog_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Amazon Web Services Elastic Load Balancing (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Med AWS-anslutningsappen för elastisk belastningsutjämning (ELB) för Microsoft Sentinel kan du mata in åtkomstloggar och flödesloggar från AWS Application Load Balancers (ALB), NLB (Network Load Balancers) och Gateway Load Balancers (GLB) till Microsoft Sentinel. Dessa loggar innehåller detaljerad information om begäranden som bearbetas av dina lastbalanserare och VPC-trafikflöden, vilket möjliggör säkerhetsövervakning, hotidentifiering och trafikanalys.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AWSALBAccessLogsData`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

AWS IAM-roll-ARN och SQS-kö: En AWS IAM-roll-ARN med åtkomst mellan konton och en SQS-kö-URL som konfigurerats för S3-händelseaviseringar krävs. Installationsanvisningar finns i dokumentationen för AWS ELB-anslutningsappen .

Amazon Web Services NetworkFirewall (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Med den här dataanslutningsappen kan du mata in loggar för AWS-nätverksbrandväggen i Microsoft Sentinel för avancerad hotidentifiering och säkerhetsövervakning. Genom att använda Amazon S3 och Amazon SQS vidarebefordrar anslutningsappen nätverkstrafikloggar, aviseringar om intrångsidentifiering och brandväggshändelser till Microsoft Sentinel, vilket möjliggör realtidsanalys och korrelation med andra säkerhetsdata

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AWSNetworkFirewallFlow`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Amazon Web Services S3

Stöds av:Microsoft Corporation

Med den här anslutningsappen kan du mata in AWS-tjänstloggar som samlats in i AWS S3-bucketar för att Microsoft Sentinel. De datatyper som stöds för närvarande är:

AWS CloudTrail
VPC-flödesloggar
AWS GuardDuty
AWSCloudWatch

Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AWSGuardDuty`	Ja	Ja
`AWSVPCFlow`	Ja	Ja
`AWSCloudTrail`	Ja	Ja
`AWSCloudWatch`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Miljö: Du måste ha följande AWS-resurser definierade och konfigurerade: S3, Simple Queue Service (SQS), IAM-roller och behörighetsprinciper samt de AWS-tjänster vars loggar du vill samla in.

Amazon Web Services S3 DNS Route53 (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Den här anslutningsappen möjliggör inmatning av AWS Route 53 DNS-loggar till Microsoft Sentinel för bättre synlighet och hotidentifiering. Den stöder DNS Resolver-frågeloggar som matas in direkt från AWS S3-bucketar, medan offentliga DNS-frågeloggar och Route 53-granskningsloggar kan matas in med hjälp av Microsoft Sentinel AWS CloudWatch- och CloudTrail-anslutningsappar. Omfattande instruktioner tillhandahålls som vägleder dig genom konfigurationen av varje loggtyp. Använd den här anslutningsappen för att övervaka DNS-aktivitet, identifiera potentiella hot och förbättra din säkerhetsstatus i molnmiljöer.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AWSRoute53Resolver`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Amazon Web Services S3 WAF

Stöds av:Microsoft Corporation

Med den här anslutningsappen kan du mata in AWS WAF-loggar som samlats in i AWS S3-bucketar för att Microsoft Sentinel. AWS WAF-loggar är detaljerade register över trafik som ACL:er (web access control lists) analyserar, vilket är viktigt för att upprätthålla säkerheten och prestandan för webbprogram. Dessa loggar innehåller information, till exempel när AWS WAF tog emot begäran, detaljerna för begäran och den åtgärd som vidtagits av regeln som begäran matchade.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AWSWAF`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Anvilogic

Stöds av:Anvilogic

Med anvilogic-dataanslutningsappen kan du hämta händelser av intresse som genererats i Anvilogic ADX-klustret till din Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Anvilogic_Alerts_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Anvilogic Application Registration Client ID och Client Secret: För att få åtkomst till Anvilogic ADX behöver vi klient-ID och klienthemlighet från anvilogic-appregistreringen

ARGOS Cloud Security

Stöds av:ARGOS Cloud Security

Med ARGOS Cloud Security-integreringen för Microsoft Sentinel kan du ha alla dina viktiga molnsäkerhetshändelser på ett och samma ställe. På så sätt kan du enkelt skapa instrumentpaneler, aviseringar och korrelera händelser i flera system. Sammantaget förbättrar detta organisationens säkerhetsstatus och svar på säkerhetsincidenter.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ARGOS_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Armis-aviseringsaktiviteter (med hjälp av Azure Functions)

Stöds av:Armis Corporation

Armis Alerts Activities-anslutningsappen ger möjlighet att mata in Armis-aviseringar och -aktiviteter i Microsoft Sentinel via Armis REST API. Mer information finns i API-dokumentationen https://<YourArmisInstance>.armis.com/api/v1/docs . Anslutningsappen ger möjlighet att få information om aviseringar och aktiviteter från Armis-plattformen och att identifiera och prioritera hot i din miljö. Armis använder din befintliga infrastruktur för att identifiera och identifiera enheter utan att behöva distribuera några agenter.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Armis_Alerts_CL`	Nej	Nej
`Armis_Activities_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: Armis Secret Key krävs. Läs dokumentationen om du vill veta mer om API:et på https://<YourArmisInstance>.armis.com/api/v1/doc

Armis-enheter (med Azure Functions)

Stöds av:Armis Corporation

Armis-enhetsanslutningen ger möjlighet att mata in Armis-enheter i Microsoft Sentinel via Armis REST API. Mer information finns i API-dokumentationen https://<YourArmisInstance>.armis.com/api/v1/docs . Anslutningsappen ger möjlighet att hämta enhetsinformation från Armis-plattformen. Armis använder din befintliga infrastruktur för att identifiera och identifiera enheter utan att behöva distribuera några agenter. Armis kan också integreras med dina befintliga IT-& säkerhetshanteringsverktyg för att identifiera och klassificera varje enhet, hanterad eller ohanterad i din miljö.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Armis_Devices_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: Armis Secret Key krävs. Läs dokumentationen om du vill veta mer om API:et på https://<YourArmisInstance>.armis.com/api/v1/doc

Atlassian Beacon-aviseringar

Stöds av:DEFEND Ltd.

Atlassian Beacon är en molnprodukt som är byggd för intelligent hotidentifiering på Atlassian-plattformarna (Jira, Confluence och Atlassian Admin). Detta kan hjälpa användare att identifiera, undersöka och reagera på riskfylld användaraktivitet för Atlassian-produktsviten. Lösningen är en anpassad dataanslutning från DEFEND Ltd. som används för att visualisera aviseringarna som matas in från Atlassian Beacon för att Microsoft Sentinel via en logikapp.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`atlassian_beacon_alerts_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Atlassian Confluence-granskning (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Atlassian Confluence Audit-dataanslutningsappen ger möjlighet att mata in confluence Audit Records-händelser i Microsoft Sentinel via REST-API:et. Mer information finns i API-dokumentationen . Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ConfluenceAuditLogs_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Atlassian Confluence API-åtkomst: Behörighet för Administrering av confluence krävs för att få åtkomst till API:et för Confluence-granskningsloggar. Mer information om gransknings-API:et finns i Confluence API-dokumentationen .

Atlassian Jira Audit (med Azure Functions)

Stöds av:Microsoft Corporation

Atlassian Jira Audit-dataanslutningsappen ger möjlighet att mata in Jira Audit Records-händelser i Microsoft Sentinel via REST-API:et. Mer information finns i API-dokumentationen . Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Jira_Audit_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: JiraAccessToken, JiraUsername krävs för REST API. Mer information finns i API. Kontrollera alla krav och följ anvisningarna för att hämta autentiseringsuppgifter.

Atlassian Jira Audit (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Jira_Audit_v2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Atlassian Jira API-åtkomst: Behörighet för Administrera Jira krävs för att få åtkomst till API:et för Jira-granskningsloggar. Mer information om gransknings-API:et finns i Jira API-dokumentationen .

Åtkomsthantering för Auth0 (med Azure Functions)

Stöds av:Microsoft Corporation

Dataanslutningsappen Auth0 Access Management ger möjlighet att mata in Auth0-logghändelser i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Auth0AM_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/-behörigheter: API-token krävs. Mer information finns i API-token

Auth0-loggar (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Med Auth0-dataanslutningsappen kan du mata in loggar från Auth0 API till Microsoft Sentinel. Dataanslutningen bygger på Microsoft Sentinel Codeless Connector Framework. Den använder Auth0 API för att hämta loggar och stöder DCR-baserade omvandlingar av inmatningstid som parsar mottagna säkerhetsdata i en anpassad tabell så att frågor inte behöver parsa dem igen, vilket ger bättre prestanda.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Auth0Logs_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Automated Logic WebCTRL

Stöds av:Microsoft Corporation

Du kan strömma granskningsloggarna från WebCTRL SQL-servern som finns på Windows-datorer som är anslutna till din Microsoft Sentinel. Med den här anslutningen kan du visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta ger insikter om dina industriella kontrollsystem som övervakas eller styrs av WebCTRL BAS-programmet.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Event`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

AWS EKS Data Connector (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

AWS EKS-dataanslutningsappen ger möjlighet att mata in granskningsloggar från Amazon Elastic Kubernetes Service till Microsoft Sentinel. Den här anslutningsappen fokuserar på EKS-granskningsloggar (JSON-format) som innehåller detaljerad information om API-serverbegäranden, autentiseringsbeslut och klusteraktiviteter. Anslutningsappen använder AWS SQS för att ta emot meddelanden när nya granskningsloggfiler exporteras till S3, vilket säkerställer säkerhetsövervakning och efterlevnadsspårning i realtid för dina Kubernetes-kluster.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AWSEKSLogs_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Åtkomstloggar för AWS S3-server (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Med den här anslutningsappen kan du mata in AWS S3-serveråtkomstloggar i Microsoft Sentinel. De här loggarna innehåller detaljerade poster för begäranden som görs till S3-bucketar, inklusive typ av begäran, resursåtkomst, information om beställare och svarsinformation. Dessa loggar är användbara för att analysera åtkomstmönster, felsöka problem och säkerställa säkerhetsefterlevnad.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AWSS3ServerAccess`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Miljö: Du måste ha följande AWS-resurser definierade och konfigurerade: S3 Bucket, Simple Queue Service (SQS), IAM-roller och behörighetsprinciper.

AWS Security Hub-resultat (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Den här anslutningsappen möjliggör inmatning av AWS Security Hub-resultat, som samlas in i AWS S3-bucketar, i Microsoft Sentinel. Det hjälper till att effektivisera övervakningen och hanteringen av säkerhetsaviseringar genom att integrera AWS Security Hub-resultat med Microsoft Sentinel avancerade funktioner för hotidentifiering och svar.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AWSSecurityHubFindings`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Miljö: Du måste ha följande AWS-resurser definierade och konfigurerade: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), IAM-roller och behörighetsprinciper.

Azure aktivitet

Stöds av:Microsoft Corporation

Azure aktivitetsloggen är en prenumerationslogg som ger inblick i händelser på prenumerationsnivå som inträffar i Azure, inklusive händelser från Azure Resource Manager driftdata, tjänsthälsohändelser, skrivåtgärder som vidtas på resurserna i din prenumeration och status för aktiviteter som utförs i Azure. Mer information finns i dokumentationen för Microsoft Sentinel .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureActivity`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Azure Batch konto

Stöds av:Microsoft Corporation

Azure Batch-kontot är en unikt identifierad entitet i Batch-tjänsten. De flesta Batch-lösningar använder Azure Storage för att lagra resursfiler och utdatafiler, så varje Batch-konto är vanligtvis associerat med ett motsvarande lagringskonto. Med den här anslutningsappen kan du strömma loggar för Azure Batch kontodiagnostik till Microsoft Sentinel, så att du kan övervaka aktivitet kontinuerligt. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureDiagnostics`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Princip: Ägarroll tilldelad för varje principtilldelningsomfång

Azure CloudNGFW av Palo Alto Networks

Stöds av:Palo Alto Networks

Nästa generations brandvägg i molnet från Palo Alto Networks – en Azure intern ISV-tjänst – är Palo Alto Networks Next-Generation Firewall (NGFW) som levereras som en molnbaserad tjänst på Azure. Du kan identifiera Cloud NGFW på Azure Marketplace och använda det i dina Azure virtuella nätverk (VNet). Med Cloud NGFW kan du komma åt kärnfunktionerna i NGFW, till exempel App-ID, URL-filtreringsbaserade tekniker. Det ger skydd mot hot och identifiering via molnbaserade säkerhetstjänster och signaturer för skydd mot hot. Med anslutningsappen kan du enkelt ansluta dina Cloud NGFW-loggar med Microsoft Sentinel, visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta ger dig mer inblick i organisationens nätverk och förbättrar dina säkerhetsfunktioner. Mer information finns i dokumentationen för Cloud NGFW för Azure.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`fluentbit_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Azure Cognitive Search

Stöds av:Microsoft Corporation

Azure Cognitive Search är en molnsöktjänst som ger utvecklare infrastruktur, API:er och verktyg för att skapa en omfattande sökupplevelse över privat, heterogent innehåll i webb-, mobil- och företagsprogram. Med den här anslutningsappen kan du strömma dina Azure Cognitive Search diagnostikloggar till Microsoft Sentinel, så att du kan övervaka aktivitet kontinuerligt.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureDiagnostics`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Princip: Ägarroll tilldelad för varje principtilldelningsomfång

Azure DDoS-skydd

Stöds av:Microsoft Corporation

Anslut till Azure DDoS Protection Standard-loggar via diagnostikloggar för offentliga IP-adresser. Förutom det grundläggande DDoS-skyddet på plattformen tillhandahåller Azure DDoS Protection Standard avancerade DDoS-riskreduceringsfunktioner mot nätverksattacker. Den justeras automatiskt för att skydda dina specifika Azure resurser. Skydd är enkelt att aktivera när nya virtuella nätverk skapas. Det kan också göras när det har skapats och kräver inga program- eller resursändringar. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureDiagnostics`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Azure DevOps-granskningsloggar (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Med dataanslutningen Azure DevOps-granskningsloggar kan du mata in granskningshändelser från Azure DevOps till Microsoft Sentinel. Den här dataanslutningsappen skapas med hjälp av Microsoft Sentinel Codeless Connector Framework, vilket säkerställer sömlös integrering. Den använder api:et Azure DevOps-granskningsloggar för att hämta detaljerade granskningshändelser och stöder DCR-baserade omvandlingar av inmatningstid. Dessa transformeringar möjliggör parsning av mottagna granskningsdata i en anpassad tabell under inmatningen, vilket förbättrar frågeprestandan genom att eliminera behovet av ytterligare parsning. Med hjälp av den här anslutningsappen kan du få bättre insyn i din Azure DevOps-miljö och effektivisera dina säkerhetsåtgärder.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ADOAuditLogs_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure DevOps-krav: Kontrollera följande:
1. Registrera en Entra-app i Microsoft Entra Admin Center under Appregistreringar.
2. I "API-behörigheter" – lägg till Behörigheter till "Azure DevOps – vso.auditlog".
3. I "Certifikat & hemligheter" - generera "Klienthemlighet".
4. I "Autentisering" lägger du till omdirigerings-URI:n som finns nedan i motsvarande fält.
5. I Azure DevOps-inställningar aktiverar du granskningslogg och anger Visa granskningslogg för användaren. Azure DevOps-granskning.
6. Se till att användaren som har tilldelats att ansluta dataanslutningsappen har behörigheten Visa granskningsloggar uttryckligen inställd på Tillåt hela tiden. Den här behörigheten är nödvändig för att logginmatningen ska lyckas. Om behörigheten återkallas eller inte beviljas misslyckas datainmatningen eller avbryts.

Azure händelsehubb

Stöds av:Microsoft Corporation

Azure Event Hubs är en plattform för stordataströmning och händelseinmatningstjänst. Den kan ta emot och bearbeta miljontals händelser per sekund. Med den här anslutningsappen kan du strömma Azure händelsehubbens diagnostikloggar till Microsoft Sentinel, så att du kan övervaka aktivitet kontinuerligt.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureDiagnostics`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Princip: Ägarroll tilldelad för varje principtilldelningsomfång

Azure Firewall

Stöds av:Microsoft Corporation

Anslut till Azure Firewall. Azure Firewall är en hanterad, molnbaserad nätverkssäkerhetstjänst som skyddar dina Azure Virtual Network resurser. Det är en fullständigt tillståndskänslig brandvägg som en tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureDiagnostics`	Nej	Nej
`AZFWApplicationRule`	Ja	Ja
`AZFWFlowTrace`	Ja	Ja
`AZFWFatFlow`	Ja	Ja
`AZFWNatRule`	Ja	Ja
`AZFWDnsQuery`	Ja	Ja
`AZFWIdpsSignature`	Ja	Ja
`AZFWInternalFqdnResolutionFailure`	Ja	Ja
`AZFWNetworkRule`	Ja	Ja
`AZFWThreatIntel`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Azure Key Vault

Stöds av:Microsoft Corporation

Azure Key Vault är en molntjänst för säker lagring och åtkomst till hemligheter. En hemlighet är allt du vill kontrollera åtkomsten till, till exempel API-nycklar, lösenord, certifikat eller kryptografiska nycklar. Med den här anslutningsappen kan du strömma dina Azure Key Vault-diagnostikloggar till Microsoft Sentinel, så att du kontinuerligt kan övervaka aktivitet i alla dina instanser. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureDiagnostics`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Azure Kubernetes Service (AKS)

Stöds av:Microsoft Corporation

Azure Kubernetes Service (AKS) är en fullständigt hanterad containerorkestreringstjänst med öppen källkod som gör att du kan distribuera, skala och hantera Docker-containrar och containerbaserade program i en klustermiljö. Med den här anslutningsappen kan du strömma dina Azure Kubernetes Service-diagnostikloggar (AKS) till Microsoft Sentinel, så att du kontinuerligt kan övervaka aktivitet i alla dina instanser. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureDiagnostics`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Azure Logic Apps

Stöds av:Microsoft Corporation

Azure Logic Apps är en molnbaserad plattform för att skapa och köra automatiserade arbetsflöden som integrerar dina appar, data, tjänster och system. Med den här anslutningsappen kan du strömma dina Azure Logic Apps-diagnostikloggar till Microsoft Sentinel, så att du kan övervaka aktivitet kontinuerligt.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureDiagnostics`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Princip: Ägarroll tilldelad för varje principtilldelningsomfång

Azure Resource Graph

Stöds av:Microsoft Corporation

Azure Resource Graph-anslutningsappen ger bättre insikter om Azure händelser genom att komplettera information om Azure prenumerationer och Azure resurser.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Princip: Behörighet för ägarroll för Azure-prenumerationer

Azure Service Bus

Stöds av:Microsoft Corporation

Azure Service Bus är en fullständigt hanterad meddelandekö för företag med meddelandeköer och publicera-prenumerera-ämnen (i ett namnområde). Med den här anslutningsappen kan du strömma dina Azure Service Bus-diagnostikloggar till Microsoft Sentinel, så att du kan övervaka aktivitet kontinuerligt.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureDiagnostics`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Princip: Ägarroll tilldelad för varje principtilldelningsomfång

Azure SQL databaser

Stöds av:Microsoft Corporation

Azure SQL är en fullständigt hanterad PaaS-databasmotor (Plattform som en tjänst) som hanterar de flesta databashanteringsfunktioner, till exempel uppgradering, korrigering, säkerhetskopiering och övervakning, utan att användaren behöver delta. Med den här anslutningsappen kan du strömma gransknings- och diagnostikloggar för dina Azure SQL-databaser till Microsoft Sentinel, så att du kontinuerligt kan övervaka aktivitet i alla dina instanser.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureDiagnostics`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Azure lagringskonto

Stöds av:Microsoft Corporation

Azure Storage-konto är en molnlösning för moderna datalagringsscenarier. Den innehåller alla dina dataobjekt: blobar, filer, köer, tabeller och diskar. Med den här anslutningsappen kan du strömma diagnostikloggar för Azure lagringskonton till din Microsoft Sentinel arbetsyta, så att du kontinuerligt kan övervaka aktivitet i alla dina instanser och identifiera skadlig aktivitet i din organisation. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureMetrics`	Nej	Nej
`StorageBlobLogs`	Ja	Ja
`StorageQueueLogs`	Ja	Ja
`StorageTableLogs`	Ja	Ja
`StorageFileLogs`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Princip: Ägarroll tilldelad för varje principtilldelningsomfång

Azure Stream Analytics

Stöds av:Microsoft Corporation

Azure Stream Analytics är en analysmotor i realtid och en komplex motor för händelsebearbetning som är utformad för att analysera och bearbeta stora volymer av snabbströmningsdata från flera källor samtidigt. Med den här anslutningsappen kan du strömma dina Azure Stream Analytics-hubbdiagnostikloggar till Microsoft Sentinel, så att du kan övervaka aktivitet kontinuerligt.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureDiagnostics`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Princip: Ägarroll tilldelad för varje principtilldelningsomfång

Azure Web Application Firewall (WAF)

Stöds av:Microsoft Corporation

Anslut till Azure Web Application Firewall (WAF) för Application Gateway, Front Door eller CDN. Denna WAF skyddar dina program från vanliga webbsårbarheter som SQL-inmatning och skriptkörning mellan webbplatser, och gör att du kan anpassa regler för att minska falska positiva identifieringar. Instruktioner för att strömma brandväggsloggarna för microsoft webbaserade program till Microsoft Sentinel visas under installationsprocessen. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureDiagnostics`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

BETTER Mobile Threat Defense (MTD)

Stöds av:Better Mobile Security Inc.

Med BETTER MTD-anslutningsappen kan företag ansluta sina Better MTD-instanser till Microsoft Sentinel, visa sina data i instrumentpaneler, skapa anpassade aviseringar, använda dem för att utlösa spelböcker och utöka funktionerna för hotjakt. Detta ger användarna mer inblick i organisationens mobila enheter och möjlighet att snabbt analysera den aktuella mobila säkerhetspositionen, vilket förbättrar deras övergripande SecOps-funktioner.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`BetterMTDIncidentLog_CL`	Nej	Nej
`BetterMTDDeviceLog_CL`	Nej	Nej
`BetterMTDNetflowLog_CL`	Nej	Nej
`BetterMTDAppLog_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

BeyondTrust PM Cloud

Stöds av:BeyondTrust

Dataanslutningsappen BeyondTrust Privilege Management Cloud ger möjlighet att mata in aktivitetsgranskningsloggar och klienthändelseloggar från BeyondTrust PM Cloud till Microsoft Sentinel.

Den här anslutningsappen använder Azure Functions för att hämta data från BeyondTrust PM Cloud API och mata in dem i anpassade Log Analytics-tabeller.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`BeyondTrustPM_ActivityAudits_CL`	Ja	Ja
`BeyondTrustPM_ClientEvents_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
BeyondTrust PM Cloud API-autentiseringsuppgifter: BeyondTrust PM Cloud OAuth-klient-ID och klienthemlighet krävs. API-kontot kräver följande behörigheter: Granskning – Skrivskyddad och rapportering – Skrivskyddad

BigID DSPM-anslutningsprogram

Stöds av:BigID

BigID DSPM-dataanslutningsappen ger möjlighet att mata in BigID-DSPM fall med berörda objekt och information om datakällor i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`BigIDDSPMCatalog_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

BigID DSPM API-åtkomst: Åtkomst till BigID DSPM API via en BigID-token krävs.

Bitglas (med Azure Functions)

Stöds av:Microsoft Corporation

Bitglass-dataanslutningsappen ger möjlighet att hämta säkerhetshändelseloggar för Bitglass-tjänsterna och fler händelser till Microsoft Sentinel via REST-API:et. Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`BitglassLogs_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/-behörigheter: BitglassToken och BitglassServiceURL krävs för att göra API-anrop.

Bitwarden-händelseloggar

Stöds av:Bitwarden Inc

Den här anslutningsappen ger inblick i aktiviteten i din Bitwarden-organisation, till exempel användarens aktivitet (inloggad, ändrat lösenord, 2fa osv.), chifferaktivitet (skapad, uppdaterad, borttagen, delad osv.), insamlingsaktivitet, organisationsaktivitet med mera.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`BitwardenEventLogs`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Bitwarden-klient-ID och klienthemlighet: Din API-nyckel finns i bitwarden-organisationens administratörskonsol. Mer information finns i Bitwarden-dokumentationen .

Box (med Azure Functions)

Stöds av:Microsoft Corporation

Box-dataanslutningsappen ger möjlighet att mata in Box Enterprise-händelser i Microsoft Sentinel med hjälp av Box REST API. Mer information finns i Box-dokumentationen .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`BoxEvents_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Autentiseringsuppgifter för Box API: Box config JSON-fil krävs för Box REST API JWT-autentisering. Mer information finns i JWT-autentisering.

Box Events (CCF)

Stöds av:Microsoft Corporation

Box-dataanslutningsappen ger möjlighet att mata in Box Enterprise-händelser i Microsoft Sentinel med hjälp av Box REST API. Mer information finns i Box-dokumentationen .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`BoxEventsV2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Autentiseringsuppgifter för Box API: Box API kräver ett Klient-ID för Box App och klienthemlighet för att autentisera. Mer information finns i Bevilja klientautentiseringsuppgifter
Box Enterprise-ID: Box Enterprise-ID krävs för att upprätta anslutningen. Se dokumentationen för att hitta Företags-ID

Check Point CloudGuard CNAPP Connector för Microsoft Sentinel

Stöds av:Check Point

CloudGuard-dataanslutningsappen möjliggör inmatning av säkerhetshändelser från CloudGuard-API:et till Microsoft Sentinel ™ med hjälp av Microsoft Sentinel Codeless Connector Framework. Anslutningsappen stöder DCR-baserade inmatningstidstransformeringar som parsar inkommande säkerhetshändelsedata i anpassade kolumner. Den här förparsningsprocessen eliminerar behovet av frågetidsparsning, vilket ger bättre prestanda för datafrågor.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CloudGuard_SecurityEvents_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

CloudGuard API-nyckel: Se anvisningarna här för att generera en API-nyckel.

Check Point Anslutningsprogram för Cyberint-aviseringar (via Codeless Connector Framework)

Stöds av:Cyberint

Cyberint, ett Check Point företag, tillhandahåller en Microsoft Sentinel integrering för att effektivisera kritiska aviseringar och föra in berikad hotinformation från Infinity External Risk Management-lösningen i Microsoft Sentinel. Detta förenklar processen för att spåra status för biljetter med automatiska synkroniseringsuppdateringar mellan system. Med den här nya integreringen för Microsoft Sentinel kan befintliga Cyberint- och Microsoft Sentinel-kunder enkelt hämta loggar baserat på Cyberints resultat till Microsoft Sentinel plattform.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`argsentdc_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Check Point Cyberint API-nyckel, Argos-URL och kundnamn: API-nyckeln för anslutningsappen, Argos-URL:en och kundnamnet krävs

Check Point Cyberint IOC Connector

Stöds av:Cyberint

Det här är en dataanslutning för Check Point Cyberint IOC.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`iocsent_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Check Point Cyberint API-nyckel och Argos-URL: Api-nyckeln för anslutningsappen och Argos-URL:en krävs

Cisco ASA/FTD via AMA

Stöds av:Microsoft Corporation

Med Cisco ASA-brandväggsanslutningen kan du enkelt ansluta dina Cisco ASA-loggar med Microsoft Sentinel, visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta ger dig mer inblick i organisationens nätverk och förbättrar dina säkerhetsfunktioner.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CommonSecurityLog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Om du vill samla in data från icke-Azure virtuella datorer måste de ha Azure Arc installerat och aktiverat. Läs mer

Cisco Cloud Security (med Azure Functions)

Stöds av:Microsoft Corporation

Med Cisco Cloud Security-lösningen för Microsoft Sentinel kan du mata in Cisco Secure Access- och Cisco Umbrella-loggar som lagras i Amazon S3 i Microsoft Sentinel med hjälp av Amazon S3 REST API. Mer information finns i dokumentationen för logghantering i Cisco Cloud Security .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Cisco_Umbrella_dns_CL`	Ja	Ja
`Cisco_Umbrella_proxy_CL`	Ja	Ja
`Cisco_Umbrella_ip_CL`	Ja	Ja
`Cisco_Umbrella_cloudfirewall_CL`	Ja	Ja
`Cisco_Umbrella_firewall_CL`	Ja	Ja
`Cisco_Umbrella_dlp_CL`	Nej	Nej
`Cisco_Umbrella_ravpnlogs_CL`	Nej	Nej
`Cisco_Umbrella_audit_CL`	Nej	Nej
`Cisco_Umbrella_ztna_CL`	Nej	Nej
`Cisco_Umbrella_intrusion_CL`	Nej	Nej
`Cisco_Umbrella_ztaflow_CL`	Nej	Nej
`Cisco_Umbrella_fileevent_CL`	Nej	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Amazon S3 REST API Credentials/permissions: AWS Access Key ID, AWS Secret Access Key, AWS S3 Bucket Name krävs för Amazon S3 REST API.

Cisco Cloud Security (med elastisk premiumplan) (med Azure Functions)

Stöds av:Microsoft Corporation

Cisco Umbrella-dataanslutningsappen ger möjlighet att mata in Cisco Umbrella-händelser som lagras i Amazon S3 i Microsoft Sentinel med hjälp av Amazon S3 REST API. Mer information finns i dokumentationen för Cisco Umbrella-logghantering .

OBSERVERA: Den här dataanslutningsappen använder Azure Functions Premium-planen för att aktivera säkra inmatningsfunktioner och medför ytterligare kostnader. Mer prisinformation finns här.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Cisco_Umbrella_dns_CL`	Ja	Ja
`Cisco_Umbrella_proxy_CL`	Ja	Ja
`Cisco_Umbrella_ip_CL`	Ja	Ja
`Cisco_Umbrella_cloudfirewall_CL`	Ja	Ja
`Cisco_Umbrella_firewall_CL`	Ja	Ja
`Cisco_Umbrella_dlp_CL`	Nej	Nej
`Cisco_Umbrella_ravpnlogs_CL`	Nej	Nej
`Cisco_Umbrella_audit_CL`	Nej	Nej
`Cisco_Umbrella_ztna_CL`	Nej	Nej
`Cisco_Umbrella_intrusion_CL`	Nej	Nej
`Cisco_Umbrella_ztaflow_CL`	Nej	Nej
`Cisco_Umbrella_fileevent_CL`	Nej	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Amazon S3 REST API Credentials/permissions: AWS Access Key ID, AWS Secret Access Key, AWS S3 Bucket Name krävs för Amazon S3 REST API.
Virtual Network behörigheter (för privat åtkomst): För åtkomst till privata lagringskonton krävs behörigheter för nätverksdeltagare i Virtual Network och undernätet. Undernätet måste delegeras till Microsoft.Web/serverFarms för funktionsappens VNet-integrering.

Cisco Duo-säkerhet (med Azure Functions)

Stöds av:Cisco Systems

Cisco Duo Security-dataanslutningsappen ger möjlighet att mata in autentiseringsloggar, administratörsloggar, telefoniloggar, offlineregistreringsloggar och Trust Monitor-händelser i Microsoft Sentinel med hjälp av Cisco Duo Admin API. Mer information finns i API-dokumentationen .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CiscoDuo_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Cisco Duo API-autentiseringsuppgifter: Cisco Duo API-autentiseringsuppgifter med behörighet Bevilja läslogg krävs för Cisco Duo API. Mer information om hur du skapar autentiseringsuppgifter för Cisco Duo API finns i dokumentationen .

Cisco ETD (med Azure Functions)

Stöds av:N/A

Anslutningsappen hämtar data från ETD API för hotanalys

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CiscoETD_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Email Threat Defense API, API-nyckel, klient-ID och hemlighet: Se till att du har API-nyckeln, klient-ID och hemlig nyckel.

Cisco Meraki (med REST API)

Stöds av:Microsoft Corporation

Med Cisco Meraki-anslutningsappen kan du enkelt ansluta dina Cisco Meraki-organisationshändelser (säkerhetshändelser, konfigurationsändringar och API-begäranden) till Microsoft Sentinel. Dataanslutningsappen använder Cisco Meraki REST API för att hämta loggar och stöder DCR-baserade inmatningstidstransformeringar som parsar mottagna data och matar in i ASIM och anpassade tabeller på Log Analytics-arbetsytan. Den här dataanslutningsappen drar nytta av funktioner som DCR-baserad inmatningstidsfiltrering, datanormalisering.

ASIM-schema som stöds:

Nätverkssession
Webbsession
Granskningshändelse

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ASimNetworkSessionLogs`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Cisco Meraki REST API Key: Aktivera API-åtkomst i Cisco Meraki och generera API-nyckel. Mer information finns i Cisco Merakis officiella dokumentation .
Cisco Meraki Organisations-ID: Hämta ditt Cisco Meraki-organisations-ID för att hämta säkerhetshändelser. Följ stegen i dokumentationen för att hämta organisations-ID:t med hjälp av Meraki API-nyckeln som hämtades i föregående steg.

Cisco Secure Endpoint (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Cisco Secure Endpoint (tidigare AMP for Endpoints) dataanslutningsapp ger möjlighet att mata in Cisco Secure Endpoint-granskningsloggar och -händelser i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CiscoSecureEndpointAuditLogsV2_CL`	Ja	Ja
`CiscoSecureEndpointEventsV2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Cisco Secure Endpoint API Credentials/Regions: Om du vill skapa API-autentiseringsuppgifter och förstå regionerna följer du dokumentlänken här. Klicka här.

Cisco Software Defined WAN

Stöds av:Cisco Systems

Cisco Software Defined WAN(SD-WAN)-dataanslutningsappen ger möjlighet att mata in Cisco SD-WAN Syslog- och Netflow-data i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Syslog`	Ja	Ja
`CiscoSDWANNetflow_CL`	Nej	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Claroty xDome

Stöds av:xDome-kundsupport

Claroty xDome levererar omfattande säkerhets- och aviseringshanteringsfunktioner för sjukvårds- och industrinätverksmiljöer. Den är utformad för att mappa flera källtyper, identifiera insamlade data och integrera dem i Microsoft Sentinel datamodeller. Detta resulterar i möjligheten att övervaka alla potentiella hot i din sjukvård och industriella miljöer på en plats, vilket leder till effektivare säkerhetsövervakning och en starkare säkerhetsstatus.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CommonSecurityLog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Cloudflare (förhandsversion) (med Azure Functions)

Stöds av:Cloudflare

Cloudflare-dataanslutningsappen ger möjlighet att mata in Cloudflare-loggar i Microsoft Sentinel med hjälp av Cloudflare Logpush och Azure Blob Storage. Mer information finns i Cloudflare-dokumentationen .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Cloudflare_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Azure Blob Storage anslutningssträng och containernamn: Azure Blob Storage anslutningssträng och containernamn där loggarna skickas till av Cloudflare Logpush. Mer information finns i Skapa Azure Blob Storage container.

Cloudflare (med blobcontainer) (via Codeless Connector Framework)

Stöds av:Cloudflare

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CloudflareV2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Skapa ett lagringskonto och en container: Innan du konfigurerar logpush i Cloudflare skapar du först ett lagringskonto och en container i Microsoft Azure. Använd den här guiden om du vill veta mer om container och blob. Följ stegen i dokumentationen för att skapa ett Azure Storage-konto.
Generera en BLOB SAS-URL: Behörigheter för att skapa och skriva krävs. Läs dokumentationen om du vill veta mer om Blob SAS-token och URL.
Samla in loggar från Cloudflare till din blobcontainer: Följ stegen i dokumentationen för att samla in loggar från Cloudflare till blobcontainern.

Cognni

Stöds av:Cognni

Cognni-anslutningsappen erbjuder en snabb och enkel integrering med Microsoft Sentinel. Du kan använda Cognni för att autonomt mappa din tidigare oklassificerade viktiga information och identifiera relaterade incidenter. På så sätt kan du identifiera risker för viktig information, förstå allvarlighetsgraden för incidenterna och undersöka den information som du behöver åtgärda, tillräckligt snabbt för att göra skillnad.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CognniIncidents_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Kohesitet (med Azure Functions)

Stöds av:Cohesity

Cohesity-funktionsapparna ger möjlighet att mata in Cohesity Datahawk Ransomware-aviseringar i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Cohesity_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Azure Blob Storage anslutningssträng och containernamn: Azure Blob Storage anslutningssträng och containernamn

CommvaultSecurityIQ

Stöds av:Commvault

Den här Azure-funktionen gör det möjligt för Commvault-användare att mata in aviseringar/händelser i sin Microsoft Sentinel instans. Med analysregler kan Microsoft Sentinel automatiskt skapa Microsoft Sentinel incidenter från inkommande händelser och loggar.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CommvaultAlerts_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Commvault Environment Endpoint URL: Se till att följa dokumentationen och ange det hemliga värdet i KeyVault
Commvault QSDK-token: Se till att följa dokumentationen och ange det hemliga värdet i KeyVault

ContrastADR

Stöds av:Contrast Security

Med dataanslutningsappen ContrastADR kan du mata in kontrast-ADR-attackhändelser i Microsoft Sentinel med hjälp av ContrastADR Webhook. ContrastADR-dataanslutningsappen kan utöka inkommande webhook-data med ContrastADR API-berikningsanrop.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ContrastADR_CL`	Nej	Nej
`ContrastADRIncident_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.

Corelight Connector-exportör

Stöds av:Corelight

Corelight-dataanslutningsappen gör det möjligt för incidentpersonal och hotjägare som använder Microsoft Sentinel att arbeta snabbare och mer effektivt. Dataanslutningen möjliggör inmatning av händelser från Zeek och Suricata via Corelight Sensors till Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Corelight`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Cortex XDR – incidenter

Stöds av:DEFEND Ltd.

Anpassad dataanslutning från DEFEND för att använda Cortex-API:et för att mata in incidenter från Cortex XDR-plattformen till Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CortexXDR_Incidents_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Cortex API-autentiseringsuppgifter: Cortex API-token krävs för REST API. Mer information finns i API. Kontrollera alla krav och följ anvisningarna för att hämta autentiseringsuppgifter.

Cribl

Stöds av:Cribl

Med Cribl-anslutningsappen kan du enkelt ansluta dina Cribl-loggar (Cribl Enterprise Edition – fristående) med Microsoft Sentinel. Detta ger dig mer säkerhetsinsikter i organisationens datapipelines.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CriblInternal_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

CrowdStrike API Data Connector (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

CrowdStrike Data Connector tillåter inmatning av loggar från CrowdStrike-API:et till Microsoft Sentinel. Den här anslutningsappen ger möjlighet att mata in CrowdStrike-aviseringar, identifieringar, värdar, fall och sårbarheter i Microsoft Sentinel. Den här anslutningsappen bygger på Microsoft Sentinel Codeless Connector Framework och använder CrowdStrike-API:et för att hämta loggar. Det stöder DCR-baserade inmatningstidstransformeringar så att frågor kan köras mer effektivt. Mer information finns i CrowdStrike API-dokumentationen .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CrowdStrikeAlerts`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Crowdstrike OAuth2 API-klient och omfång: Aviseringar, API-integreringar, apploggar, fall, korrelationsregler, identifieringar, värdar, tillgångar, incidenter, Files i karantän, sårbarheter krävs för REST API. Mer information finns i API.

CrowdStrike Falcon Adversary Intelligence (med Azure Functions)

Stöds av:Microsoft Corporation

CrowdStrike Falcon Indicators of Compromise Connector hämtar indikatorerna för kompromettering från Falcon Intel-API:et och laddar upp dem Microsoft Sentinel Threat Intel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ThreatIntelIndicators`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
CrowdStrike API-klient-ID och klienthemlighet: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRETCROWDSTRIKE_BASE_URL. CrowdStrike-autentiseringsuppgifter måste ha läsomfånget Indicators (Falcon Intelligence).

CrowdStrike Falcon Data Replicator (AWS S3) (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Anslutningsappen Crowdstrike Falcon Data Replicator (S3) ger möjlighet att mata in FDR-händelsedataintill Microsoft Sentinel från AWS S3-bucketen där FDR-loggarna har strömmats. Anslutningsappen ger möjlighet att hämta händelser från Falcon Agents som hjälper till att undersöka potentiella säkerhetsrisker, analysera teamets användning av samarbete, diagnostisera konfigurationsproblem med mera.

OBS!

1. CrowdStrike FDR-licensen måste vara tillgänglig & aktiverad.

2. Anslutningstjänsten kräver att en IAM-roll konfigureras på AWS för att ge åtkomst till AWS S3-bucketen och kanske inte är lämplig för miljöer som utnyttjar CrowdStrike - hanterade bucketar.

3. För miljöer som utnyttjar CrowdStrike-hanterade bucketar konfigurerar du CrowdStrike Falcon Data Replicator-anslutningsappen (CrowdStrike-Managed AWS S3).

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CrowdStrike_Additional_Events_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (med Azure Functions)

Stöds av:Microsoft Corporation

Den här anslutningsappen möjliggör inmatning av FDR-data i Microsoft Sentinel med hjälp av Azure Functions för att stödja bedömningen av potentiella säkerhetsrisker, analys av samarbetsaktiviteter, identifiering av konfigurationsproblem och andra operativa insikter.

OBS!

1. CrowdStrike FDR-licensen måste vara tillgänglig & aktiverad.

2. Anslutningsappen använder en Key & Secret-baserad autentisering och är lämplig för CrowdStrike Managed Buckets.

3. För miljöer som använder en fullständigt ägd AWS S3-bucket rekommenderar Microsoft att du använder CrowdStrike Falcon Data Replicator-anslutningsprogrammet (AWS S3).

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CrowdStrikeReplicatorV2`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Autentiseringsuppgifter/behörigheter för SQS- och AWS S3-konton: AWS_SECRET, AWS_REGION_NAME, AWS_KEYQUEUE_URL krävs. Mer information finns i hämta data. Börja genom att kontakta CrowdStrike-supporten. På din begäran kommer de att skapa en CrowdStrike-hanterad Amazon Web Services (AWS) S3-bucket för kortsiktiga lagringsändamål samt ett SQS-konto (enkel kötjänst) för övervakning av ändringar i S3-bucketen.

CTERA Syslog

Stöds av:CTERA

CTERA Data Connector för Microsoft Sentinel erbjuder funktioner för övervakning och hotidentifiering för din CTERA-lösning. Den innehåller en arbetsbok som visualiserar summan av alla åtgärder per typ, borttagningar och åtgärder för nekad åtkomst. Den innehåller också analysregler som identifierar incidenter med utpressningstrojaner och varnar dig när en användare blockeras på grund av misstänkt utpressningstrojanaktivitet. Dessutom hjälper det dig att identifiera kritiska mönster som nekad massåtkomsthändelser, massborttagningar och ändringar av massbehörighet, vilket möjliggör proaktiv hothantering och svar.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Syslog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

CTM360 CyberBlindSpot (serverlös)

Stöds av:Cyber Threat Management 360

Anslutningsappen CTM360 Cyber Blind Spot (CBS) ger integrering med CBS-plattformen CTM360 för att mata in säkerhetsdata över 6 modultyper: incidenter, loggar för skadlig kod, autentiseringsuppgifter som har brutits, komprometterade kort, domänintrång och intrång i underdomäner. Den här anslutningsappen använder Codeless Connector Framework (CCF) för serverlös datainsamling.

Datatyper:

CBSLog_AzureV2_CL
CBS_MalwareLogs_AzureV2_CL
CBS_BreachedCredentials_AzureV2_CL
CBS_CompromisedCards_AzureV2_CL
CBS_DomainInfringement_AzureV2_CL
CBS_SubdomainInfringement_AzureV2_CL

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CBSLog_AzureV2_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

CTM360 CBS API-nyckel: En giltig CTM360 Cyber Blind Spot API-nyckel krävs för att ansluta till CBS API-slutpunkten.

CTM360 HackerView (serverlös)

Stöds av:Cyber Threat Management 360

Med CTM360 HackerView-anslutningsappen kan du mata in säkerhetsproblem och sårbarheter från din HackerView External Attack Surface Management-plattform till Microsoft Sentinel. Den här serverlösa anslutningsappen använder REST-API:et för att automatiskt hämta problemdata för analys och korrelation med andra säkerhetshändelser.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`HackerViewLog_AzureV2_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

HackerView API-nyckel: En giltig HackerView API-nyckel med behörighet att komma åt problemdata krävs.

Anpassade loggar via AMA

Stöds av:Microsoft Corporation

Många program loggar information till text- eller JSON-filer i stället för standardloggningstjänster, till exempel Windows-händelseloggar, Syslog eller CEF. Med dataanslutningsappen för anpassade loggar kan du samla in händelser från filer på både Windows- och Linux-datorer och strömma dem till anpassade loggtabeller som du har skapat. När du strömmar data kan du parsa och transformera innehållet med hjälp av DCR. När du har samlat in data kan du tillämpa analysregler, jakt, sökning, hotinformation, berikningar med mera.

Obs! Använd den här anslutningsappen för följande enheter: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, Apache HTTP-server, Apache Tomcat, Jboss Enterprise-programplattform, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP-server, Oracle Weblogic Server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP och AI vectra stream.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`JBossEvent_CL`	Nej	Nej
`JuniperIDP_CL`	Ja	Ja
`ApacheHTTPServer_CL`	Ja	Ja
`Tomcat_CL`	Ja	Ja
`meraki_CL`	Ja	Ja
`VectraStream_CL`	Nej	Nej
`MarkLogicAudit_CL`	Nej	Nej
`MongoDBAudit_CL`	Ja	Ja
`NGINX_CL`	Ja	Ja
`OracleWebLogicServer_CL`	Ja	Ja
`PostgreSQL_CL`	Ja	Ja
`SquidProxy_CL`	Ja	Ja
`Ubiquiti_CL`	Ja	Ja
`vcenter_CL`	Ja	Ja
`ZPA_CL`	Ja	Ja
`SecurityBridgeLogs_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Behörigheter: Om du vill samla in data från icke-Azure virtuella datorer måste de ha Azure Arc installerat och aktiverat. Läs mer

CyberArk-granskning

Stöds av:CyberArk Support

Med dataanslutningen CyberArk Audit kan Microsoft Sentinel mata in säkerhetshändelseloggar och andra händelser från CyberArk Audit-tjänsten via REST API. Den här integreringen hjälper dig att identifiera potentiella säkerhetsrisker, övervaka användaraktivitet, analysera samarbetsmönster, felsöka konfigurationsproblem och få djupare insikter om din miljö.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CyberArk_AuditEvents_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

CyberArk Audit Service Platform: Åtkomst till att utföra nödvändiga konfigurationer i CyberArk Audit-plattformen

CyberArkAudit (med hjälp av Azure Functions)

Stöds av:CyberArk Support

Dataanslutningsappen för CyberArk Audit ger möjlighet att hämta säkerhetshändelseloggar för CyberArk Audit-tjänsten och fler händelser till Microsoft Sentinel via REST-API:et. Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CyberArk_AuditEvents_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Granska information om REST API-anslutningar och autentiseringsuppgifter: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint och AuditApiBaseUrl krävs för api-anrop.

Cybersixgill Åtgärdsbara aviseringar (med Azure Functions)

Stöds av:Cybersixgill

Åtgärdsbara aviseringar ger anpassade aviseringar baserat på konfigurerade tillgångar

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CyberSixgill_Alerts_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: Client_ID och Client_Secret krävs för att göra API-anrop.

Cyble Vision-aviseringar

Stöds av:Cyble Support

Cyble Vision Alerts CCF Data Connector möjliggör inmatning av hotaviseringar från Cyble Vision till Microsoft Sentinel med hjälp av Codeless Connector Framework Connector. Den samlar in aviseringsdata via API, normaliserar dem och lagrar dem i en anpassad tabell för avancerad identifiering, korrelation och svar.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CybleVisionAlerts_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Api-token för Cyble Vision: En API-token från Cyble Vision Platform krävs.

Cyborg Security HUNTER Hunt Packages

Stöds av:Cyborg Security

Cyborg Security är en ledande leverantör av avancerade hotjaktlösningar, med ett uppdrag att ge organisationer tillgång till avancerad teknik och samarbetsverktyg för att proaktivt upptäcka och reagera på cyberhot. Cyborg Securitys flaggskeppserbjudande, HUNTER Platform, kombinerar kraftfull analys, kuraterat innehåll för hotjakt och omfattande jakthanteringsfunktioner för att skapa ett dynamiskt ekosystem för effektiv hotjakt.

Följ stegen för att få åtkomst till Cyborg Securitys community och konfigurera funktionerna "Öppna i verktyg" i HUNTER-plattformen.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityEvent`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Cyera DSPM Microsoft Sentinel Data Connector

Stöds av:Cyera Inc

Med Cyera DSPM-dataanslutningen kan du ansluta till Cyeras DSPM klientorganisation och mata in klassificeringar, tillgångar, problem och identitetsresurser/definitioner i Microsoft Sentinel. Dataanslutningen bygger på Microsoft Sentinel Codeless Connector Framework och använder Cyeras API för att hämta Cyeras DSPM telemetri när den har tagits emot kan korreleras med säkerhetshändelser som skapar anpassade kolumner så att frågor inte behöver parsa den igen, vilket ger bättre prestanda.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CyeraClassifications_CL`	Nej	Nej
`CyeraAssets_CL`	Nej	Nej
`CyeraAssets_MS_CL`	Nej	Nej
`CyeraIssues_CL`	Nej	Nej
`CyeraIdentities_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

CYFIRMA-attackyta

Stöds av:CYFIRMA

EJ TILLÄMPLIGT

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CyfirmaASCertificatesAlerts_CL`	Ja	Ja
`CyfirmaASConfigurationAlerts_CL`	Ja	Ja
`CyfirmaASDomainIPReputationAlerts_CL`	Ja	Ja
`CyfirmaASOpenPortsAlerts_CL`	Ja	Ja
`CyfirmaASCloudWeaknessAlerts_CL`	Ja	Ja
`CyfirmaASDomainIPVulnerabilityAlerts_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

CYFIRMA Brand Intelligence

Stöds av:CYFIRMA

EJ TILLÄMPLIGT

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CyfirmaBIDomainITAssetAlerts_CL`	Ja	Ja
`CyfirmaBIExecutivePeopleAlerts_CL`	Ja	Ja
`CyfirmaBIProductSolutionAlerts_CL`	Ja	Ja
`CyfirmaBISocialHandlersAlerts_CL`	Ja	Ja
`CyfirmaBIMaliciousMobileAppsAlerts_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

CYFIRMA-komprometterade konton

Stöds av:CYFIRMA

Dataanslutningsappen CYFIRMA Compromised Accounts möjliggör sömlös logginmatning från API:et DeCYFIR/DeTCT till Microsoft Sentinel. Den bygger på Microsoft Sentinel Codeless Connector Framework och använder API:et DeCYFIR/DeTCT för att hämta loggar. Dessutom har den stöd för DCR-baserade omvandlingar av inmatningstid, som parsar säkerhetsdata i en anpassad tabell under inmatningen. Detta eliminerar behovet av frågetidsparsning, vilket förbättrar prestanda och effektivitet.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CyfirmaCompromisedAccounts_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

CYFIRMA Cyber Intelligence

Stöds av:CYFIRMA

CYFIRMA Cyber Intelligence-dataanslutningen möjliggör sömlös logginmatning från DeCYFIR-API:et till Microsoft Sentinel. Den bygger på Microsoft Sentinel Codeless Connector Framework och använder API:et DeCYFIR Alerts för att hämta loggar. Dessutom har den stöd för DCR-baserade omvandlingar av inmatningstid, som parsar säkerhetsdata i en anpassad tabell under inmatningen. Detta eliminerar behovet av frågetidsparsning, vilket förbättrar prestanda och effektivitet.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CyfirmaIndicators_CL`	Ja	Ja
`CyfirmaThreatActors_CL`	Ja	Ja
`CyfirmaCampaigns_CL`	Ja	Ja
`CyfirmaMalware_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

CYFIRMA Digital Risk

Stöds av:CYFIRMA

Dataanslutningsappen CYFIRMA Digital Risk Alerts möjliggör sömlös logginmatning från API:et DeCYFIR/DeTCT till Microsoft Sentinel. Den bygger på Microsoft Sentinel Codeless Connector Framework och använder API:et DeCYFIR Alerts för att hämta loggar. Dessutom har den stöd för DCR-baserade omvandlingar av inmatningstid, som parsar säkerhetsdata i en anpassad tabell under inmatningen. Detta eliminerar behovet av frågetidsparsning, vilket förbättrar prestanda och effektivitet.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CyfirmaDBWMPhishingAlerts_CL`	Ja	Ja
`CyfirmaDBWMRansomwareAlerts_CL`	Ja	Ja
`CyfirmaDBWMDarkWebAlerts_CL`	Ja	Ja
`CyfirmaSPESourceCodeAlerts_CL`	Ja	Ja
`CyfirmaSPEConfidentialFilesAlerts_CL`	Ja	Ja
`CyfirmaSPEPIIAndCIIAlerts_CL`	Ja	Ja
`CyfirmaSPESocialThreatAlerts_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

CYFIRMA Vulnerabilities Intelligence

Stöds av:CYFIRMA

CYFIRMA Vulnerabilities Intelligence-dataanslutningen möjliggör sömlös logginmatning från DeCYFIR-API:et till Microsoft Sentinel. Den bygger på Microsoft Sentinel Codeless Connector Framework och utnyttjar CYFIRMA API:erna för att hämta loggar. Dessutom har den stöd för DCR-baserade omvandlingar av inmatningstid, som parsar säkerhetsdata i en anpassad tabell under inmatningen. Detta eliminerar behovet av frågetidsparsning, vilket förbättrar prestanda och effektivitet.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CyfirmaVulnerabilities_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Cynerio-säkerhetshändelser

Stöds av:Cynerio

Med Cynerio-anslutningsappen kan du enkelt ansluta dina Cynerio-säkerhetshändelser till Microsoft Sentinel för att visa IDS-händelser. Detta ger dig mer inblick i organisationens nätverkssäkerhetsstatus och förbättrar dina funktioner för säkerhetsåtgärder.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CynerioEvent_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Cyren Threat Intelligence

Stöds av:Data443 Risk Mitigation, Inc.

Mata in INDIKATORER för IP-rykte och skadlig kod från Cyren med hjälp av Common Connector Framework (CCF).

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Cyren_Indicators_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Cyren JWT-token: JWT-token som lagras i Azure Key Vault eller tillhandahålls vid distributionstillfället.

D3 Smarta SOAR-incidenter

Stöds av:D3 Security

D3 Smart SOAR-dataanslutningsappen hämtar incidenter från D3 Smart SOAR till Microsoft Sentinel med hjälp av D3-kodlös REST API-kommandoslutpunkt.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`D3SOARIncidents_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Darktrace Connector för Microsoft Sentinel REST API

Stöds av:Darktrace

Darktrace REST API-anslutningsappen skickar realtidshändelser från Darktrace till Microsoft Sentinel och är utformad för att användas med Darktrace-lösningen för Sentinel. Anslutningsappen skriver loggar till en anpassad loggtabell med titeln "darktrace_model_alerts_CL"; Modellöverträdelser, AI-analytikerincidenter, systemaviseringar och Email-aviseringar kan matas in – ytterligare filter kan konfigureras på sidan Darktrace-systemkonfiguration. Data skickas till Sentinel från Darktrace-original.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`darktrace_model_alerts_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Förutsättningar för Darktrace: Om du vill använda den här dataanslutningsappen krävs en Darktrace-huvudserver som kör v5.2+. Data skickas till Azure Monitor HTTP Data Collector API via HTTPs från Darktrace-huvudservrar, och därför krävs utgående anslutning från Darktrace-huvudservern till Microsoft Sentinel REST API.
Filtrera darktrace-data: Under konfigurationen är det möjligt att konfigurera ytterligare filtrering på sidan Darktrace-systemkonfiguration för att begränsa mängden eller typerna av data som skickas.
Prova Darktrace Sentinel Solution: Du kan få ut mesta möjliga av den här anslutningsappen genom att installera Darktrace-lösningen för Microsoft Sentinel. Detta ger arbetsböcker för att visualisera aviseringsdata och analysregler för att automatiskt skapa aviseringar och incidenter från Darktrace-modellöverträdelser och AI-analytikerincidenter.

DataBahn

Stöds av:Databahn

DataBahn-anslutningsappen ger möjlighet att skicka telemetri för realtidsplattformen från din DataBahn-miljö direkt till Microsoft Sentinel med hjälp av CCF-pushmönstret (Codeless Connector Framework). Den här anslutningsappen matar in granskningsloggar, driftaviseringar och enhetsinventering i anpassade Log Analytics-tabeller för analys, aviseringar och visualisering.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`databahn_audit_logs_CL`	Nej	Nej
`databahn_alerts_CL`	Nej	Nej
`databahn_device_inventory_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft Entra: Behörighet att skapa en appregistrering i Microsoft Entra ID. Kräver vanligtvis Entra ID-programutvecklare eller högre.
Microsoft Azure: Behörighet att tilldela rollen Utgivare av övervakningsmått för datainsamlingsregel (DCR). Kräver vanligtvis Azure rollen RBAC-ägare eller administratör för användaråtkomst.

Datalake2Sentinel

Stöds av:Orange Cyberdefense

Den här lösningen installerar Datalake2Sentinel-anslutningsappen som är byggd med Codeless Connector Framework och gör att du automatiskt kan mata in hotinformationsindikatorer från Datalake Orange Cyberdefenses CTI-plattform till Microsoft Sentinel via REST-API:et för uppladdningsindikatorer. När du har installerat lösningen konfigurerar och aktiverar du den här dataanslutningen genom att följa anvisningarna i Hantera lösningsvy.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ThreatIntelligenceIndicator`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Data Connector för Dataminr Pulse-aviseringar (med Azure Functions)

Stöds av:Dataminr Support

Data Connector för DataMinr Pulse Alerts ger vår AI-baserade realtidsinformation till Microsoft Sentinel för snabbare hotidentifiering och svar.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`DataminrPulse_Alerts_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Azure Prenumeration: Azure Prenumeration med ägarroll krävs för att registrera ett program i Microsoft Entra ID och tilldela rollen deltagare till appen i resursgruppen.
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Nödvändiga autentiseringsuppgifter/behörigheter för Dataminr:

a. Användarna måste ha ett giltigt Klient-ID och hemlighet för Dataminr Pulse API för att kunna använda den här dataanslutningen.

b. En eller flera Dataminr Pulse Watchlists måste konfigureras på Dataminr Pulse-webbplatsen.

Datawiza DAP

Stöds av:Datawiza Technology Inc.

Ansluter Datawiza DAP-loggarna till Azure Log Analytics via REST API-gränssnittet

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`datawizaserveraccess_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Derdack SIGNL4

Stöds av:Derdack

När kritiska system misslyckas eller säkerhetsincidenter inträffar överbryggar SIGNL4 den "sista milen" till din personal, tekniker, IT-administratörer och arbetare på fältet. Den lägger till mobilaviseringar i realtid till dina tjänster, system och processer på nolltid. SIGNL4 meddelar genom beständiga mobila push-meddelanden, SMS-sms och röstsamtal med bekräftelse, spårning och eskalering. Integrerad schemaläggning av arbetsuppgift och skift säkerställer att rätt personer varnas vid rätt tidpunkt.

Lära sig mer >

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityIncident`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Digital Shadows Searchlight (med hjälp av Azure Functions)

Stöds av:Digital Shadows

Digital Shadows-dataanslutningsappen ger inmatning av incidenter och aviseringar från Digital Shadows Searchlight till Microsoft Sentinel med hjälp av REST-API:et. Anslutningsappen tillhandahåller information om incidenter och aviseringar så att den hjälper till att undersöka, diagnostisera och analysera potentiella säkerhetsrisker och hot.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`DigitalShadows_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: Digital Shadows-konto-ID, hemlighet och nyckel krävs. Läs dokumentationen om du vill veta mer om API:et på https://portal-digitalshadows.com/learn/searchlight-api/overview/description.

DNS

Stöds av:Microsoft Corporation

Med DNS-logganslutningsappen kan du enkelt ansluta DNS-analys- och granskningsloggarna till Microsoft Sentinel och andra relaterade data för att förbättra undersökningen.

När du aktiverar DNS-logginsamling kan du:

Identifiera klienter som försöker lösa skadliga domännamn.
Identifiera inaktuella resursposter.
Identifiera vanliga domännamn och talkativa DNS-klienter.
Visa begärandeinläsning på DNS-servrar.
Visa dynamiska DNS-registreringsfel.

Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`DnsEvents`	Ja	Ja
`DnsInventory`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Doppel Data Connector

Stöds av:Doppel

Dataanslutningsappen bygger på Microsoft Sentinel för Doppel-händelser och -aviseringar och stöder DCR-baserade inmatningstidstransformeringar som parsar mottagna säkerhetshändelsedata i anpassade kolumner så att frågor inte behöver parsa dem igen, vilket ger bättre prestanda.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`DoppelTable_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft Entra klientorganisations-ID, klient-ID och klienthemlighet: Microsoft Entra ID kräver ett klient-ID och en klienthemlighet för att autentisera ditt program. Dessutom krävs åtkomst på global Admin-/ägarnivå för att tilldela det Entra registrerade programmet en utgivarroll för resursgruppövervakningsmått.
Kräver arbetsyte-ID, DCE-URI, DCR-ID: Du måste hämta Log Analytics-arbetsyte-ID, DCE-loggar inmatnings-URI och DCR oföränderligt ID för konfigurationen.

Draos-meddelanden via cloud sitestore

Stöds av:Dragos Inc

Dragos Platform är den ledande plattformen för industriell cybersäkerhet och erbjuder en omfattande identifiering av cyberhot inom operativ teknik (OT) som skapats av oöverträffad industriell cybersäkerhetsexpertis. Den här lösningen gör det möjligt för Dragos Platform-meddelandedata att visas i Microsoft Sentinel så att säkerhetsanalytiker kan prioritera potentiella cybersäkerhetshändelser som inträffar i deras industriella miljöer.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`DragosAlerts_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Draos Sitestore API-åtkomst: Ett sitestore-användarkonto som har behörigheten notification:read . Det här kontot måste också ha en API-nyckel som kan tillhandahållas till Sentinel.

Druva Events Connector

Stöds av:Druva Inc

Ger möjlighet att mata in Druva-händelser från Druva-API:er

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`DruvaSecurityEvents_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Druva API-åtkomst: Druva API kräver ett klient-ID och en klienthemlighet för att autentisera

Dynamics 365 Finance och åtgärder

Stöds av:Microsoft Corporation

Dynamics 365 för Ekonomi och drift är en omfattande ERP-lösning (Enterprise Resource Planning) som kombinerar finansiella och operativa funktioner för att hjälpa företag att hantera sin dagliga verksamhet. Den erbjuder en rad funktioner som gör det möjligt för företag att effektivisera arbetsflöden, automatisera uppgifter och få insikter om driftprestanda.

Dataanslutningsappen för Dynamics 365 Finance och åtgärder matar in Dynamics 365 Finance- och driftadministratörsaktiviteter och granskningsloggar samt loggar för användaraffärsprocesser och programaktiviteter i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`FinanceOperationsActivity_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft Entra appregistrering: Programklient-ID och hemlighet som används för att komma åt Dynamics 365 Finance och åtgärder.

Dynamics365

Stöds av:Microsoft Corporation

Anslutningsappen för Dynamics 365 Common Data Service-aktiviteter (CDS) ger insikter om administratörs-, användar- och supportaktiviteter samt loggningshändelser för Microsoft Social Engagement. Genom att ansluta Dynamics 365 CRM-loggar till Microsoft Sentinel kan du visa dessa data i arbetsböcker, använda dem för att skapa anpassade aviseringar och förbättra undersökningsprocessen.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Dynamics365Activity`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Dynatrace-attacker

Stöds av:Dynatrace

Den här anslutningsappen använder REST-API:et för Dynatrace-attacker för att mata in identifierade attacker i Microsoft Sentinel Log Analytics

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`DynatraceAttacks_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Dynatrace-klientorganisation (t.ex. xyz.dynatrace.com): Du behöver en giltig Dynatrace-klient med Application Security aktiverat, läs mer om Dynatrace-plattformen.
Dynatrace-åtkomsttoken: Du behöver en Dynatrace-åtkomsttoken, token ska ha omfånget Läsa attacker (attacks.read).

Dynatrace-granskningsloggar

Stöds av:Dynatrace

Den här anslutningsappen använder REST-API:et för Dynatrace-granskningsloggar för att mata in klientgranskningsloggar i Microsoft Sentinel Log Analytics

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`DynatraceAuditLogs_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Dynatrace-klientorganisation (t.ex. xyz.dynatrace.com): Du behöver en giltig Dynatrace-klientorganisation för att lära dig mer om Dynatrace-plattformen Starta din kostnadsfria utvärderingsversion.
Dynatrace-åtkomsttoken: Du behöver en Dynatrace-åtkomsttoken, token ska ha omfånget Läs granskningsloggar (auditLogs.read).

Problem med Dynatrace

Stöds av:Dynatrace

Den här anslutningsappen använder REST-API:et för Dynatrace-problem för att mata in problemhändelser i Microsoft Sentinel Log Analytics

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`DynatraceProblems_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Dynatrace-klientorganisation (t.ex. xyz.dynatrace.com): Du behöver en giltig Dynatrace-klientorganisation för att lära dig mer om Dynatrace-plattformen Starta din kostnadsfria utvärderingsversion.
Dynatrace-åtkomsttoken: Du behöver en Dynatrace-åtkomsttoken, token ska ha omfånget Läs problem (problems.read).

Sårbarheter i Dynatrace Runtime

Stöds av:Dynatrace

Den här anslutningsappen använder REST-API:et för Dynatrace-säkerhetsproblem för att mata in identifierade körningssårbarheter i Microsoft Sentinel Log Analytics.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`DynatraceSecurityProblems_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Dynatrace-klientorganisation (t.ex. xyz.dynatrace.com): Du behöver en giltig Dynatrace-klient med Application Security aktiverat, läs mer om Dynatrace-plattformen.
Dynatrace-åtkomsttoken: Du behöver en Dynatrace-åtkomsttoken, token ska ha omfånget Läs säkerhetsproblem (securityProblems.read).

Elastic Agent (fristående)

Stöds av:Microsoft Corporation

Elastic Agent-dataanslutningsappen ger möjlighet att mata in Elastic Agent-loggar, mått och säkerhetsdata i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ElasticAgentEvent`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Inkludera anpassade förutsättningar om anslutningen kräver – annars tar du bort tullen: Beskrivning för alla anpassade förutsättningar

Säkerhetshändelser i Ermes-webbläsare

Stöds av:Ermes Cyber Security S.p.A.

Säkerhetshändelser i Ermes-webbläsare

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ErmesBrowserSecurityEvents_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Ermes-klient-ID och klienthemlighet: Aktivera API-åtkomst i Ermes. Kontakta Ermes cybersäkerhetssupport för mer information.

ESET Protect Platform (med Azure Functions)

Stöds av:ESET Enterprise Integrations

ESET Protect Platform-dataanslutningen gör det möjligt för användare att mata in identifieringsdata från ESET Protect Platform med hjälp av det tillhandahållna REST-API:et för integrering. REST API för integrering körs som schemalagd Azure funktionsapp.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`IntegrationTable_CL`	Ja	Ja
`IntegrationTableIncidents_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Behörighet att registrera ett program i Microsoft Entra ID: Tillräckliga behörigheter för att registrera ett program med din Microsoft Entra klient krävs.
Behörighet att tilldela en roll till det registrerade programmet: Behörighet att tilldela utgivarrollen Övervakningsmått till det registrerade programmet i Microsoft Entra ID krävs.

Exchange Security Insights On-Premises Collector

Stöds av:Community

Anslutningsprogram som används för att push-överföra Exchange On-Premises Security-konfiguration för Microsoft Sentinel Analysis

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ESIExchangeConfig_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Tjänstkonto med organisationshanteringsroll: Tjänstkontot som startar skriptet som schemalagd uppgift måste vara Organisationshantering för att kunna hämta all nödvändig säkerhetsinformation.
Detaljerad dokumentation: >Obs! Detaljerad dokumentation om installationsprocedur och användning finns här

Exchange Security Insights Online Collector (med Azure Functions)

Stöds av:Community

Anslutningsapp som används för att push-överföra Exchange Online säkerhetskonfiguration för Microsoft Sentinel Analysis

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ESIExchangeOnlineConfig_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
behörigheter för microsoft.automation/automationaccounts: Läs- och skrivbehörigheter för att skapa en Azure Automation med en Runbook krävs. Mer information finns i Automation-konto.
Microsoft.Graph-behörigheter: Behörigheterna Groups.Read, Users.Read och Auditing.Read krävs för att hämta användar-/gruppinformation som är länkad till Exchange Online tilldelningar. Mer information finns i dokumentationen.
Exchange Online behörigheter: Exchange.ManageAsApp-behörighet och global läsar- eller säkerhetsläsarroll krävs för att hämta Exchange Online säkerhetskonfiguration.Mer information finns i dokumentationen.
(Valfritt) Logglagringsbehörigheter: Storage Blob Data-deltagare till ett lagringskonto som är länkat till automationskontots hanterade identitet eller ett program-ID är obligatoriskt för att lagra loggar. Mer information finns i dokumentationen.

ExtraHop Detections Data Connector (med Azure Functions)

Stöds av:ExtraHop Support

Med dataanslutningsappen ExtraHop Detections kan du importera identifieringsdata från ExtraHop RevealX till Microsoft Sentinel via webhook-nyttolaster.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ExtraHop_Detections_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Azure Prenumeration: Azure Prenumeration med ägarroll krävs för att registrera ett program i Microsoft Entra ID och tilldela rollen deltagare till appen i resursgruppen.
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
ExtraHop RevealX-behörigheter: Följande krävs i Ditt ExtraHop RevealX-system: 1.Ditt RevealX-system måste köra version 9.9.2 eller senare av den inbyggda programvaran. 2.Ditt RevealX-system måste vara anslutet till ExtraHop Cloud Services. 3.Ditt användarkonto måste ha systemadministratörsbehörighet för RevealX 360 eller fullständig skrivbehörighet på RevealX Enterprise.

F5 BIG-IP

Stöds av:F5 Networks

Med F5-brandväggsanslutningen kan du enkelt ansluta dina F5-loggar med Microsoft Sentinel, visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta ger dig mer inblick i organisationens nätverk och förbättrar dina säkerhetsfunktioner.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`F5Telemetry_LTM_CL`	Nej	Nej
`F5Telemetry_system_CL`	Ja	Ja
`F5Telemetry_ASM_CL`	Nej	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Feedly IoC

Stöds av:Feedly Inc

Feedly IoC-dataanslutningsappen ger möjlighet att mata in indikatorer för komprometter (IoCs) från Feedly API till Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`feedly_indicators_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Feedly API-åtkomst: Åtkomst till Feedly-API:et krävs. Du behöver en Feedly API-token med åtkomst till de IoC-strömmar som du vill mata in. Generera din API-token på https://feedly.com/i/team/api

Utskjutande push-koppling

Stöds av:Flare

Flare-anslutningsappen ger möjlighet att mata in hotinformation och exponeringsdata från Flare till Microsoft Sentinel. Flare identifierar företagets digitala tillgångar som gjorts offentligt tillgängliga på grund av mänskliga fel eller skadliga attacker, inklusive läckta autentiseringsuppgifter, exponerade molnbucketar, darkweb-omnämnanden med mera.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`FireworkV2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft Entra: Behörighet att skapa en appregistrering i Microsoft Entra ID.
Microsoft Azure: Behörighet att tilldela rollen Utgivare av övervakningsmått för datainsamlingsregel (DCR).
Flare: Behörighet att konfigurera Microsoft Sentinel integrering i Flare.

Forcepoint DLP

Stöds av:Community

Med anslutningsappen Forcepoint DLP (Data Loss Prevention) kan du automatiskt exportera DLP-incidentdata från Forcepoint DLP till Microsoft Sentinel i realtid. Detta ger bättre insyn i användaraktiviteter och dataförlustincidenter, möjliggör ytterligare korrelation med data från Azure arbetsbelastningar och andra flöden och förbättrar övervakningsfunktionen med arbetsböcker i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ForcepointDLPEvents_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Forescout

Stöds av:Microsoft Corporation

Forescout-dataanslutningsappen ger möjlighet att mata in Forescout-händelser i Microsoft Sentinel. Mer information finns i Forescout-dokumentationen .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ForescoutEvent`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Forescout Övervakare av värdegenskaper

Stöds av:Microsoft Corporation

Med anslutningsappen Forescout Host Property Monitor kan du ansluta värdegenskaper från Forescout-plattformen med Microsoft Sentinel, visa, skapa anpassade incidenter och förbättra undersökningen. Detta ger dig mer inblick i organisationens nätverk och förbättrar dina säkerhetsfunktioner.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ForescoutHostProperties_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Forescout Plugin-krav: Kontrollera att Forescout Microsoft Sentinel plugin-programmet körs på Forescout-plattformen

Fortinet FortiNDR Cloud

Stöds av:Fortinet

Fortinet FortiNDR Cloud-dataanslutningsappen ger möjlighet att mata in Fortinet FortiNDR Cloud-data i Microsoft Sentinel med hjälp av FortiNDR Cloud API

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`FncEventsSuricata_CL`	Nej	Nej
`FncEventsObservation_CL`	Nej	Nej
`FncEventsDetections_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
MetaStream-autentiseringsuppgifter: AWS-åtkomstnyckel-ID, AWS-hemlig åtkomstnyckel, FortiNDR-molnkontokod krävs för att hämta händelsedata.
API-autentiseringsuppgifter: FortiNDR Cloud API Token, FortiNDR Cloud Account UUID krävs för att hämta identifieringsdata.

Garnison ultra fjärrloggar (med Azure Functions)

Stöds av:Garnison

Med garrison ULTRA Remote Logs-anslutningsappen kan du mata in Garrison ULTRA Remote Logs i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Garrison_ULTRARemoteLogs_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Garrison ULTRA: Om du vill använda den här dataanslutningen måste du ha en aktiv Garrison ULTRA-licens .

GCP Cloud Run (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

GCP Cloud Run-dataanslutningsappen ger möjlighet att mata in cloud run-begärandeloggar i Microsoft Sentinel med pub/sub. Mer information finns i Översikt över molnkörning .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GCPCloudRun`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

GCP Cloud SQL (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

GCP Cloud SQL-dataanslutningsappen ger möjlighet att mata in granskningsloggar i Microsoft Sentinel med GCP Cloud SQL API. Mer information finns i dokumentationen för SQL-granskningsloggar i GCP-molnet .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GCPCloudSQL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Pub-/undergranskningsloggar för GCP

Stöds av:Microsoft Corporation

Med Granskningsloggar för Google Cloud Platform (GCP), som matas in från Microsoft Sentinel anslutningsapp, kan du samla in tre typer av granskningsloggar: administratörsaktivitetsloggar, dataåtkomstloggar och åtkomsttransparensloggar. Googles molngranskningsloggar registrerar ett spår som utövare kan använda för att övervaka åtkomst och identifiera potentiella hot i Google Cloud Platform-resurser (GCP).

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GCPAuditLogs`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

GCP Pub/Sub Load Balancer-loggar (via Codeless Connector Framework).

Stöds av:Microsoft Corporation

Google Cloud Platform (GCP) Load Balancer loggar ger detaljerade insikter om nätverkstrafik och samlar in både inkommande och utgående aktiviteter. Dessa loggar används för att övervaka åtkomstmönster och identifiera potentiella säkerhetshot för GCP-resurser. Dessutom innehåller loggarna även loggar för GCP-Web Application Firewall (WAF), vilket förbättrar möjligheten att identifiera och minska riskerna på ett effektivt sätt.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GCPLoadBalancerLogs_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

GCP Pub/Sub VPC Flow-loggar (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Med VPC-flödesloggarna för Google Cloud Platform (GCP) kan du samla in nätverkstrafikaktivitet på VPC-nivå, så att du kan övervaka åtkomstmönster, analysera nätverksprestanda och identifiera potentiella hot över GCP-resurser.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GCPVPCFlow`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Gigamon AMX-anslutningsprogram

Stöds av:Gigamon

Gigamon-anslutningsappen ger möjlighet att läsa rådata från Gigamon i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GigamonV2_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft Entra: Behörighet att skapa en appregistrering i Microsoft Entra ID. Kräver vanligtvis Entra ID-programutvecklare eller högre.
Microsoft Azure: Behörighet att tilldela rollen Utgivare av övervakningsmått för datainsamlingsregel (DCR). Kräver vanligtvis Azure roll som RBAC-ägare eller administratör för användaråtkomst

GitHub (med Webhooks)

Stöds av:Microsoft Corporation

GitHub webhook-dataanslutningsappen ger möjlighet att mata in GitHub-prenumerationshändelser i Microsoft Sentinel med hjälp av GitHub webhook-händelser. Anslutningsappen ger möjlighet att få in händelser i Microsoft Sentinel som hjälper till att undersöka potentiella säkerhetsrisker, analysera teamets användning av samarbete, diagnostisera konfigurationsproblem med mera.

Observera: Om du är avsedd att mata in Github-granskningsloggar kan du läsa GitHub Enterprise Audit Log Connector från galleriet "Dataanslutningar".

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`githubscanaudit_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.

GitHub Enterprise-granskningslogg (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

GitHub-anslutningsappen för granskningsloggar ger möjlighet att mata in GitHub-loggar i Microsoft Sentinel. Genom att ansluta GitHub-granskningsloggar till Microsoft Sentinel kan du visa dessa data i arbetsböcker, använda dem för att skapa anpassade aviseringar och förbättra undersökningsprocessen.

Observera: Om du har för avsikt att mata in GitHub-prenumerationshändelser i Microsoft Sentinel kan du läsa GitHub(med Webhooks) Connector från galleriet "Data connectors".

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GitHubAuditLogsV2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Personlig åtkomsttoken för GitHub API: Om du vill aktivera avsökning för företagsgranskningsloggen kontrollerar du att den autentiserade användaren är företagsadministratör och har en personlig åtkomsttoken för GitHub (klassisk) med omfånget read:audit_log .
GitHub Enterprise-typ: Den här anslutningsappen fungerar endast med GitHub Enterprise Cloud; Det stöder inte GitHub Enterprise Server.

Google ApigeeX (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Google ApigeeX-dataanslutningsappen ger möjlighet att mata in granskningsloggar i Microsoft Sentinel med hjälp av Google Apigee-API:et. Mer information finns i Google Apigee API-dokumentationen .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GCPApigee`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Google Cloud Platform CDN (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Google Cloud Platform CDN-dataanslutningsappen ger möjlighet att mata in Cloud CDN-granskningsloggar och cloud CDN-trafikloggar i Microsoft Sentinel med hjälp av API:et för beräkningsmotorn. Mer information finns i produktöversiktsdokumentet .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GCPCDN`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Google Cloud Platform Cloud IDS (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Google Cloud Platform IDS-dataanslutningsappen ger möjlighet att mata in cloud IDS-trafikloggar, hotloggar och granskningsloggar i Microsoft Sentinel med hjälp av Google Cloud IDS API. Mer information finns i dokumentationen för Cloud IDS API .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GCPIDS`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Molnövervakning av Google Cloud Platform (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Google Cloud Platform Cloud Monitoring-dataanslutningsappen matar in övervakningsloggar från Google Cloud till Microsoft Sentinel med hjälp av Google Cloud Monitoring API. Mer information finns i dokumentationen för API för molnövervakning .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GCPMonitoring`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Google Cloud Platform Compute Engine (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Dataanslutningsappen för Google Cloud Platform Compute Engine ger möjlighet att mata in granskningsloggar för beräkningsmotorn i Microsoft Sentinel med hjälp av GOOGLE Cloud Compute Engine-API:et. Mer information finns i dokumentationen för API:et för Cloud Compute Engine .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GCPComputeEngine`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Google Cloud Platform DNS (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Dns-dataanslutningen för Google Cloud Platform ger möjlighet att mata in Cloud DNS-frågeloggar och Cloud DNS-granskningsloggar i Microsoft Sentinel med hjälp av Google Cloud DNS-API:et. Mer information finns i dokumentationen för Cloud DNS API .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GCPDNS`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Google Cloud Platform IAM (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Dataanslutningsappen för Google Cloud Platform IAM ger möjlighet att mata in granskningsloggarna som rör aktiviteter för identitets- och åtkomsthantering (IAM) i Google Cloud till Microsoft Sentinel med hjälp av Google IAM-API:et. Mer information finns i GCP IAM API-dokumentationen .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GCPIAM`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Google Cloud Platform NAT (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Nat-dataanslutningsappen för Google Cloud Platform ger möjlighet att mata in CLOUD NAT-granskningsloggar och NAT-trafikloggar i molnet i Microsoft Sentinel med hjälp av API:et för beräkningsmotorn. Mer information finns i produktöversiktsdokumentet .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GCPNATAudit`	Ja	Ja
`GCPNAT`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Google Cloud Platform Resource Manager (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Google Cloud Platform Resource Manager-dataanslutningsappen ger möjlighet att mata in Resource Manager Admin aktivitets- och dataåtkomstgranskningsloggar i Microsoft Sentinel med hjälp av Cloud Resource Manager API. Mer information finns i produktöversiktsdokumentet .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GCPResourceManager`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Google Kubernetes Engine (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Med GKE-loggarna (Google Kubernetes Engine) kan du samla in klusteraktivitet, arbetsbelastningsbeteende och säkerhetshändelser, så att du kan övervaka Kubernetes-arbetsbelastningar, analysera prestanda och identifiera potentiella hot i GKE-kluster.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GKEAudit`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Google Security Command Center

Stöds av:Microsoft Corporation

Google Cloud Platform (GCP) Security Command Center är en omfattande plattform för säkerhet och riskhantering för Google Cloud, som matas in från Sentinel anslutningsapp. Den erbjuder funktioner som tillgångsinventering och identifiering, sårbarhet och hotidentifiering samt riskreducering och åtgärder som hjälper dig att få insikt i organisationens säkerhets- och dataattackyta. Med den här integreringen kan du utföra uppgifter som rör resultat och tillgångar mer effektivt.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GoogleCloudSCC`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Google Workspace-aktiviteter (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Dataanslutningsappen För Google Workspace Activities kan du mata in aktivitetshändelser från Google Workspace API till Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GoogleWorkspaceReports`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Åtkomst till Google Workspace API: Åtkomst till API:et för Google Workspace-aktiviteter via Oauth krävs.

GreyNoise Threat Intelligence

Stöds av:GreyNoise

Den här dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned GreyNoise-indikatorer en gång per dag och infogar dem i tabellen ThreatIntelligenceIndicator i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ThreatIntelligenceIndicator`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
GreyNoise API-nyckel: Hämta din GreyNoise API-nyckel här.

Halcyon-anslutningsprogram

Stöds av:Halcyon

Halcyon-anslutningsappen ger möjlighet att skicka data från Halcyon till Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`HalcyonAuthenticationEvents_CL`	Ja	Ja
`HalcyonDnsActivity_CL`	Ja	Ja
`HalcyonFileActivity_CL`	Ja	Ja
`HalcyonNetworkSession_CL`	Ja	Ja
`HalcyonProcessEvent_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft Entra Skapa behörigheter: Behörigheter för att skapa en appregistrering i Microsoft Entra ID. Kräver vanligtvis Entra ID-programutvecklare eller högre.
Behörigheter för rolltilldelning: Skrivbehörigheter som krävs för att tilldela utgivarrollen övervakningsmått till datainsamlingsregeln (DCR). Kräver vanligtvis rollen Ägare eller Administratör för användaråtkomst på resursgruppsnivå.

Holm Security Asset Data (med hjälp av Azure Functions)

Stöds av:Holm Security

Anslutningsappen ger möjlighet att avsöka data från Holm Security Center till Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`net_assets_CL`	Nej	Nej
`web_assets_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Holm API för säkerhet-token: Holm API för säkerhet Token krävs. Holm API för säkerhet-token

IIS-loggar för Microsoft Exchange-servrar

Stöds av:Community

[Alternativ 5] – Använda Azure Monitor-agent – Du kan strömma alla IIS-loggar från De Windows-datorer som är anslutna till din Microsoft Sentinel arbetsyta med hjälp av Windows-agenten. Med den här anslutningen kan du skapa anpassade aviseringar och förbättra undersökningen.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`W3CIISLog`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure Log Analytics kommer att bli inaktuellt för att samla in data från icke-Azure virtuella datorer rekommenderas Azure Arc. Läs mer
Detaljerad dokumentation: >Obs! Detaljerad dokumentation om installationsprocedur och användning finns här

Illumio Insights

Stöds av:Illumio

Illumio Insights-dataanslutningsappen tillåter inmatning av loggar från Illumio-API:et till Microsoft Sentinel. Dataanslutningen bygger på Microsoft Sentinel Codeless Connector Framework. Den använder Illumio-API:et för att hämta loggar och stöder DCR-baserade inmatningstidstransformeringar som parsar mottagna säkerhetsdata i en anpassad tabell så att frågor inte behöver parsa dem igen, vilket ger bättre prestanda.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`IlumioInsights`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Sammanfattning av Illumio Insights

Stöds av:Illumio

Dataanslutningsappen Illumio Insights Summary ger möjlighet att mata in Illumio-säkerhetsinsikter och hotanalysrapporter i Microsoft Sentinel via REST-API:et. Mer information finns i dokumentationen för Illumio API . Anslutningsappen ger möjlighet att hämta dagliga och veckovisa sammanfattningsrapporter från Illumio och visualisera dem i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`IllumioInsightsSummary_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Illumio API-åtkomst: Illumio API-åtkomst krävs för Sammanfattnings-API:et för Illumio Insights.

Illumio SaaS (med Azure Functions)

Stöds av:Illumio

Illumio-anslutningsappen ger möjlighet att mata in händelser i Microsoft Sentinel. Anslutningsappen ger möjlighet att mata in granskningsbara händelser och flödeshändelser från AWS S3-bucketen.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Illumio_Auditable_Events_CL`	Ja	Ja
`Illumio_Flow_Events_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Autentiseringsuppgifter/behörigheter för SQS- och AWS S3-konton: AWS_SECRET, AWS_REGION_NAME, AWS_KEYQUEUE_URL krävs. Om du använder s3 bucket som tillhandahålls av Illumio kontaktar du Illumio support. På din begäran ger de dig AWS S3-bucketnamnet, AWS SQS-URL:en och AWS-autentiseringsuppgifterna för att få åtkomst till dem.
Illumio API-nyckel och hemlighet: ILLUMIO_API_KEY krävs ILLUMIO_API_SECRET för att en arbetsbok ska kunna ansluta till SaaS PCE och hämta API-svar.

Imperva Cloud WAF (med Azure Functions)

Stöds av:Microsoft Corporation

Imperva Cloud WAF-dataanslutningsappen ger möjlighet att integrera och mata in Web Application Firewall händelser i Microsoft Sentinel via REST-API:et. Mer information finns i loggintegreringsdokumentationen . Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ImpervaWAFCloud_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: ImpervaAPIID, ImpervaAPIKey och ImpervaLogServerURI krävs för API:et. Mer information finns i Installationsprocessen för loggintegrering. Kontrollera alla krav och följ anvisningarna för att hämta autentiseringsuppgifter. Observera att den här anslutningsappen använder CEF-logghändelseformat. Mer information om loggformat.

Imperva Cloud WAF (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Imperva WAF Cloud-dataanslutningsappen ger möjlighet att mata in loggar i Microsoft Sentinel med imperva-loggintegrering via AWS S3 med SQS-meddelanden. Anslutningsappen parsar CEF-formaterade WAF-händelser, inklusive åtkomstloggar och säkerhetsaviseringar för hotidentifiering och undersökning. Mer information finns i Imperva WAF-molnloggintegrering .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ImpervaWAFCloud`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Infoblox Cloud Data Connector via AMA

Stöds av:Infoblox

Med Infoblox Cloud Data Connector kan du enkelt ansluta dina Infoblox-data till Microsoft Sentinel. Genom att ansluta loggarna till Microsoft Sentinel kan du dra nytta av sökfunktionen & korrelation, aviseringar och hotinformation för varje logg.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CommonSecurityLog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Infoblox Data Connector via REST API

Stöds av:Infoblox

Med Infoblox Data Connector kan du enkelt ansluta dina Infoblox TIDE-data och Dossier-data till Microsoft Sentinel. Genom att ansluta dina data till Microsoft Sentinel kan du använda sökfunktionen & korrelation, aviseringar och hotinformation för varje logg.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Failed_Range_To_Ingest_CL`	Nej	Nej
`Infoblox_Failed_Indicators_CL`	Nej	Nej
`dossier_whois_CL`	Nej	Nej
`dossier_whitelist_CL`	Nej	Nej
`dossier_tld_risk_CL`	Nej	Nej
`dossier_threat_actor_CL`	Nej	Nej
`dossier_rpz_feeds_records_CL`	Nej	Nej
`dossier_rpz_feeds_CL`	Nej	Nej
`dossier_nameserver_matches_CL`	Nej	Nej
`dossier_nameserver_CL`	Nej	Nej
`dossier_malware_analysis_v3_CL`	Nej	Nej
`dossier_inforank_CL`	Nej	Nej
`dossier_infoblox_web_cat_CL`	Nej	Nej
`dossier_geo_CL`	Nej	Nej
`dossier_dns_CL`	Nej	Nej
`dossier_atp_threat_CL`	Nej	Nej
`dossier_atp_CL`	Nej	Nej
`dossier_ptr_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Azure Prenumeration: Azure Prenumeration med ägarroll krävs för att registrera ett program i Microsoft Entra ID och tilldela rollen deltagare till appen i resursgruppen.
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: Infoblox API-nyckel krävs. Mer information om API i rest-API-referensen finns i dokumentationen

Infoblox SOC Insight Data Connector via AMA

Stöds av:Infoblox

Med Infoblox SOC Insight Data Connector kan du enkelt ansluta dina Infoblox BloxOne SOC Insight-data till Microsoft Sentinel. Genom att ansluta loggarna till Microsoft Sentinel kan du dra nytta av sökfunktionen & korrelation, aviseringar och hotinformation för varje logg.

Den här dataanslutningsappen matar in Infoblox SOC Insight CDC-loggar in på Log Analytics-arbetsytan med hjälp av den nya Azure Monitor-agenten. Läs mer om att mata in med hjälp av den nya Azure Monitor-agenten här. Microsoft rekommenderar att du använder den här dataanslutningsappen.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CommonSecurityLog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Om du vill samla in data från icke-Azure virtuella datorer måste de ha Azure Arc installerat och aktiverat. Läs mer
Common Event Format (CEF) via AMA och Syslog via AMA-dataanslutningar måste installeras. Läs mer

Infoblox SOC Insight Data Connector via REST API

Stöds av:Infoblox

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`InfobloxInsight_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

InfoSecGlobal Data Connector

Stöds av:InfoSecGlobal

Använd den här dataanslutningsappen för att integrera med InfoSec Crypto Analytics och hämta data som skickas direkt till Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`InfoSecAnalytics_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

IONIX-säkerhetsloggar (via Codeless Connector Framework)

Stöds av:IONIX

Med IONIX-anslutningsappen kan du mata in åtgärdsobjekt från IONIX-plattformen för hantering av attackytan till Microsoft Sentinel med hjälp av Codeless Connector Framework (CCF). Åtgärdsobjekt representerar säkerhetsresultat och säkerhetsrisker som kräver reparation.

Den här anslutningsappen avsöker automatiskt IONIX-API:et och skriver data till CyberpionActionItems_CL-tabellen.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CyberpionActionItems_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

IONIX API-token: En API-token från IONIX-portalen krävs. Skapa en i Inställnings-API>:et i IONIX-portalen.

IPinfo Abuse Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned standard_abuse datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_Abuse_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo ASN Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned standard_ASN datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_ASN_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo Carrier Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned standard_carrier datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_Carrier_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo Company Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure Function-app för att ladda ned standard_company datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_Company_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo Core Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned Core-datamängder och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_CORE_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo Country ASN Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned country_asn datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_Country_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo Domain Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned standard_domain datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_Domain_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo Iplocation Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned standard_location datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_Location_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

Utökad dataanslutning för IPinfo Iplocation

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned standard_location_extended datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_Location_extended_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo Plus Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure Function-app för att ladda ned Plus-datamängder och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_PLUS_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo Privacy Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned standard_privacy datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_Privacy_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

Utökad dataanslutning för IPinfo Privacy

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned standard_privacy datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_Privacy_extended_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo ResProxy Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure Function-app för att ladda ned ResProxy-datamängder och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_RESIDENTIAL_PROXY_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo RIRWHOIS-dataanslutning

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned RIRWHOIS-datamängder och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_RIRWHOIS_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo RWHOIS-dataanslutning

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure Function-app för att ladda ned RWHOIS-datamängder och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_RWHOIS_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo WHOIS ASN Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned WHOIS_ASN datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_WHOIS_ASN_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo WHOIS MNT Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned WHOIS_MNT datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_WHOIS_MNT_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo WHOIS NET Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned WHOIS_NET datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_WHOIS_NET_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo WHOIS ORG Data Connector

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned WHOIS_ORG datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_WHOIS_ORG_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

IPinfo WHOIS POC-dataanslutning

Stöds av:IPinfo

Den här IPinfo-dataanslutningsappen installerar en Azure-funktionsapp för att ladda ned WHOIS_POC datauppsättningar och infoga den i en anpassad loggtabell i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ipinfo_WHOIS_POC_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
IPinfo API-token: Hämta din API-token för IPinfo här.

Island Enterprise Browser Admin Audit (avsöknings-CCF)

Stöds av:Island

Anslutningsappen Island Admin ger möjlighet att mata in island Admin-granskningsloggar i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Island_Admin_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Api-nyckel för ö: En ö-API-nyckel krävs.

Användaraktivitet för Island Enterprise-webbläsare (avsöknings-CCF)

Stöds av:Island

Island-anslutningsappen ger möjlighet att mata in loggar för öanvändaraktivitet i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Island_User_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Api-nyckel för ö: En ö-API-nyckel krävs.

Jamf Protect Push Connector

Stöds av:Jamf Software, LLC

Jamf Protect-anslutningsappen ger möjlighet att läsa rådata från Jamf Protect i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`jamfprotecttelemetryv2_CL`	Ja	Ja
`jamfprotectunifiedlogs_CL`	Ja	Ja
`jamfprotectalerts_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft Entra: Behörighet att skapa en appregistrering i Microsoft Entra ID. Kräver vanligtvis Entra ID-programutvecklare eller högre.
Microsoft Azure: Behörighet att tilldela rollen Utgivare av övervakningsmått för datainsamlingsregel (DCR). Kräver vanligtvis Azure roll som RBAC-ägare eller administratör för användaråtkomst

JoeSandboxThreatIntelligence (med Azure Functions)

Stöds av:Stefan Bühlmann

JoeSandboxThreatIntelligence-anslutningsappen genererar och matar automatiskt in hotinformation för alla inlämningar till JoeSandbox, vilket förbättrar hotidentifiering och incidenthantering i Sentinel. Den här sömlösa integreringen ger teamen möjlighet att proaktivt hantera nya hot.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ThreatIntelligenceIndicator`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure-prenumeration: Azure prenumeration med ägarroll krävs för att registrera ett program i azure active directory() och tilldela rollen deltagare till appen i resursgruppen.
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: JoeSandbox API-nyckel krävs.

Keeper Security Push Connector

Stöds av:Keeper Security

Keeper Security-anslutningsappen ger möjlighet att läsa rådata från Keeper Security i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`KeeperSecurityEventNewLogs_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft Entra: Behörighet att skapa en appregistrering i Microsoft Entra ID. Kräver vanligtvis Entra ID-programutvecklare eller högre.
Microsoft Azure: Behörighet att tilldela rollen Utgivare av övervakningsmått för datainsamlingsregel (DCR). Kräver vanligtvis Azure roll som RBAC-ägare eller administratör för användaråtkomst

LastPass Enterprise – Rapportering (avsöknings-CCF)

Stöds av:The Collective Consulting

LastPass Enterprise-anslutningsappen ger möjlighet till LastPass-rapporteringsloggar (granskning) till Microsoft Sentinel. Anslutningsappen ger insyn i inloggningar och aktivitet i LastPass (till exempel att läsa och ta bort lösenord).

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`LastPassNativePoller_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

LastPass API-nyckel och CID: En LastPass API-nyckel och CID krävs. Mer information finns i LastPass API.

Lookout Mobile Threat Detection Connector (via Codeless Connector Framework) (förhandsversion)

Stöds av:Lookout

Lookout Mobile Threat Detection-dataanslutningsappen ger möjlighet att mata in händelser relaterade till mobila säkerhetsrisker i Microsoft Sentinel via API:et för mobilrisk. Mer information finns i API-dokumentationen . Den här anslutningsappen hjälper dig att undersöka potentiella säkerhetsrisker som identifierats på mobila enheter.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`LookoutMtdV2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Luminar IOCs och läckta autentiseringsuppgifter (med Azure Functions)

Stöds av:Cognyte Luminar

Luminar IOC och anslutningsprogrammet för läckta autentiseringsuppgifter möjliggör integrering av intelligensbaserade IOC-data och kundrelaterade läckta poster som identifierats av Luminar.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ThreatIntelligenceIndicator`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure-prenumeration: Azure prenumeration med ägarroll krävs för att registrera ett program i azure active directory() och tilldela rollen deltagare till appen i resursgruppen.
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: Luminar-klient-ID, Luminar-klienthemlighet och Luminar-konto-ID krävs.

MailGuard 365

Stöds av:MailGuard 365

MailGuard 365 Enhanced Email Security för Microsoft 365. MailGuard 365 är exklusivt för Microsoft Marketplace och är integrerat med Microsoft 365-säkerhet (inkl. Defender) för förbättrat skydd mot avancerade e-posthot som nätfiske, utpressningstrojaner och sofistikerade BEC-attacker.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`MailGuard365_Threats_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

MailRisk av Secure Practice (med hjälp av Azure Functions)

Stöds av:Säker praxis

Dataanslutning för att skicka e-postmeddelanden från MailRisk till Microsoft Sentinel Log Analytics.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`MailRiskEmails_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
API-autentiseringsuppgifter: Nyckelparet secure practice API behövs också, som skapas i inställningarna i administratörsportalen. Om du har förlorat din API-hemlighet kan du generera ett nytt nyckelpar (VARNING! Alla andra integreringar som använder det gamla nyckelparet slutar fungera).

Microsoft 365 (tidigare Office 365)

Stöds av:Microsoft Corporation

Aktivitetslogganslutningsappen för Microsoft 365 (tidigare Office 365) ger insikt i pågående användaraktiviteter. Du får information om åtgärder som filnedladdningar, skickade åtkomstbegäranden, ändringar i grupphändelser, set-mailbox och information om användaren som utförde åtgärderna. Genom att ansluta Microsoft 365-loggar till Microsoft Sentinel kan du använda dessa data för att visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningsprocessen. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`OfficeActivity`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Microsoft 365 Insider Risk Management

Stöds av:Microsoft Corporation

Microsoft 365 Insider Risk Management är en efterlevnadslösning i Microsoft 365 som hjälper till att minimera interna risker genom att du kan identifiera, undersöka och agera på skadliga och oavsiktliga aktiviteter i din organisation. Riskanalytiker i din organisation kan snabbt vidta lämpliga åtgärder för att se till att användarna följer organisationens efterlevnadsstandarder.

Med principer för insiderrisk kan du:

definiera vilka typer av risker du vill identifiera och identifiera i din organisation.
besluta vilka åtgärder som ska vidtas som svar, inklusive eskalerande ärenden till Microsoft Advanced eDiscovery om det behövs.

Den här lösningen skapar aviseringar som kan ses av Office-kunder i lösningen hantering av insiderrisk i Microsoft 365 Efterlevnadscenter. Läs mer om hantering av insiderrisk.

Dessa aviseringar kan importeras till Microsoft Sentinel med den här anslutningsappen, så att du kan se, undersöka och svara på dem i en bredare kontext för organisationshot. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityAlert`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Säkerhetshändelseloggar för Microsoft Active-Directory-domänkontrollanter

Stöds av:Community

[Alternativ 3 & 4] – Använda Azure Monitor Agent – Du kan strömma en del eller alla domänkontrollanters säkerhetshändelseloggar från Windows-datorerna som är anslutna till din Microsoft Sentinel-arbetsyta med hjälp av Windows-agenten. Med den här anslutningen kan du skapa anpassade aviseringar och förbättra undersökningen.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityEvent`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure Log Analytics kommer att bli inaktuellt för att samla in data från icke-Azure virtuella datorer rekommenderas Azure Arc. Läs mer
Detaljerad dokumentation: >Obs! Detaljerad dokumentation om installationsprocedur och användning finns här

Microsoft Copilot

Stöds av:Microsoft

Anslutningsappen Microsoft Copilot loggar i Microsoft Sentinel möjliggör sömlös inmatning av Copilot-genererade aktivitetsloggar från M365 Copilot och Security Copilot till Microsoft Sentinel för avancerad hotidentifiering, undersökning och svar. Den samlar in telemetri från Microsoft Copilot tjänster, till exempel användningsdata och systemsvar och inmatningar i Microsoft Sentinel, så att säkerhetsteam kan övervaka missbruk, upptäcka avvikelser och upprätthålla efterlevnaden av organisationens principer.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CopilotActivity`	Nej	Ja

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Klientbehörigheter: "Säkerhetsadministratör" eller "Global administratör" för arbetsytans klientorganisation.

Microsoft Dataverse

Stöds av:Microsoft Corporation

Microsoft Dataverse är en skalbar och säker dataplattform som gör det möjligt för organisationer att lagra och hantera data som används av affärsprogram. Microsoft Dataverse-dataanslutningsappen ger möjlighet att mata in Dataverse- och Dynamics 365 CRM-aktivitetsloggar från Microsoft Purview Granskning logga in på Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`DataverseActivity`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Klientbehörigheter: "Säkerhetsadministratör" eller "Global administratör" för arbetsytans klientorganisation.
Micorosft Purview Audit: Microsoft Purview Granskning (Standard eller Premium) måste aktiveras.
Produktionsdataversum: Aktivitetsloggning är endast tillgängligt för produktionsmiljöer. Andra typer, till exempel sandbox-miljön, stöder inte aktivitetsloggning.
Dataverse-granskningsinställningar: Granskningsinställningar måste konfigureras både globalt och på entitets-/tabellnivå. Mer information finns i Dataverse-granskningsinställningar.

Microsoft Defender for Cloud Apps

Stöds av:Microsoft Corporation

Genom att ansluta med Microsoft Defender for Cloud Apps får du insyn i dina molnappar, får avancerad analys för att identifiera och bekämpa cyberhot och kontrollera hur dina data färdas.

Identifiera skugg-IT-molnappar i nätverket.
Kontrollera och begränsa åtkomst baserat på villkor och sessionskontext.
Använd inbyggda eller anpassade principer för datadelning och dataförlustskydd.
Identifiera högriskanvändning och få aviseringar för ovanliga användaraktiviteter med Microsofts funktioner för beteendeanalys och avvikelseidentifiering, inklusive utpressningstrojanaktivitet, omöjlig resa, misstänkta regler för vidarebefordran av e-post och massnedladdning av filer.
Massnedladdning av filer

Distribuera nu >

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityAlert`	Nej	Nej
`McasShadowItReporting`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Microsoft Defender för Endpoint

Stöds av:Microsoft Corporation

Microsoft Defender för Endpoint är en säkerhetsplattform som utformats för att förhindra, identifiera, undersöka och reagera på avancerade hot. Plattformen skapar aviseringar när misstänkta säkerhetshändelser visas i en organisation. Hämta aviseringar som genereras i Microsoft Defender för Endpoint för att Microsoft Sentinel så att du effektivt kan analysera säkerhetshändelser. Du kan skapa regler, skapa instrumentpaneler och skapa spelböcker för omedelbart svar. Mer information finns i Microsoft Sentinel dokumentationen >.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityAlert`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Microsoft Defender for Identity

Stöds av:Microsoft Corporation

Anslut Microsoft Defender for Identity för att få insyn i händelser och användaranalys. Microsoft Defender for Identity identifierar, identifierar och hjälper dig att undersöka avancerade hot, komprometterade identiteter och skadliga insideråtgärder riktade mot din organisation. Microsoft Defender for Identity gör det möjligt för SecOp-analytiker och säkerhetspersonal som kämpar med att identifiera avancerade attacker i hybridmiljöer att:

Övervaka användare, entitetsbeteende och aktiviteter med inlärningsbaserad analys
Skydda användaridentiteter och autentiseringsuppgifter som lagras i Active Directory
Identifiera och undersöka misstänkta användaraktiviteter och avancerade attacker i hela kill-kedjan
Ange tydlig incidentinformation på en enkel tidslinje för snabb prioritering

Prova nu >

Distribuera nu >

Mer information finns i Microsoft Sentinel dokumentationen >.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityAlert`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Microsoft Defender för IoT

Stöds av:Microsoft Corporation

Få insikter om din IoT-säkerhet genom att ansluta Microsoft Defender för IoT-aviseringar till Microsoft Sentinel. Du kan få färdiga aviseringsmått och data, inklusive aviseringstrender, toppaviseringar och aviseringsuppdelning efter allvarlighetsgrad. Du kan också få information om rekommendationerna för dina IoT-hubbar, inklusive de bästa rekommendationerna och rekommendationerna efter allvarlighetsgrad. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityAlert`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Microsoft Defender för Office 365 (förhandsversion)

Stöds av:Microsoft Corporation

Microsoft Defender för Office 365 skyddar din organisation mot skadliga hot från e-postmeddelanden, länkar (URL:er) och samarbetsverktyg. Genom att mata in Microsoft Defender för Office 365 aviseringar i Microsoft Sentinel kan du lägga till information om e-post- och URL-baserade hot i din bredare riskanalys och skapa svarsscenarier i enlighet därmed.

Följande typer av aviseringar importeras:

Ett potentiellt skadligt URL-klick upptäcktes
E-postmeddelanden som innehåller skadlig kod har tagits bort efter leverans
E-postmeddelanden med nätfiske togs bort efter leverans
E-postmeddelande rapporterat av användare som skadlig programvara eller nätfiske
Misstänkta e-postsändningsmönster har identifierats
Användare som inte kan skicka e-post

Dessa aviseringar kan visas av Office-kunder i ** Säkerhets- och efterlevnadscentret för Office**.

Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityAlert`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Microsoft Defender Hotinformation

Stöds av:Microsoft Corporation

Microsoft Sentinel ger dig möjlighet att importera hotinformation som genereras av Microsoft för att aktivera övervakning, aviseringar och jakt. Använd den här dataanslutningsappen för att importera indikatorer för kompromettering (IOPS) från Microsoft Defender Hotinformation (MDTI) till Microsoft Sentinel. Hotindikatorer kan vara IP-adresser, domäner, URL:er och filhashvärden osv.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ThreatIntelligenceIndicator`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Microsoft Defender XDR

Stöds av:Microsoft Corporation

Microsoft Defender XDR är en enhetlig, inbyggt integrerad företagsförsvarssvit före och efter intrång som skyddar slutpunkt, identitet, e-post och program och hjälper dig att identifiera, förhindra, undersöka och automatiskt svara på sofistikerade hot.

Microsoft Defender XDR svit innehåller:

Microsoft Defender för Endpoint
Microsoft Defender for Identity
Microsoft Defender för Office 365
Hantering av hot & säkerhetsrisker
Microsoft Defender for Cloud Apps

Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityIncident`	Ja	Ja
`SecurityAlert`	Ja	Ja
`DeviceEvents`	Ja	Ja
`EmailEvents`	Ja	Ja
`IdentityLogonEvents`	Ja	Ja
`CloudAppEvents`	Ja	Ja
`AlertEvidence`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Microsoft Entra ID

Stöds av:Microsoft Corporation

Få insikter om Microsoft Entra ID genom att ansluta gransknings- och inloggningsloggar till Microsoft Sentinel för att samla in insikter om Microsoft Entra ID scenarier. Du kan lära dig mer om appanvändning, principer för villkorlig åtkomst, äldre autentisering med hjälp av våra inloggningsloggar. Du kan få information om din SSPR-användning (Self Service Password Reset), Microsoft Entra ID Management-aktiviteter som användare, grupp, roll, apphantering med hjälp av vår tabell granskningsloggar. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SigninLogs`	Ja	Ja
`AuditLogs`	Ja	Ja
`AADNonInteractiveUserSignInLogs`	Ja	Ja
`AADServicePrincipalSignInLogs`	Ja	Ja
`AADManagedIdentitySignInLogs`	Ja	Ja
`AADProvisioningLogs`	Ja	Ja
`ADFSSignInLogs`	Ja	Ja
`AADUserRiskEvents`	Ja	Ja
`AADRiskyUsers`	Ja	Ja
`NetworkAccessTraffic`	Ja	Ja
`AADRiskyServicePrincipals`	Ja	Ja
`AADServicePrincipalRiskEvents`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Microsoft Entra ID tillgångar

Stöds av:Microsoft Corporation

Entra dataanslutning för ID-tillgångar ger bättre insikter om aktivitetsdata genom att komplettera informationen med tillgångsinformation. Data från den här anslutningsappen används för att skapa datariskdiagram i Purview. Om du har aktiverat dessa grafer förhindrar inaktivering av den här anslutningsappen att graferna skapas. Läs mer om datariskdiagrammet.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar

Stöd för datainsamlingsregel: Stöds inte för närvarande

Microsoft Entra ID Skydd

Stöds av:Microsoft Corporation

Microsoft Entra ID Protection ger en samlad vy över riskanvändare, riskhändelser och sårbarheter, med möjlighet att omedelbart åtgärda risker och ange principer för att automatiskt åtgärda framtida händelser. Tjänsten bygger på Microsofts erfarenhet av att skydda konsumentidentiteter och får en enorm noggrannhet från signalen från över 13 miljarder inloggningar om dagen. Integrera Microsoft Microsoft Entra ID Protection-aviseringar med Microsoft Sentinel för att visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Mer information finns i dokumentationen för Microsoft Sentinel .

Hämta Microsoft Entra ID Premium P1/P2

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityAlert`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Microsoft Exchange Admin granskningsloggar efter händelseloggar

Stöds av:Community

[Alternativ 1] – Använda Azure Monitor-agent – Du kan strömma alla Exchange-granskningshändelser från Windows-datorer som är anslutna till din Microsoft Sentinel arbetsyta med hjälp av Windows-agenten. Med den här anslutningen kan du visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta används av Säkerhetsarbetsböcker i Microsoft Exchange för att ge säkerhetsinsikter om din lokala Exchange-miljö

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Event`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure Log Analytics kommer att bli inaktuellt för att samla in data från icke-Azure virtuella datorer rekommenderas Azure Arc. Läs mer
Detaljerad dokumentation: >Obs! Detaljerad dokumentation om installationsprocedur och användning finns här

HTTP-proxyloggar för Microsoft Exchange

Stöds av:Community

[Alternativ 7] – Använda Azure Monitor-agent – Du kan strömma HTTP-proxyloggar och säkerhetshändelseloggar från De Windows-datorer som är anslutna till din Microsoft Sentinel-arbetsyta med hjälp av Windows-agenten. Med den här anslutningen kan du skapa anpassade aviseringar och förbättra undersökningen. Läs mer

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ExchangeHttpProxy_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure Log Analytics kommer att bli inaktuellt: Azure Log Analytics kommer att bli inaktuellt för att samla in data från icke-Azure virtuella datorer rekommenderas Azure Arc. Läs mer
Detaljerad dokumentation: >Obs! Detaljerad dokumentation om installationsprocedur och användning finns här

Loggar och händelser för Microsoft Exchange

Stöds av:Community

[Alternativ 2] – Använda Azure Monitor-agent – Du kan strömma alla Exchange Security-& programhändelseloggar från De Windows-datorer som är anslutna till din Microsoft Sentinel-arbetsyta med hjälp av Windows-agenten. Med den här anslutningen kan du skapa anpassade aviseringar och förbättra undersökningen.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Event`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure Log Analytics kommer att bli inaktuellt: Azure Log Analytics kommer att bli inaktuellt för att samla in data från icke-Azure virtuella datorer rekommenderas Azure Arc. Läs mer
Detaljerad dokumentation: >Obs! Detaljerad dokumentation om installationsprocedur och användning finns här

Spårningsloggar för Meddelanden i Microsoft Exchange

Stöds av:Community

[Alternativ 6] – Använda Azure Monitor-agent – Du kan strömma alla Exchange-meddelandespårningar från Windows-datorer som är anslutna till din Microsoft Sentinel arbetsyta med hjälp av Windows-agenten. Dessa loggar kan användas för att spåra flödet av meddelanden i Exchange-miljön. Den här dataanslutningsappen baseras på alternativ 6 i Wikin för Microsoft Exchange-säkerhet.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`MessageTrackingLog_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure Log Analytics kommer att bli inaktuellt: Azure Log Analytics kommer att bli inaktuellt för att samla in data från icke-Azure virtuella datorer rekommenderas Azure Arc. Läs mer
Detaljerad dokumentation: >Obs! Detaljerad dokumentation om installationsprocedur och användning finns här

Microsoft Power Automate

Stöds av:Microsoft Corporation

Power Automate är en Microsoft-tjänst som hjälper användare att skapa automatiserade arbetsflöden mellan appar och tjänster för att synkronisera filer, få meddelanden, samla in data med mera. Det förenklar automatisering av uppgifter, ökar effektiviteten genom att minska manuella, repetitiva uppgifter och förbättra produktiviteten. Power Automate-dataanslutningsappen ger möjlighet att mata in Power Automate-aktivitetsloggar från Microsoft Purview Granskning logga in på Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`PowerAutomateActivity`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Klientbehörigheter: "Säkerhetsadministratör" eller "Global administratör" för arbetsytans klientorganisation.
Micorosft Purview Audit: Microsoft Purview Granskning (Standard eller Premium) måste aktiveras.

Microsoft Power Platform Admin-aktivitet

Stöds av:Microsoft Corporation

Microsoft Power Platform är en svit med lite kod/ingen kod som gör det möjligt för både medborgar- och proffsutvecklare att effektivisera affärsprocesser genom att möjliggöra skapandet av anpassade appar, automatisering av arbetsflöden och dataanalys med minimal kodning. Power Platform Admin-dataanslutningen ger möjlighet att mata in power platform-administratörsaktivitetsloggar från Microsoft Purview Granskning logga in på Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`PowerPlatformAdminActivity`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Klientbehörigheter: "Säkerhetsadministratör" eller "Global administratör" för arbetsytans klientorganisation.
Micorosft Purview Audit: Microsoft Purview Granskning (Standard eller Premium) måste aktiveras.

Microsoft PowerBI

Stöds av:Microsoft Corporation

Microsoft PowerBI är en samling programvarutjänster, appar och anslutningsappar som fungerar tillsammans för att omvandla dina orelaterade datakällor till sammanhängande, visuellt uppslukande och interaktiva insikter. Dina data kan vara ett Excel-kalkylblad, en samling molnbaserade och lokala hybridinformationslager eller ett datalager av någon annan typ. Med den här anslutningsappen kan du strömma PowerBI-granskningsloggar till Microsoft Sentinel, så att du kan spåra användaraktiviteter i din PowerBI-miljö. Du kan filtrera granskningsdata efter datumintervall, användare, instrumentpanel, rapport, datauppsättning och aktivitetstyp.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`PowerBIActivity`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Microsoft Project

Stöds av:Microsoft

Microsoft Project (MSP) är en programvarulösning för projekthantering. Beroende på din plan kan du med Microsoft Project planera projekt, tilldela uppgifter, hantera resurser, skapa rapporter med mera. Med den här anslutningsappen kan du strömma granskningsloggarna för Azure Project till Microsoft Sentinel för att spåra dina projektaktiviteter.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ProjectActivity`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Microsoft Purview

Stöds av:Microsoft Corporation

Anslut till Microsoft Purview för att aktivera datakänslighetsberikning av Microsoft Sentinel. Dataklassificerings- och känslighetsetikettloggar från Microsoft Purview-genomsökningar kan matas in och visualiseras via arbetsböcker, analysregler med mera. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`PurviewDataSensitivityLogs`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Microsoft Purview Information Protection

Stöds av:Microsoft Corporation

Microsoft Purview Information Protection hjälper dig att upptäcka, klassificera, skydda och styra känslig information var den än bor eller reser. Med de här funktionerna kan du känna till dina data, identifiera objekt som är känsliga och få insyn i hur de används för att bättre skydda dina data. Känslighetsetiketter är den grundläggande funktionen som ger skyddsåtgärder, tillämpning av kryptering, åtkomstbegränsningar och visuell märkning. Integrera Microsoft Purview Information Protection loggar med Microsoft Sentinel för att visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`MicrosoftPurviewInformationProtection`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Mimecast-granskning

Stöds av:Mimecast

Dataanslutningen för Mimecast Audit ger kunderna insyn i säkerhetshändelser relaterade till gransknings- och autentiseringshändelser inom Microsoft Sentinel. Dataanslutningsappen innehåller förskapade instrumentpaneler som gör det möjligt för analytiker att visa insikter om användaraktivitet, hjälp vid incidentkorrelation och minska antalet svarstider för undersökningar i kombination med anpassade aviseringsfunktioner.
Mimecast-produkterna som ingår i anslutningsappen är: Granska

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Audit_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure Prenumeration: Azure Prenumeration med ägarroll krävs för att registrera ett program i Microsoft Entra ID och tilldela rollen deltagare till appen i resursgruppen.
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/-behörigheter: Se dokumentationen för att lära dig mer om API:et i rest-API-referensen

Mimecast Audit &-autentisering (med Azure Functions)

Stöds av:Mimecast

Dataanslutningsappen för Mimecast Audit & Authentication ger kunderna insyn i säkerhetshändelser relaterade till gransknings- och autentiseringshändelser inom Microsoft Sentinel. Dataanslutningsappen innehåller förskapade instrumentpaneler som gör det möjligt för analytiker att visa insikter om användaraktivitet, hjälp vid incidentkorrelation och minska antalet svarstider för undersökningar i kombination med anpassade aviseringsfunktioner.
Mimecast-produkterna som ingår i anslutningsappen är: Granska &-autentisering

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`MimecastAudit_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Mimecast API-autentiseringsuppgifter: Du måste ha följande information för att konfigurera integreringen:
mimecastEmail: Email adress till en dedikerad Mimecast-administratörsanvändare
mimecastPassword: Lösenord för den dedikerade Mimecast-administratörsanvändaren
mimecastAppId: API-program-ID för Mimecast-Microsoft Sentinel-appen som registrerats med Mimecast
mimecastAppKey: API-programnyckeln för Mimecast-Microsoft Sentinel-appen som registrerats med Mimecast
mimecastAccessKey: Åtkomstnyckel för den dedikerade Mimecast-administratörsanvändaren
mimecastSecretKey: Hemlig nyckel för den dedikerade Mimecast-administratörsanvändaren
mimecastBaseURL: Mimecast Regional API Base URL

Mimecast-program-ID, programnyckel samt åtkomstnyckel och hemliga nycklar för den dedikerade Mimecast-administratörsanvändaren kan hämtas via Mimecast-administrationskonsolen: Administration | Tjänster | API- och plattformsintegreringar.

Mimecast API-bas-URL:en för varje region dokumenteras här: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Resursgrupp: Du måste ha en resursgrupp skapad med en prenumeration som du ska använda.
Funktionsapp: Du måste ha en Azure App registrerad för att anslutningsappen ska kunna använda

Program-ID
Klientorganisations-ID
Klient-ID
Klienthemlighet

Mimecast Awareness Training

Stöds av:Mimecast

Dataanslutningsappen för Mimecast Awareness Training ger kunderna insyn i säkerhetshändelser relaterade till inspektionstekniker för riktat hotskydd inom Microsoft Sentinel. Dataanslutningsappen innehåller förskapade instrumentpaneler som gör det möjligt för analytiker att se insikter om e-postbaserade hot, hjälp med incidentkorrelation och minska antalet svarstider för undersökningar i kombination med anpassade aviseringsfunktioner.
Mimecast-produkterna som ingår i anslutningsappen är:

Prestandainformation
Information om säkerhetspoäng
Användardata
Information om visningslista

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Awareness_Performance_Details_CL`	Ja	Ja
`Awareness_SafeScore_Details_CL`	Ja	Ja
`Awareness_User_Data_CL`	Ja	Ja
`Awareness_Watchlist_Details_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure Prenumeration: Azure Prenumeration med ägarroll krävs för att registrera ett program i Microsoft Entra ID och tilldela rollen deltagare till appen i resursgruppen.
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/-behörigheter: Se dokumentationen för att lära dig mer om API:et i rest-API-referensen

Mimecast Cloud Integrated

Stöds av:Mimecast

Dataanslutningen för Mimecast Cloud Integrated ger kunderna insyn i säkerhetshändelser relaterade till molnintegrerade inspektionstekniker inom Microsoft Sentinel. Dataanslutningsappen innehåller förskapade instrumentpaneler som gör det möjligt för analytiker att se insikter om e-postbaserade hot, hjälp med incidentkorrelation och minska antalet svarstider för undersökningar i kombination med anpassade aviseringsfunktioner.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Cloud_Integrated_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure Prenumeration: Azure Prenumeration med ägarroll krävs för att registrera ett program i Microsoft Entra ID och tilldela rollen deltagare till appen i resursgruppen.
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/-behörigheter: Se dokumentationen för att lära dig mer om API:et i rest-API-referensen

Mimecast Intelligence för Microsoft – Microsoft Sentinel (med Azure Functions)

Stöds av:Mimecast

Dataanslutningsappen för Mimecast Intelligence för Microsoft tillhandahåller regional hotinformation som kurerats från Mimecasts e-postgranskningstekniker med förskapade instrumentpaneler så att analytiker kan se insikter om e-postbaserade hot, hjälp med incidentkorrelation och minska svarstiderna för undersökningar.
Mimecast-produkter och funktioner som krävs:

Mimecast Secure Email Gateway
Mimecast Threat Intelligence

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ThreatIntelligenceIndicator`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Mimecast API-autentiseringsuppgifter: Du måste ha följande information för att konfigurera integreringen:
mimecastEmail: Email adress till en dedikerad Mimecast-administratörsanvändare
mimecastPassword: Lösenord för den dedikerade Mimecast-administratörsanvändaren
mimecastAppId: API-program-ID för Mimecast-Microsoft Sentinel-appen som registrerats med Mimecast
mimecastAppKey: API-programnyckeln för Mimecast-Microsoft Sentinel-appen som registrerats med Mimecast
mimecastAccessKey: Åtkomstnyckel för den dedikerade Mimecast-administratörsanvändaren
mimecastSecretKey: Hemlig nyckel för den dedikerade Mimecast-administratörsanvändaren
mimecastBaseURL: Mimecast Regional API Base URL

Mimecast-program-ID, programnyckel samt åtkomstnyckel och hemliga nycklar för den dedikerade Mimecast-administratörsanvändaren kan hämtas via Mimecast-administrationskonsolen: Administration | Tjänster | API- och plattformsintegreringar.

Mimecast API-bas-URL:en för varje region dokumenteras här: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Resursgrupp: Du måste ha en resursgrupp skapad med en prenumeration som du ska använda.
Funktionsapp: Du måste ha en Azure App registrerad för att anslutningsappen ska kunna använda

Program-ID
Klientorganisations-ID
Klient-ID
Klienthemlighet

Mimecast Secure Email Gateway

Stöds av:Mimecast

Dataanslutningsappen för Mimecast Secure Email Gateway gör det enkelt att samla in loggar från Secure Email Gateway för att visa e-postinsikter och användaraktivitet i Microsoft Sentinel. Dataanslutningsappen innehåller förskapade instrumentpaneler som gör det möjligt för analytiker att se insikter om e-postbaserade hot, hjälp med incidentkorrelation och minska antalet svarstider för undersökningar i kombination med anpassade aviseringsfunktioner. Mimecast-produkter och funktioner som krävs:

Mimecast Cloud Gateway
Mimecast Data Leak Prevention

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Seg_Cg_CL`	Ja	Ja
`Seg_Dlp_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure Prenumeration: Azure Prenumeration med ägarroll krävs för att registrera ett program i Microsoft Entra ID och tilldela rollen deltagare till appen i resursgruppen.
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/-behörigheter: Se dokumentationen för att lära dig mer om API:et i rest-API-referensen

Mimecast Secure Email Gateway (med Azure Functions)

Stöds av:Mimecast

Mimecast Secure Email Gateway
Mimecast Data Leak Prevention

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`MimecastSIEM_CL`	Nej	Nej
`MimecastDLP_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Mimecast API-autentiseringsuppgifter: Du måste ha följande information för att konfigurera integreringen:
mimecastEmail: Email adress till en dedikerad Mimecast-administratörsanvändare
mimecastPassword: Lösenord för den dedikerade Mimecast-administratörsanvändaren
mimecastAppId: API-program-ID för Mimecast-Microsoft Sentinel-appen som registrerats med Mimecast
mimecastAppKey: API-programnyckeln för Mimecast-Microsoft Sentinel-appen som registrerats med Mimecast
mimecastAccessKey: Åtkomstnyckel för den dedikerade Mimecast-administratörsanvändaren
mimecastSecretKey: Hemlig nyckel för den dedikerade Mimecast-administratörsanvändaren
mimecastBaseURL: Mimecast Regional API Base URL

Mimecast-program-ID, programnyckel samt åtkomstnyckel och hemliga nycklar för den dedikerade Mimecast-administratörsanvändaren kan hämtas via Mimecast-administrationskonsolen: Administration | Tjänster | API- och plattformsintegreringar.

Mimecast API-bas-URL:en för varje region dokumenteras här: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

Resursgrupp: Du måste ha en resursgrupp skapad med en prenumeration som du ska använda.
Funktionsapp: Du måste ha en Azure App registrerad för att anslutningsappen ska kunna använda

Program-ID
Klientorganisations-ID
Klient-ID
Klienthemlighet

Mimecast Targeted Threat Protection

Stöds av:Mimecast

Dataanslutningsappen för Mimecast Targeted Threat Protection ger kunderna insyn i säkerhetshändelser relaterade till inspektionstekniker för riktat hotskydd inom Microsoft Sentinel. Dataanslutningsappen innehåller förskapade instrumentpaneler som gör det möjligt för analytiker att se insikter om e-postbaserade hot, hjälp med incidentkorrelation och minska antalet svarstider för undersökningar i kombination med anpassade aviseringsfunktioner.
Mimecast-produkterna som ingår i anslutningsappen är:

URL-skydd
Personifieringsskydd
Skydda bifogad fil

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Ttp_Url_CL`	Ja	Ja
`Ttp_Attachment_CL`	Ja	Ja
`Ttp_Impersonation_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure Prenumeration: Azure Prenumeration med ägarroll krävs för att registrera ett program i Microsoft Entra ID och tilldela rollen deltagare till appen i resursgruppen.
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/-behörigheter: Se dokumentationen för att lära dig mer om API:et i rest-API-referensen

Mimecast Targeted Threat Protection (med Azure Functions)

Stöds av:Mimecast

URL-skydd
Personifieringsskydd
Skydda bifogad fil

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`MimecastTTPUrl_CL`	Nej	Nej
`MimecastTTPAttachment_CL`	Nej	Nej
`MimecastTTPImpersonation_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/-behörigheter: Du måste ha följande information för att konfigurera integreringen:
mimecastEmail: Email adress till en dedikerad Mimecast-administratörsanvändare
mimecastPassword: Lösenord för den dedikerade Mimecast-administratörsanvändaren
mimecastAppId: API-program-ID för Mimecast-Microsoft Sentinel-appen som registrerats med Mimecast
mimecastAppKey: API-programnyckeln för Mimecast-Microsoft Sentinel-appen som registrerats med Mimecast
mimecastAccessKey: Åtkomstnyckel för den dedikerade Mimecast-administratörsanvändaren
mimecastSecretKey: Hemlig nyckel för den dedikerade Mimecast-administratörsanvändaren
mimecastBaseURL: Mimecast Regional API Base URL

Mimecast-program-ID, programnyckel samt åtkomstnyckel och hemliga nycklar för den dedikerade Mimecast-administratörsanvändaren kan hämtas via Mimecast-administrationskonsolen: Administration | Tjänster | API- och plattformsintegreringar.

Mimecast API-bas-URL:en för varje region dokumenteras här: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

MISP2Sentinel

Stöds av:Community

Den här lösningen installerar ANSLUTNINGSappen MISP2Sentinel som gör att du automatiskt kan skicka hotindikatorer från MISP till Microsoft Sentinel via REST-API:et för uppladdningsindikatorer. När du har installerat lösningen konfigurerar och aktiverar du den här dataanslutningen genom att följa anvisningarna i Hantera lösningsvy.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ThreatIntelligenceIndicator`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

MongoDB Atlas-loggar

Stöds av:MongoDB

MongoDBAtlas Logs-anslutningsappen ger möjlighet att ladda upp MongoDB Atlas-databasloggar till Microsoft Sentinel via MongoDB Atlas Administration-API:et. Mer information finns i API-dokumentationen . Anslutningsappen ger möjlighet att hämta ett antal databasloggmeddelanden för de angivna värdarna och det angivna projektet.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`MDBALogTable_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: MongoDB Atlas-tjänstkontots klient-ID och klienthemlighet krävs. Mer information finns i Skapa ett tjänstkonto

MuleSoft Cloudhub (med Azure Functions)

Stöds av:Microsoft Corporation

MuleSoft Cloudhub-dataanslutningsappen ger möjlighet att hämta loggar från Cloudhub-program med hjälp av Cloudhub-API:et och fler händelser till Microsoft Sentinel via REST-API:et. Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`MuleSoft_Cloudhub_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername och MuleSoftPassword krävs för att göra API-anrop.

NC Protect

Stöds av:archTIS

NC Protect Data Connector (archtis.com) ger möjlighet att mata in användaraktivitetsloggar och händelser i Microsoft Sentinel. Anslutningsappen ger insyn i NC Protect-användaraktivitetsloggar och -händelser i Microsoft Sentinel för att förbättra övervaknings- och undersökningsfunktionerna

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`NCProtectUAL_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

NC Protect: Du måste ha en instans av NC Protect för O365 som körs. Kontakta oss.

Netskope-aviseringar och händelser

Stöds av:Netskope

Säkerhetsaviseringar och händelser för Netskope

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`NetskopeAlerts_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Netskope organisations-URL: Netskope-dataanslutningen kräver att du anger din organisations-URL. Du hittar din organisations-URL genom att logga in på Netskope-portalen.
Netskope API-nyckel: Netskope-dataanslutningen kräver att du anger en giltig API-nyckel. Du kan skapa en genom att följa Netskope-dokumentationen.

Netskope Data Connector

Stöds av:Netskope

Netskope-dataanslutningsappen innehåller följande funktioner:

NetskopeToAzureStorage :

Hämta data om Netskope-aviseringar och händelser från Netskope och mata in till Azure lagring. 2. StorageToSentinel:

Hämta Data om Netskope-aviseringar och händelser från Azure lagring och inmatning till anpassad loggtabell i Log Analytics-arbetsytan. 3. WebTxMetrics:

Hämta WebTxMetrics-data från Netskope och mata in till en anpassad loggtabell i Log Analytics-arbetsytan.

Mer information om REST-API:er finns i dokumentationen nedan:

Dokumentation om Netskope API:

https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure dokumentation om lagring: /azure/storage/common/storage-introduction 3. Microsofts analysdokumentation för loggar: /azure/azure-monitor/logs/log-analytics-overview

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`alertscompromisedcredentialdata_CL`	Nej	Nej
`alertsctepdata_CL`	Nej	Nej
`alertsdlpdata_CL`	Nej	Nej
`alertsmalsitedata_CL`	Nej	Nej
`alertsmalwaredata_CL`	Nej	Nej
`alertspolicydata_CL`	Nej	Nej
`alertsquarantinedata_CL`	Nej	Nej
`alertsremediationdata_CL`	Nej	Nej
`alertssecurityassessmentdata_CL`	Nej	Nej
`alertsubadata_CL`	Nej	Nej
`eventsapplicationdata_CL`	Nej	Nej
`eventsauditdata_CL`	Nej	Nej
`eventsconnectiondata_CL`	Nej	Nej
`eventsincidentdata_CL`	Nej	Nej
`eventsnetworkdata_CL`	Nej	Nej
`eventspagedata_CL`	Nej	Nej
`Netskope_WebTx_metrics_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Azure-prenumeration: Azure prenumeration med ägarroll krävs för att registrera ett program i azure active directory() och tilldela rollen deltagare till appen i resursgruppen.
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: Netskope-klientorganisation och Netskope API-token krävs. Mer information om API i rest-API-referensen finns i dokumentationen

Netskope Web Transaction Connector (via Blob Storage)

Stöds av:Netskope

Netskope Web Transaction Connector matar in webbtransaktionsloggar från Netskope Log Streaming till Microsoft Sentinel via Azure Blob Storage med hjälp av Codeless Connector Framework (CCF).

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`NetskopeWebTransactions_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Prenumerationsbehörigheter: Du behöver behörigheter för att skapa dataflödesresurserna:
lagringsköer (meddelandekö och kö med obeställbara meddelanden)
event grid-ämne och prenumeration (för att skicka meddelanden om "blob skapad händelse" till meddelandekön)
rolltilldelningar (för att bevilja åtkomst för Microsoft Sentinel app till blobcontainern och lagringsköerna.)
Nätverkskonfiguration för lagringskonto: Nätverksbegränsningar (brandvägg/IP-regler) för Azure Blob Storage-kontot stöds inte för den här anslutningsappen på grund av Azure begränsningar och begränsningar i storage-brandväggen:
IP-nätverksregler haringen effektpå begäranden som kommer från samma Azure region som lagringskontot.
IP-nätverksreglerkan inte begränsaåtkomsten till Azure tjänster som distribueras i samma region, eftersom dessa tjänster använder privata Azure IP-adresser för kommunikation.
Regler för tjänstslutpunkter för virtuellt nätverk gäller inte för klienter i en länkad region.

Kontrollera att lagringskontots nätverksblad är inställt på Aktiverad från alla nätverk.

Rolltilldelningar för lagringskonto: Följande Azure RBAC-roller måste tilldelas till Microsoft Sentinel huvudnamn för företagsprogramtjänsten (visas nedan) på lagringskontot som innehåller blobcontainern:
Storage Blob Data-deltagare – krävs för att läsa blobdata från containern.
Storage Queue Data Contributor – krävs för att hantera meddelanden och kömeddelanden med obeställbara meddelanden.

Tilldela dessa roller: Gå till lagringskontot → Access Control (IAM) → Lägg till rolltilldelning, sök efter det tjänsthuvudnamns-ID som visas nedan och tilldela båda rollerna.

Samla in data från Netskope till din blobcontainer: Följ stegen i dokumentationen för Netskope Log Streaming för att konfigurera Netskope att strömma webbtransaktionsloggar till din Azure Blob Storage container.

Netskope Web Transactions Data Connector

Stöds av:Netskope

Dataanslutningsappen Netskope Web Transactions tillhandahåller funktionerna i en docker-avbildning för att hämta Netskope Web Transactions-data från google pubsublite, bearbeta data och mata in bearbetade data till Log Analytics. Som en del av den här dataanslutningen skapas två tabeller i Log Analytics, en för webbtransaktionsdata och en annan för fel som påträffas under körningen.

Mer information om webbtransaktioner finns i dokumentationen nedan:

Dokumentation om Netskope-webbtransaktioner:

https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`NetskopeWebtxData_CL`	Nej	Nej
`NetskopeWebtxErrors_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Azure Prenumeration: Azure Prenumeration med ägarroll krävs för att registrera ett program i Microsoft Entra ID och tilldela rollen deltagare till appen i resursgruppen.
Microsoft.Compute-behörigheter: Läs- och skrivbehörigheter för att Azure virtuella datorer krävs. Mer information finns i Azure virtuella datorer.
TransactionEvents-autentiseringsuppgifter och behörigheter: Netskope-klientorganisation och Netskope API-token krävs. Mer information finns i Transaktionshändelser.
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.

Nätverkssäkerhetsgrupper

Stöds av:Microsoft Corporation

Azure nätverkssäkerhetsgrupper (NSG) kan du filtrera nätverkstrafik till och från Azure resurser i ett Azure virtuellt nätverk. En nätverkssäkerhetsgrupp innehåller regler som tillåter eller nekar trafik till ett virtuellt nätverksundernät, nätverksgränssnitt eller både och.

När du aktiverar loggning för en NSG kan du samla in följande typer av resurslogginformation:

Händelse: Poster loggas för vilka NSG-regler tillämpas på virtuella datorer, baserat på MAC-adress.
Regelräknare: Innehåller poster för hur många gånger varje NSG-regel tillämpas för att neka eller tillåta trafik. Statusen för dessa regler samlas in var 300:e sekund.

Med den här anslutningsappen kan du strömma dina NSG-diagnostikloggar till Microsoft Sentinel, så att du kontinuerligt kan övervaka aktivitet i alla dina instanser. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`AzureDiagnostics`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

NordPass

Stöds av:NordPass

Genom att integrera NordPass med Microsoft Sentinel SIEM via API:et kan du automatiskt överföra aktivitetsloggdata från NordPass till Microsoft Sentinel och få insikter i realtid, till exempel objektaktivitet, alla inloggningsförsök och säkerhetsmeddelanden.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`NordPassEventLogs_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Se till att resursgruppen och Log Analytics-arbetsytan skapas och finns i samma region så att du kan distribuera Azure Functions.
Lägg till Microsoft Sentinel till den skapade Log Analytics-arbetsytan.
Generera en Microsoft Sentinel API-URL och token i Panelen NordPass Admin för att slutföra Azure Functions integreringen. Observera att du behöver NordPass Enterprise-kontot för det.
Viktigt: Den här anslutningsappen använder Azure Functions för att hämta aktivitetsloggar från NordPass till Microsoft Sentinel. Detta kan resultera i ytterligare datainmatningskostnader. Mer information finns på sidan Azure Functions prissättning.

Obsidian Datasharing Connector

Stöds av:Obsidian Security

Obsidian Datasharing-anslutningsappen ger möjlighet att läsa rådata från Obsidian Datasharing i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ObsidianActivity_CL`	Nej	Nej
`ObsidianThreat_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft Entra: Behörighet att skapa en appregistrering i Microsoft Entra ID. Kräver vanligtvis Entra ID-programutvecklare eller högre.
Microsoft Azure: Behörighet att tilldela rollen Utgivare av övervakningsmått för datainsamlingsregel (DCR). Kräver vanligtvis Azure roll som RBAC-ägare eller administratör för användaråtkomst

Okta enkel inloggning

Stöds av:Microsoft Corporation

Dataanslutningsappen Okta Single Sign-On (SSO) ger möjlighet att mata in gransknings- och händelseloggar från Okta Sysem-logg-API:et till Microsoft Sentinel. Dataanslutningen bygger på Microsoft Sentinel Codeless Connector Framework och använder Okta System Log API för att hämta händelserna. Anslutningsappen stöder DCR-baserade omvandlingar av inmatningstid som parsar mottagna säkerhetshändelsedata i anpassade kolumner så att frågor inte behöver parsa dem igen, vilket ger bättre prestanda.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`OktaSSO`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Okta API-token: En Okta API-token. Följ följande instruktioner för att skapa en Se dokumentationen för att lära dig mer om Okta System Log API.

Okta Enkel Sign-On (med Azure Functions)

Stöds av:Microsoft Corporation

Anslutningsappen Okta Single Sign-On (SSO) ger möjlighet att mata in gransknings- och händelseloggar från Okta-API:et till Microsoft Sentinel. Anslutningsappen ger insyn i dessa loggtyper i Microsoft Sentinel för att visa instrumentpaneler, skapa anpassade aviseringar och förbättra övervaknings- och undersökningsfunktionerna.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Okta_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Okta API-token: En Okta API-token krävs. Mer information om Okta System Log API finns i dokumentationen.

Onapsis Defend: Integrera omatchad SAP Threat Detection & Intel med Microsoft Sentinel

Stöds av:Onapsis

Ge säkerhetsteam djup insyn i unik exploatering, nolldagars- och hotaktaraktivitet; misstänkt användar- eller insiderbeteende; känsliga datanedladdningar. säkerhetskontrollsöverträdelser; och mer – allt berikat av SAP-experterna på Onapsis.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Onapsis_Defend_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft Entra: Behörighet att skapa en appregistrering i Microsoft Entra ID. Kräver vanligtvis Entra ID-programutvecklare eller högre.
Microsoft Azure: Behörighet att tilldela utgivarrollen Övervakningsmått för datainsamlingsregler. Kräver vanligtvis Azure rollen RBAC-ägare eller administratör för användaråtkomst.

OneLogin IAM Platform (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

OneLogin-dataanslutningsappen ger möjlighet att mata in vanliga OneLogin IAM Platform-händelser i Microsoft Sentinel via REST API med hjälp av OneLogin Events API och OneLogin Users API. Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`OneLoginEventsV2_CL`	Ja	Ja
`OneLoginUsersV2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

OneLogin IAM API-autentiseringsuppgifter: Om du vill skapa API-autentiseringsuppgifter följer du dokumentlänken här genom att klicka här. Se till att ha en kontotyp av antingen kontoägare eller administratör för att skapa API-autentiseringsuppgifterna. När du har skapat API-autentiseringsuppgifterna får du ditt klient-ID och din klienthemlighet.

OneTrust

Stöds av:OneTrust, LLC

OneTrust-anslutningsappen för Microsoft Sentinel ger möjlighet att ha nästan realtidssynlighet i var känsliga data har lokaliserats eller åtgärdats över hela Google Cloud och andra OneTrust-datakällor som stöds.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`OneTrustMetadataV3_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft Entra: Behörighet att skapa en appregistrering i Microsoft Entra ID. Kräver vanligtvis Entra ID-programutvecklare eller högre.
Microsoft Azure: Behörighet att tilldela rollen Utgivare av övervakningsmått för datainsamlingsregel (DCR). Kräver vanligtvis Azure roll som RBAC-ägare eller administratör för användaråtkomst

Open Systems Data Connector

Stöds av:Open Systems

Open Systems Logs API Microsoft Sentinel Connector ger möjlighet att mata in Open Systems-loggar i Microsoft Sentinel med hjälp av Open Systems Logs API.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`OpenSystemsZtnaLogs_CL`	Ja	Ja
`OpenSystemsFirewallLogs_CL`	Nej	Nej
`OpenSystemsAuthenticationLogs_CL`	Nej	Nej
`OpenSystemsProxyLogs_CL`	Nej	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure containerappar, domänkontrollanter och domänkontrollanter: Behörigheter för att distribuera Azure containerappar, hanterade miljöer, regler för datainsamling (DCR) och slutpunkter för datainsamling (DCE) krävs. Detta täcks vanligtvis av rollen Deltagare i prenumerationen eller resursgruppen.
Behörigheter för rolltilldelning: Behörigheter för att skapa rolltilldelningar (särskilt "Monitoring Metrics Publisher" på DCR:er) krävs för den distribuerande användaren eller tjänstens huvudnamn.
Nödvändiga autentiseringsuppgifter för ARM-mall: Under distributionen måste du ange: Open Systems Logs API-slutpunkt och anslutningssträng samt autentiseringsuppgifter för tjänstens huvudnamn (klient-ID, klienthemlighet, objekt/huvudnamn-ID).
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Anpassade krav om det behövs, annars tar du bort den här tulltaggen: Beskrivning av eventuella anpassade krav

Oracle Cloud Infrastructure (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Oracle Cloud Infrastructure (OCI)-dataanslutningsappen ger möjlighet att mata in OCI-loggar från OCI-Stream till Microsoft Sentinel med hjälp av REST-API:et för OCI-direktuppspelning.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`OCI_LogsV2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

OCI Streaming API-åtkomst: Åtkomst till API:et för OCI-direktuppspelning via api-signeringsnycklar krävs.

Säkerhetsaviseringar för Orca

Stöds av:Orca Security

Med anslutningsprogrammet för Orca-säkerhetsaviseringar kan du enkelt exportera aviseringsloggar till Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`OrcaAlerts_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Palo Alto Cortex XDR

Stöds av:Microsoft Corporation

Palo Alto Cortex XDR-dataanslutningen tillåter inmatning av loggar från Palo Alto Cortex XDR-API:et till Microsoft Sentinel. Dataanslutningen bygger på Microsoft Sentinel Codeless Connector Framework. Den använder Palo Alto Cortex XDR-API:et för att hämta loggar och stöder DCR-baserade inmatningstidstransformeringar som parsar mottagna säkerhetsdata i en anpassad tabell så att frågor inte behöver parsa dem igen, vilket ger bättre prestanda.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`PaloAltoCortexXDR_Incidents_CL`	Ja	Ja
`PaloAltoCortexXDR_Endpoints_CL`	Ja	Ja
`PaloAltoCortexXDR_Audit_Management_CL`	Ja	Ja
`PaloAltoCortexXDR_Audit_Agent_CL`	Ja	Ja
`PaloAltoCortexXDR_Alerts_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Palo Alto Cortex Xpanse (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Palo Alto Cortex Xpanse-dataanslutningsappen matar in aviseringar om data i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CortexXpanseAlerts_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Palo Alto Prisma Cloud CSPM (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Med Palo Alto Prisma Cloud CSPM-dataanslutningsappen kan du ansluta till din Palo Alto Prisma Cloud CSPM-instans och mata in aviseringar (https://pan.dev/prisma-cloud/api/cspm/alerts/) & granskningsloggar(https://pan.dev/prisma-cloud/api/cspm/audit-logs/) i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`PaloAltoPrismaCloudAlertV2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Palo Alto Prisma Cloud CWPP (med REST API)

Stöds av:Microsoft Corporation

Med Palo Alto Prisma Cloud CWPP-dataanslutningsappen kan du ansluta till din Palo Alto Prisma Cloud CWPP-instans och mata in aviseringar i Microsoft Sentinel. Dataanslutningsappen bygger på Microsoft Sentinel Codeless Connector Framework och använder Prisma Cloud API för att hämta säkerhetshändelser och stöder DCR-baserade inmatningstidtransformeringar som parsar mottagna säkerhetshändelsedata i anpassade kolumner så att frågor inte behöver parsa dem igen, vilket ger bättre prestanda.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`PrismaCloudCompute_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

PrismaCloudCompute API-nyckel: Användarnamn och lösenord för Palo Alto Prisma Cloud CWPP Monitor API krävs. Mer information finns i PrismaCloudCompute SIEM API.

Pathlock Inc.: Hotidentifiering och svar för SAP

Stöds av:Pathlock Inc.

Integreringen pathlock threat detection and response (TD&R) med Microsoft Sentinel Solution for SAP ger enhetlig insyn i SAP-säkerhetshändelser i realtid, vilket gör det möjligt för organisationer att identifiera och agera på hot i alla SAP-landskap. Den här färdiga integreringen gör att Security Operations Centers (SOCs) kan korrelera SAP-specifika aviseringar med företagsomfattande telemetri, vilket skapar användbar intelligens som ansluter IT-säkerhet med affärsprocesser.

Pathlocks anslutningsapp är specialbyggd för SAP och vidarebefordrar endast säkerhetsrelevanskänsliga händelser som standard, vilket minimerar datavolymen och bruset samtidigt som flexibiliteten att vidarebefordra alla loggkällor vid behov bibehålls. Varje händelse är berikad med affärsprocesskontext, vilket gör att Microsoft Sentinel Lösning för SAP-analys kan skilja operativa mönster från verkliga hot och prioritera det som verkligen är viktigt.

Den här precisionsdrivna metoden hjälper säkerhetsteamen att drastiskt minska falska positiva identifieringar, fokusera undersökningar och påskynda tiden för att identifiera (MTTD) och genomsnittlig tid att svara (MTTR). Pathlocks bibliotek består av mer än 1 500 SAP-specifika identifieringssignaturer i över 70 loggkällor. Lösningen upptäcker komplexa angreppsbeteenden, konfigurationsbrister och åtkomstavvikelser.

Genom att kombinera business-context intelligence med avancerad analys gör Pathlock det möjligt för företag att öka identifieringsprecisionen, effektivisera svarsåtgärder och upprätthålla kontinuerlig kontroll i sina SAP-miljöer – utan att lägga till komplexitet eller redundanta övervakningslager.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ABAPAuditLog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft Entra: Behörighet att skapa en appregistrering i Microsoft Entra ID. Kräver vanligtvis Entra ID-programutvecklare eller högre.
Microsoft Azure: Behörighet att tilldela utgivarrollen Övervakningsmått för datainsamlingsregler. Kräver vanligtvis Azure rollen RBAC-ägare eller administratör för användaråtkomst.

Perimeter 81-aktivitetsloggar

Stöds av:Perimeter 81

Med perimeteranslutningen för aktivitetsloggar för perimeter 81 kan du enkelt ansluta dina perimeter 81-aktivitetsloggar till Microsoft Sentinel, visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Perimeter81_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Fosforenheter

Stöds av:Phosphorus Inc.

Phosphorus Device Connector ger Phosphorus möjlighet att mata in enhetsdataloggar i Microsoft Sentinel via REST-API:et för fosfor. Anslutningsappen ger insyn i de enheter som registrerats i fosfor. Den här dataanslutningsappen hämtar enhetsinformation tillsammans med motsvarande aviseringar.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Phosphorus_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

REST API-autentiseringsuppgifter/behörigheter: Fosfor-API-nyckel krävs. Kontrollera att den API-nyckel som är associerad med användaren har behörigheten Hantera inställningar aktiverad.

Följ de här anvisningarna för att aktivera behörigheter för att hantera inställningar.

Logga in på fosforprogrammet
Gå till Inställningar –> Grupper
Välj gruppen integrationsanvändaren är en del av
Gå till Produktåtgärder –> växla till behörigheten Hantera inställningar.

Ping One (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Den här anslutningsappen matar in granskningsaktivitetsloggar från PingOne Identity-plattformen till Microsoft Sentinel med hjälp av ett Codeless Connector Framework.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`PingOne_AuditActivitiesV2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Prancer Data Connector

Stöds av:Prancer PenSuiteAI-integrering

Prancer Data Connector har funktioner för att mata in Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] och PAC-data att bearbeta via Microsoft Sentinel. Mer information finns i Prancer-dokumentationen .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`prancer_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Inkludera anpassade förutsättningar om anslutningen kräver – annars tar du bort tullen: Beskrivning för alla anpassade förutsättningar

Premium-Microsoft Defender Hotinformation

Stöds av:Microsoft Corporation

Microsoft Sentinel ger dig möjlighet att importera hotinformation som genereras av Microsoft för att aktivera övervakning, aviseringar och jakt. Använd den här dataanslutningsappen för att importera indikatorer för kompromettering (IOCs) från Premium Microsoft Defender Hotinformation (MDTI) till Microsoft Sentinel. Hotindikatorer kan vara IP-adresser, domäner, URL:er och filhashvärden osv. Obs! Det här är en betald anslutningsapp. Om du vill använda och mata in data från den köper du SKU:n "MDTI API Access" från Partnercenter.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ThreatIntelligenceIndicator`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Proofpoint On Demand Email Security (via Codeless Connector Framework)

Stöds av:Proofpoint, Inc.

Proofpoint On Demand Email Security-dataanslutningsappen ger möjlighet att hämta Proofpoint on Demand-Email Protection-data, tillåter användare att kontrollera spårning av meddelanden, övervakning av e-postaktivitet, hot och dataexfiltrering av angripare och skadliga insiders. Anslutningsappen ger möjlighet att granska händelser i din organisation snabbare, hämta händelseloggfiler i steg per timme för den senaste aktiviteten.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ProofpointPODMailLog_CL`	Ja	Ja
`ProofpointPODMessage_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Websocket API-autentiseringsuppgifter/behörigheter: ProofpointClusterID och ProofpointToken krävs. Mer information finns i API.

Proofpoint On Demand Email Security (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ProofpointPODMailLog_CL`	Ja	Ja
`ProofpointPODMessage_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Websocket API-autentiseringsuppgifter/behörigheter: ProofpointClusterID och ProofpointToken krävs. Mer information finns i API.

Proofpoint TAP (via Codeless Connector Framework)

Stöds av:Proofpoint, Inc.

Anslutningsappen Proofpoint Targeted Attack Protection (TAP) ger möjlighet att mata in Proofpoint TAP-loggar och händelser i Microsoft Sentinel. Anslutningsappen ger insyn i meddelande- och klickhändelser i Microsoft Sentinel för att visa instrumentpaneler, skapa anpassade aviseringar och förbättra övervaknings- och undersökningsfunktionerna.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ProofPointTAPMessagesDeliveredV2_CL`	Ja	Ja
`ProofPointTAPMessagesBlockedV2_CL`	Ja	Ja
`ProofPointTAPClicksPermittedV2_CL`	Ja	Ja
`ProofPointTAPClicksBlockedV2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Proofpoint TAP API Key: En Proofpoint TAP API-tjänstens huvudnamn och hemlighet krävs för att få åtkomst till Proofpoints SIEM-API. Mer information finns i Proofpoint SIEM API.

Proofpoint TAP (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ProofPointTAPMessagesDeliveredV2_CL`	Ja	Ja
`ProofPointTAPMessagesBlockedV2_CL`	Ja	Ja
`ProofPointTAPClicksPermittedV2_CL`	Ja	Ja
`ProofPointTAPClicksBlockedV2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Proofpoint TAP API Key: En Proofpoint TAP API-tjänstens huvudnamn och hemlighet krävs för att få åtkomst till Proofpoints SIEM-API. Mer information finns i Proofpoint SIEM API.

QscoutAppEventsConnector (via Codeless Connector Framework)

Stöds av:Quokka

Mata in Qscout-programhändelser i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`QscoutAppEvents_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Qscout Organisations-ID: API:et kräver ditt organisations-ID i Qscout.
API-nyckel för Qscout-organisation: API:et kräver din organisations API-nyckel i Qscout.

Qualys Knowledge Base (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Mata in Qualys Knowledge Base Vulnerability Data i Microsoft Sentinel med version 2.0 av Qualys-API:et.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`QualysKnowledgeBase`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Qualys API-åtkomst: Kräver ett Qualys-användarkonto med läsåtkomst till kunskapsbasslutpunkterna.

Qualys VM KnowledgeBase (med Azure Functions)

Stöds av:Microsoft Corporation

Anslutningsprogrammet qualys vulnerability management (VM) KnowledgeBase (KB) ger möjlighet att mata in de senaste sårbarhetsdata från Qualys KB till Microsoft Sentinel.

Dessa data kan användas för att korrelera och utöka sårbarhetsidentifieringar som hittas av qualys vulnerability management (VM) dataanslutningsappen.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`QualysKB_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Qualys API-nyckel: Ett qualys VM API-användarnamn och lösenord krävs. Mer information finns i Qualys VM API.

Qualys Vulnerability Management (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Qualys Vulnerability Management (VM)-dataanslutningsappen ger möjlighet att mata in sårbarhetsvärdens identifieringsdata i Microsoft Sentinel via Qualys API. Anslutningsappen ger insyn i värdidentifieringsdata från vulerability-genomsökningar.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`QualysHostDetectionV3_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

API-åtkomst och -roller: Se till att qualys VM-användaren har rollen Läsare eller högre. Om rollen är Läsare kontrollerar du att API-åtkomst är aktiverad för kontot. Granskningsrollen stöds inte för åtkomst till API:et. Mer information finns i dokumentet Qualys VM Host Detection API och Jämförelse av användarroll .

Radiflow iSID via AMA

Stöds av:Radiflow

iSID möjliggör icke-störande övervakning av distribuerade ICS-nätverk för ändringar i topologi och beteende, med hjälp av flera säkerhetspaket, som var och en erbjuder en unik funktion som hör till en viss typ av nätverksaktivitet

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`RadiflowEvent`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Rapid7 Insight Platform Vulnerability Management Reports (med hjälp av Azure Functions)

Stöds av:Microsoft Corporation

Dataanslutningen Rapid7 Insight VM Report ger möjlighet att mata in genomsökningsrapporter och sårbarhetsdata i Microsoft Sentinel via REST-API:et från Rapid7 Insight-plattformen (hanteras i molnet). Mer information finns i API-dokumentationen . Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`NexposeInsightVMCloud_assets_CL`	Nej	Nej
`NexposeInsightVMCloud_vulnerabilities_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter: InsightVMAPIKey krävs för REST API. Mer information finns i API. Kontrollera alla krav och följ anvisningarna för att hämta autentiseringsuppgifter

RSA ID Plus Admin Logs Connector

Stöds av:RSA-supportteamet

RSA ID Plus AdminLogs Connector ger möjlighet att mata in cloud Admin console audit events i Microsoft Sentinel med hjälp av Cloud Admin API:er.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`RSAIDPlus_AdminLogs_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

RSA ID Plus API-autentisering: För att få åtkomst till Admin API:er krävs en giltig Base64URL-kodad JWT-token, signerad med klientens api-nyckel för äldre administration.

Rubrik Security Cloud-dataanslutningsprogram (med Azure Functions)

Stöds av:Rubrik

Dataanslutningsappen Rubrik Security Cloud gör det möjligt för säkerhetsteam att integrera insikter från Rubriks dataobservabilitetstjänster i Microsoft Sentinel. Insikterna omfattar identifiering av avvikande filsystemsbeteende som är associerat med utpressningstrojaner och massborttagning, utvärdera explosionsradien för en utpressningstrojanattack och känsliga dataoperatorer för att prioritera och snabbare undersöka potentiella incidenter.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Rubrik_Anomaly_Data_CL`	Ja	Ja
`Rubrik_Ransomware_Data_CL`	Ja	Ja
`Rubrik_ThreatHunt_Data_CL`	Ja	Ja
`Rubrik_Events_Data_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.

SaaS-säkerhet

Stöds av:Valence Security

Ansluter Säkerhetsplattformen Valence SaaS Azure Log Analytics via REST API-gränssnittet

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ValenceAlert_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

SailPoint IdentityNow (med Azure Functions)

Stöds av:SailPoint

Dataanslutningsappen SailPoint IdentityNow ger möjlighet att mata in [SailPoint IdentityNow]-sökhändelser i Microsoft Sentinel via REST-API:et. Anslutningsappen ger kunderna möjlighet att extrahera granskningsinformation från sin IdentityNow-klientorganisation. Det är avsett att göra det ännu enklare att föra in IdentityNow-användaraktivitet och styrningshändelser i Microsoft Sentinel för att förbättra insikterna från din lösning för säkerhetsincidenter och händelseövervakning.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SailPointIDN_Events_CL`	Ja	Ja
`SailPointIDN_Triggers_CL`	Nej	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Autentiseringsuppgifter för SailPoint IdentityNow API: TENANT_ID, CLIENT_ID och CLIENT_SECRET krävs för autentisering.

Salesforce Service Cloud (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Dataanslutningsappen Salesforce Service Cloud ger möjlighet att mata in information om dina salesforce-operativa händelser i Microsoft Sentinel via REST-API:et. Anslutningsappen ger möjlighet att granska händelser i din organisation snabbare, hämta händelseloggfiler i steg per timme för den senaste aktiviteten.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SalesforceServiceCloudV2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Salesforce Service Cloud API-åtkomst: Åtkomst till Salesforce Service Cloud API via en ansluten app krävs.

Samsung Knox Tillgångsinformation

Stöds av:Samsung Electronics Co., Ltd.

Med Samsung Knox Asset Intelligence Data Connector kan du centralisera dina mobila säkerhetshändelser och loggar för att visa anpassade insikter med hjälp av arbetsboksmallen och identifiera incidenter baserat på mallar för analysregler.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Samsung_Knox_Audit_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Entra app: En Entra app måste registreras och etableras med rollen Microsoft Metrics Publisher och konfigureras med antingen certifikat eller klienthemlighet som autentiseringsuppgifter för säker dataöverföring. Se självstudien om logginmatning för att lära dig mer om Entra appskapande, registrering och konfiguration av autentiseringsuppgifter.

SAP BTP

Stöds av:Microsoft Corporation

SAP Business Technology Platform (SAP BTP) sammanför datahantering, analys, artificiell intelligens, programutveckling, automatisering och integrering i en enhetlig miljö.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SAPBTPAuditLog_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Klient-ID och klienthemlighet för API för granskningshämtning: Aktivera API-åtkomst i BTP.

SAP Enterprise Threat Detection, cloud edition

Stöds av:SAP

Dataanslutningsappen SAP Enterprise Threat Detection, cloud edition (ETD) möjliggör inmatning av säkerhetsaviseringar från ETD till Microsoft Sentinel, med stöd för korskorrelation, aviseringar och hotjakt.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SAPETDAlerts_CL`	Ja	Ja
`SAPETDInvestigations_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Klient-ID och klienthemlighet för API för ETD-hämtning: Aktivera API-åtkomst i ETD.

SAP LogServ (RISE), S/4HANA Cloud private edition

Stöds av:SAP

SAP LogServ är en SAP Enterprise Cloud Services-tjänst (ECS) som syftar till insamling, lagring, vidarebefordran och åtkomst av loggar. LogServ centraliserar loggarna från alla system, program och ECS-tjänster som används av en registrerad kund.
Huvudfunktionerna är:
Loggsamling nära realtid: Med möjlighet att integrera i Microsoft Sentinel som SIEM-lösning.
LogServ kompletterar befintlig hotövervakning och identifiering av SAP-programlager i Microsoft Sentinel med de loggtyper som ägs av SAP ECS som systemleverantör. Detta inkluderar loggar som: SAP Security Audit Log (AS ABAP), HANA-databas, AS JAVA, ICM, SAP Web Dispatcher, SAP Cloud Connector, OS, SAP Gateway, databas från tredje part, nätverk, DNS, proxy, brandvägg

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SAPLogServ_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft Entra: Behörighet att skapa en appregistrering i Microsoft Entra ID. Kräver vanligtvis Entra ID-programutvecklare eller högre.
Microsoft Azure: Behörighet att tilldela utgivarrollen Övervakningsmått för datainsamlingsregler. Kräver vanligtvis Azure rollen RBAC-ägare eller administratör för användaråtkomst.

SAP S/4HANA Cloud Public Edition

Stöds av:SAP

SAP S/4HANA Cloud Public Edition (GROW with SAP) data connector möjliggör inmatning av SAP:s säkerhetsgranskningslogg i Microsoft Sentinel Solution for SAP, med stöd för korskorrelation, aviseringar och hotjakt. Letar du efter alternativa autentiseringsmekanismer? Se här.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ABAPAuditLog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Klient-ID och klienthemlighet för API för granskningshämtning: Aktivera API-åtkomst i BTP.

SecurityBridge-lösning för SAP

Stöds av:SecurityBridge

SecurityBridge förbättrar SAP-säkerheten genom att integrera sömlöst med Microsoft Sentinel, vilket möjliggör övervakning i realtid och hotidentifiering i SAP-miljöer. Med den här integreringen kan Security Operations Centers (SOCs) konsolidera SAP-säkerhetshändelser med andra organisationsdata, vilket ger en enhetlig vy över hotlandskapet . Med hjälp av AI-baserad analys och Microsofts Security Copilot identifierar SecurityBridge avancerade attackmönster och sårbarheter i SAP-program, inklusive ABAP-kodgenomsökning och konfigurationsutvärderingar. Lösningen stöder skalbara distributioner i komplexa SAP-landskap, både lokalt, i molnet eller i hybridmiljöer. Genom att överbrygga klyftan mellan IT- och SAP-säkerhetsteam ger SecurityBridge organisationer möjlighet att proaktivt identifiera, undersöka och reagera på hot, vilket förbättrar den övergripande säkerhetsstatusen.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ABAPAuditLog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft Entra: Behörighet att skapa en appregistrering i Microsoft Entra ID. Kräver vanligtvis Entra ID-programutvecklare eller högre.
Microsoft Azure: Behörighet att tilldela utgivarrollen Övervakningsmått för datainsamlingsregler. Kräver vanligtvis Azure rollen RBAC-ägare eller administratör för användaråtkomst.

Semperis Lightning-loggar

Stöds av:Semperis

Semperis Lightning-anslutningsappen använder Azure Functions för att mata in Säkerhetsdata för Semperis Lightning-identiteter i Microsoft Sentinel. Anslutningsappen distribuerar en Azure-funktion och samlar in data i anpassade Log Analytics-tabeller för undersökning och hotjakt.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`LightningTier0Nodes_CL`	Nej	Nej
`LightningAttackPaths_CL`	Nej	Nej
`LightningIOEResults_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Autentiseringsuppgifter för Semperis Lightning API: En Semperis Lightning API-nyckel och vald zon (na eller eu) krävs för att autentisera anslutningsappen till Semperis Lightning.

SentinelOne

Stöds av:Microsoft Corporation

Med SentinelOne-dataanslutningsappen kan du mata in loggar från SentinelOne-API:et till Microsoft Sentinel. Dataanslutningen bygger på Microsoft Sentinel Codeless Connector Framework. Det använder SentinelOne-API:et för att hämta loggar och stöder DCR-baserade omvandlingar av inmatningstid som parsar mottagna säkerhetsdata i en anpassad tabell så att frågor inte behöver parsa dem igen, vilket ger bättre prestanda.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SentinelOneActivities_CL`	Ja	Ja
`SentinelOneAgents_CL`	Ja	Ja
`SentinelOneGroups_CL`	Ja	Ja
`SentinelOneThreats_CL`	Ja	Ja
`SentinelOneAlerts_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

SentinelOne (med Azure Functions)

Stöds av:Microsoft Corporation

SentinelOne-dataanslutningsappen ger möjlighet att mata in vanliga SentinelOne-serverobjekt som hot, agenter, program, aktiviteter, principer, grupper och fler händelser i Microsoft Sentinel via REST-API:et. Mer information finns i API-dokumentationen https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview . Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SentinelOne_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: SentinelOneAPIToken krävs. Läs dokumentationen om du vill veta mer om API:et på https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview.

Seraphic Web Security

Stöds av:Seraphic Security

Dataanslutningsappen Seraphic Web Security ger möjlighet att mata in Seraphic Web Security-händelser och -aviseringar i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SeraphicWebSecurity_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Seraphic API-nyckel: API-nyckel för Microsoft Sentinel ansluten till din Seraphic Web Security-klientorganisation. Om du vill hämta den här API-nyckeln för din klientorganisation läser du den här dokumentationen.

Silverfort Admin Console

Stöds av:Silverfort

Silverfort ITDR Admin Console-anslutningslösningen tillåter inmatning av Silverfort-händelser och inloggning till Microsoft Sentinel. Silverfort tillhandahåller syslog-baserade händelser och loggning med hjälp av Common Event Format (CEF). Genom att vidarebefordra dina Data från Silverfort ITDR Admin Console CEF till Microsoft Sentinel kan du dra nytta av Sentinels sökning & korrelation, avisering och hotinformationsberikning på Silverfort-data. Kontakta Silverfort eller läs Silverfort-dokumentationen för mer information.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CommonSecurityLog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

SlackAudit (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

SlackAudit-dataanslutningsappen ger möjlighet att mata in Slack-granskningsloggar i Microsoft Sentinel via REST-API:et. Mer information finns i API-dokumentationen .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SlackAuditV2_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

UserName, SlackAudit API Key & Åtgärdstyp: Om du vill generera åtkomsttoken skapar du ett nytt program i Slack, lägger sedan till nödvändiga omfång och konfigurerar omdirigerings-URL:en. Detaljerade anvisningar om hur du genererar åtkomsttoken, användarnamn och åtgärdsnamnsgräns finns på länken.

Snowflake (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Snowflake-dataanslutningsappen ger möjlighet att mata in loggar för snowflake-inloggningshistorik, frågehistorikloggar, användarbeviljande loggar, rollbeviljande loggar, belastningshistorikloggar, loggar för materialiserad vyuppdateringshistorik, rollloggar, tabellloggar, tabelllagringsstatistikloggar, användare loggar till Microsoft Sentinel med hjälp av Snowflake SQL API. Mer information finns i Snowflake SQL API-dokumentationen .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SnowflakeLogin_CL`	Ja	Ja
`SnowflakeQuery_CL`	Ja	Ja
`SnowflakeUserGrant_CL`	Ja	Ja
`SnowflakeRoleGrant_CL`	Ja	Ja
`SnowflakeLoad_CL`	Ja	Ja
`SnowflakeMaterializedView_CL`	Ja	Ja
`SnowflakeRoles_CL`	Ja	Ja
`SnowflakeTables_CL`	Ja	Ja
`SnowflakeTableStorageMetrics_CL`	Ja	Ja
`SnowflakeUsers_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

SOC Prime Platform Audit Logs Data Connector

Stöds av:SOC Prime

Dataanslutningsappen SOC Prime Audit Logs tillåter inmatning av loggar från SOC Prime Platform-API:et till Microsoft Sentinel. Dataanslutningen bygger på Microsoft Sentinel Codeless Connector Framework. Den använder SOC Prime Platform-API:et för att hämta SOC Prime-plattformens granskningsloggar och stöder DCR-baserade inmatningstidstransformeringar som parsar mottagna säkerhetsdata till en anpassad tabell, vilket ger bättre prestanda.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SOCPrimeAuditLogs_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Sonrai Data Connector

Stöds av:N/A

Använd den här dataanslutningsappen för att integrera med Sonrai Security och få Sonrai-biljetter som skickas direkt till Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Sonrai_Tickets_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Sophos Endpoint Protection (med Azure Functions)

Stöds av:Microsoft Corporation

Sophos Endpoint Protection-dataanslutningsappen ger möjlighet att mata in Sophos-händelser i Microsoft Sentinel. Mer information finns i dokumentationen för Sophos Central Admin.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SophosEP_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/-behörigheter: API-token krävs. Mer information finns i API-token

Sophos Endpoint Protection (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Sophos Endpoint Protection-dataanslutningen ger möjlighet att mata in Sophos-händelser och Sophos-aviseringar i Microsoft Sentinel. Mer information finns i dokumentationen för Sophos Central Admin.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SophosEPEvents_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Åtkomst till Sophos Endpoint Protection-API:et: Åtkomst till Sophos Endpoint Protection-API:et via ett huvudnamn för tjänsten krävs.

Symantec Integrated Cyber Defense Exchange

Stöds av:Microsoft Corporation

Med Symantec ICDx-anslutningsappen kan du enkelt ansluta loggarna för Symantec-säkerhetslösningar med Microsoft Sentinel, visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta ger dig mer inblick i organisationens nätverk och förbättrar dina säkerhetsfunktioner.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SymantecICDx_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Synqly Integration Connector

Stöds av:Synqly

Synqly-anslutningsappen ger möjlighet att skicka säkerhetshändelser från Synqly-integreringar till Microsoft Sentinel med hjälp av API:et Azure Logs Ingestion. Händelser normaliseras automatiskt till ASIM-tabeller (Advanced Security Information Model) för användning med Microsoft Sentinel analys, arbetsböcker och jaktfrågor.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft Entra ID: Programutvecklarroll (eller högre) för att skapa appregistreringar.
Microsoft Azure: Rollen Ägare eller Administratör för användaråtkomst i resursgruppen för att distribuera DCR och tilldela utgivarrollen Övervakningsmått.

Syslog via AMA

Stöds av:Microsoft Corporation

Syslog är ett protokoll för händelseloggning som är gemensamt för Linux. Program skickar meddelanden som kan lagras på den lokala datorn eller levereras till en Syslog-insamlare. När agenten för Linux är installerad konfigureras den lokala Syslog-daemon för att vidarebefordra meddelanden till agenten. Agenten skickar sedan meddelandet till arbetsytan.

Lära sig mer >

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Syslog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

TacitRed-komprometterade autentiseringsuppgifter

Stöds av:Data443 Risk Mitigation, Inc.

Mata in resultat av komprometterade autentiseringsuppgifter från TacitRed med hjälp av Common Connector Framework (CCF).

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`TacitRed_Findings_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

TacitRed API-nyckel: API-nyckel som lagras i Azure Key Vault eller tillhandahålls vid distributionstillfället.

Talon Insights

Stöds av:Talon Security

Med anslutningsappen för Talon-säkerhetsloggar kan du enkelt ansluta dina Talon-händelser och granskningsloggar till Microsoft Sentinel, visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Talon_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Team Cymru Scout Data Connector (med Azure Functions)

Stöds av:Team Cymru

TeamCymruScout Data Connector gör det möjligt för användare att ta med Team Cymru Scout IP-, domän- och kontoanvändningsdata i Microsoft Sentinel för berikning.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Cymru_Scout_Domain_Data_CL`	Nej	Nej
`Cymru_Scout_IP_Data_Foundation_CL`	Nej	Nej
`Cymru_Scout_IP_Data_Details_CL`	Nej	Nej
`Cymru_Scout_IP_Data_Communications_CL`	Nej	Nej
`Cymru_Scout_IP_Data_PDNS_CL`	Nej	Nej
`Cymru_Scout_IP_Data_Fingerprints_CL`	Nej	Nej
`Cymru_Scout_IP_Data_OpenPorts_CL`	Nej	Nej
`Cymru_Scout_IP_Data_x509_CL`	Nej	Nej
`Cymru_Scout_IP_Data_Summary_Details_CL`	Nej	Nej
`Cymru_Scout_IP_Data_Summary_PDNS_CL`	Nej	Nej
`Cymru_Scout_IP_Data_Summary_OpenPorts_CL`	Nej	Nej
`Cymru_Scout_IP_Data_Summary_Certs_CL`	Nej	Nej
`Cymru_Scout_IP_Data_Summary_Fingerprints_CL`	Nej	Nej
`Cymru_Scout_Account_Usage_Data_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Behörighet att tilldela en roll till det registrerade programmet: Behörighet att tilldela en roll till det registrerade programmet i Microsoft Entra ID krävs.
Team Cymru Scout-autentiseringsuppgifter/behörigheter: Autentiseringsuppgifter för Team Cymru Scout-konto (användarnamn, lösenord) krävs.

Exponering av beselig identitet

Stöds av:Tenable

Anslutningsprogrammet för utståld identitetsexponering gör att indikatorer för exponering, indikatorer för attack och spårflödesloggar kan matas in i Microsoft Sentinel. Med de olika arbetsböckerna och dataparsers kan du enklare manipulera loggar och övervaka Din Active Directory-miljö. Med analysmallarna kan du automatisera svar om olika händelser, exponeringar och attacker.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Åtkomst till TenableIE-konfiguration: Behörigheter för att konfigurera syslog-aviseringsmotor

Hantering av säkerhetsrisker (med hjälp av Azure Functions)

Stöds av:Tenable

TVM-dataanslutningsappen ger möjlighet att mata in tillgångs-, sårbarhets-, efterlevnads-, WAS-tillgångar och WAS-sårbarhetsdata i Microsoft Sentinel med hjälp av TVM REST-API:er. Mer information finns i API-dokumentationen . Anslutningsappen ger möjlighet att hämta data som hjälper till att undersöka potentiella säkerhetsrisker, få insikter om dina databehandlingstillgångar, diagnostisera konfigurationsproblem med mera

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Tenable_VM_Asset_CL`	Ja	Ja
`Tenable_VM_Vuln_CL`	Ja	Ja
`Tenable_VM_Compliance_CL`	Ja	Ja
`Tenable_WAS_Asset_CL`	Ja	Ja
`Tenable_WAS_Vuln_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: Både en TenableAccessKey och en TenableSecretKey krävs för att få åtkomst till REST API:et tenable. Mer information finns i API. Kontrollera alla krav och följ anvisningarna för att hämta autentiseringsuppgifter.

Klientbaserad Microsoft Defender för molnet

Stöds av:Microsoft Corporation

Microsoft Defender för molnet är ett verktyg för säkerhetshantering som gör att du snabbt kan identifiera och reagera på hot i Azure, hybrid- och molnbaserade arbetsbelastningar. Med den här anslutningsappen kan du strömma dina MDC-säkerhetsaviseringar från Microsoft 365 Defender till Microsoft Sentinel, så att du kan utnyttja fördelarna med XDR-korrelationer som ansluter punkterna mellan dina molnresurser, enheter och identiteter och visa data i arbetsböcker, frågor och undersöka och svara på incidenter. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityAlert`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

TheHive (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

TheHive-dataanslutningsappen ger möjlighet att mata in data från TheHive Security Incident Response Platform i Microsoft Sentinel via REST-API:et. Mer information finns i API-dokumentationen . Anslutningsappen ger möjlighet att hämta ärenden, uppgifter och aviseringar från TheHive och visualisera dem i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`TheHiveData`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

TheHive API-åtkomst: TheHive API Version 4 och senare åtkomst krävs för TheHive-API:et.

Theom

Stöds av:Theom

Med Theom Data Connector kan organisationer ansluta sin Theom-miljö till Microsoft Sentinel. Den här lösningen gör det möjligt för användare att få aviseringar om datasäkerhetsrisker, skapa och utöka incidenter, kontrollera statistik och utlösa SOAR-spelböcker i Microsoft Sentinel

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`TheomAlerts_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Hotinformation – TAXII

Stöds av:Microsoft Corporation

Microsoft Sentinel integreras med TAXII 2.0- och 2.1-datakällor för att aktivera övervakning, aviseringar och jakt med hjälp av din hotinformation. Använd den här anslutningsappen för att skicka stix-objekttyper som stöds från TAXII-servrar till Microsoft Sentinel. Hotindikatorer kan vara IP-adresser, domäner, URL:er och filhashvärden. Mer information finns i Microsoft Sentinel dokumentationen >.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ThreatIntelligenceIndicator`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Plattformar för hotinformation

Stöds av:Microsoft Corporation

Microsoft Sentinel integreras med Microsoft Graph API för säkerhet datakällor för att aktivera övervakning, aviseringar och jakt med hjälp av din hotinformation. Använd den här anslutningsappen för att skicka hotindikatorer till Microsoft Sentinel från din Threat Intelligence Platform (TIP), till exempel Threat Connect, Palo Alto Networks MindMeld, MISP eller andra integrerade program. Hotindikatorer kan vara IP-adresser, domäner, URL:er och filhashvärden. Mer information finns i Microsoft Sentinel dokumentationen >.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ThreatIntelligenceIndicator`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

API för hotinformationsuppladdning (förhandsversion)

Stöds av:Microsoft Corporation

Microsoft Sentinel erbjuder ett API för dataplan för att hämta hotinformation från din Threat Intelligence Platform (TIP), till exempel Threat Connect, Palo Alto Networks MineMeld, MISP eller andra integrerade program. Hotindikatorer kan vara IP-adresser, domäner, URL:er, filhashvärden och e-postadresser. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ThreatIntelligenceIndicator`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Anslutningsapp för överföring av säkerhet (med hjälp av Azure Functions)

Stöds av:Överföringssäkerhet

Dataanslutningsappen [Transmit Security] ger möjlighet att mata in vanliga överföringshändelser API för säkerhet i Microsoft Sentinel via REST-API:et. Mer information finns i API-dokumentationen. Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`TransmitSecurityActivity_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-klient-ID: TransmitSecurityClientID krävs. Läs dokumentationen om du vill veta mer om API:et på https://developer.transmitsecurity.com/.
REST API-klienthemlighet: TransmitSecurityClientSecret krävs. Läs dokumentationen om du vill veta mer om API:et på https://developer.transmitsecurity.com/.

Trellix Endpoint Security (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Med dataanslutningsappen För Trellix Endpoint Security kan du mata in säkerhetshändelser från Trellix ePO (ePolicy Orchestrator) till Microsoft Sentinel. Den här anslutningsappen använder autentiseringsuppgifter för OAuth2-klienten och hanterar automatiskt sidnumrering för att samla in omfattande slutpunktssäkerhetsdata, inklusive hotidentifiering, analysinformation, information om käll- och målsystem samt åtgärder för hotsvar.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`TrellixEvents`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Trend Vision One (med Azure Functions)

Stöds av:Trend Micro

Med Trend Vision One-anslutningsprogrammet kan du enkelt ansluta dina Workbench-aviseringsdata till Microsoft Sentinel för att visa instrumentpaneler, skapa anpassade aviseringar och förbättra övervaknings- och undersökningsfunktionerna. Detta ger dig mer inblick i organisationens nätverk/system och förbättrar dina säkerhetsfunktioner.

Trend Vision One-anslutningsappen stöds i Microsoft Sentinel i följande regioner: Australien, östra, Australien, sydöstra, Brasilien, södra, Kanada, centrala, Kanada, östra, Indien, centrala, USA, centrala, Asien, östra, USA, östra, USA, östra 2, Frankrike, centrala, Japan, östra, Korea, centrala, USA, norra centrala, Europa, norra; Norge, östra, Sydafrika, norra, USA, södra centrala, Sydostasien, Sverige, centrala, Schweiz, norra, Förenade Arabemiraten, norra, Storbritannien, södra, Storbritannien, västra, Europa, västra, USA, västra, USA, västra 2, USA, västra 3.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`TrendMicro_XDR_WORKBENCH_CL`	Nej	Nej
`TrendMicro_XDR_RCA_Task_CL`	Nej	Nej
`TrendMicro_XDR_RCA_Result_CL`	Nej	Nej
`TrendMicro_XDR_OAT_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Trend Vision One API-token: En Trend Vision One API-token krävs. Läs dokumentationen om du vill veta mer om Trend Vision One-API:et.

Tropico-säkerhet – aviseringar

Stöds av:TROPICO Security

Mata in säkerhetsaviseringar från Tropico Security Platform i OCSF-säkerhetssökningsformat.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`{{graphQueriesTableName}}`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Tropico Security – händelser

Stöds av:TROPICO Security

Mata in säkerhetshändelser från Tropico Security Platform i OCSF-säkerhetssökningsformat.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`{{graphQueriesTableName}}`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Tropico-säkerhet – incidenter

Stöds av:TROPICO Security

Mata in sessionsincidenter för angripare från Tropico Security Platform.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`{{graphQueriesTableName}}`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Varonis Purview Push Connector

Stöds av:Varonis

Varonis Purview-anslutningsappen ger möjlighet att synkronisera resurser från Varonis till Microsoft Purview.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`VaronisResources_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft Entra: Behörighet att skapa en appregistrering i Microsoft Entra ID. Kräver vanligtvis Entra ID-programutvecklare eller högre.
Microsoft Azure: Behörighet att tilldela rollen Utgivare av övervakningsmått för datainsamlingsregel (DCR). Kräver vanligtvis Azure roll som RBAC-ägare eller administratör för användaråtkomst

Varonis SaaS

Stöds av:Varonis

Varonis SaaS ger möjlighet att mata in Varonis-aviseringar i Microsoft Sentinel.

Varonis prioriterar djup datasynlighet, klassificeringsfunktioner och automatiserad reparation för dataåtkomst. Varonis skapar en enda prioriterad vy över risken för dina data, så att du proaktivt och systematiskt kan eliminera risker från insiderhot och cyberattacker.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`VaronisAlerts_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.

Vectra XDR (med Azure Functions)

Stöds av:Vectra Support

Vectra XDR-anslutningsappen ger möjlighet att mata in Vectra-identifieringar, granskningar, entitetsbedömning, låsning, hälsa och entiteter i Microsoft Sentinel via Vectra REST API. Mer information finns i API-dokumentationen https://support.vectra.ai/s/article/KB-VS-1666 .

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Detections_Data_CL`	Ja	Ja
`Audits_Data_CL`	Ja	Ja
`Entity_Scoring_Data_CL`	Ja	Ja
`Lockdown_Data_CL`	Ja	Ja
`Health_Data_CL`	Ja	Ja
`Entities_Data_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: Vectra-klient-ID och klienthemlighet krävs för datainsamling för hälsa, entitetsbedömning, entiteter, identifieringar, låsning och granskning. Läs dokumentationen om du vill veta mer om API:et på https://support.vectra.ai/s/article/KB-VS-1666.

Veeam Data Connector (med Azure Functions)

Stöds av:Veeam Software

Med Veeam Data Connector kan du mata in Veeam-telemetridata från flera anpassade tabeller till Microsoft Sentinel.

Anslutningsappen stöder integrering med Plattformarna Veeam Backup & Replication, Veeam ONE och Coveware för att tillhandahålla omfattande övervaknings- och säkerhetsanalyser. Data samlas in via Azure Functions och lagras i anpassade Log Analytics-tabeller med dedikerade datainsamlingsregler (DCR) och slutpunkter för datainsamling (DCE).

Anpassade tabeller ingår:

VeeamMalwareEvents_CL: Identifiering av skadlig kod från Veeam Backup & Replikering
VeeamSecurityComplianceAnalyzer_CL: Resultat från säkerhets- & Efterlevnadsanalys som samlats in från infrastrukturkomponenter för Veeam-säkerhetskopiering
VeeamAuthorizationEvents_CL: Auktoriserings- och autentiseringshändelser
VeeamOneTriggeredAlarms_CL: Utlösta larm från Veeam ONE-servrar
VeeamCovewareFindings_CL: Säkerhetsresultat från Coveware-lösningen
VeeamSessions_CL: Veeam-sessioner

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`VeeamMalwareEvents_CL`	Ja	Ja
`VeeamSecurityComplianceAnalyzer_CL`	Ja	Ja
`VeeamOneTriggeredAlarms_CL`	Ja	Ja
`VeeamAuthorizationEvents_CL`	Ja	Ja
`VeeamCovewareFindings_CL`	Ja	Ja
`VeeamSessions_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Åtkomst till Veeam-infrastruktur: Åtkomst till Veeam Backup & REST API för replikering och Veeam ONE-övervakningsplattform krävs. Detta inkluderar rätt autentiseringsuppgifter och nätverksanslutning.

VersasecCms

Stöds av:Versasec Support

Med dataanslutningsappen VersasecCms kan du mata in loggar i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`VersasecCmsSysLogs_CL`	Nej	Nej
`VersasecCmsErrorLogs_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

VirtualMetric DataStream för Microsoft Sentinel

Stöds av:VirtualMetric

VirtualMetric DataStream-anslutningsappen distribuerar datainsamlingsregler för att mata in säkerhetstelemetri i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CommonSecurityLog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Appregistrering eller Azure hanterad identitet: VirtualMetric DataStream kräver en Entra-ID-identitet för att autentisera och skicka loggar till Microsoft Sentinel. Du kan välja mellan att skapa en appregistrering med klient-ID och klienthemlighet eller att använda Azure hanterad identitet för förbättrad säkerhet utan hantering av autentiseringsuppgifter.
Rolltilldelning för resursgrupp: Den valda identiteten (appregistrering eller hanterad identitet) måste tilldelas till resursgruppen som innehåller slutpunkten för datainsamling med följande roller: Övervakningsmåttutgivare (för logginmatning) och Övervakningsläsare (för att läsa strömkonfiguration).

VirtualMetric DataStream för Microsoft Sentinel datasjö

Stöds av:VirtualMetric

VirtualMetric DataStream-anslutningsappen distribuerar datainsamlingsregler för att mata in säkerhetstelemetri i Microsoft Sentinel datasjö.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CommonSecurityLog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Appregistrering eller Azure hanterad identitet: VirtualMetric DataStream kräver en Entra-ID-identitet för att autentisera och skicka loggar till Microsoft Sentinel datasjö. Du kan välja mellan att skapa en appregistrering med klient-ID och klienthemlighet eller att använda Azure hanterad identitet för förbättrad säkerhet utan hantering av autentiseringsuppgifter.
Rolltilldelning för resursgrupp: Den valda identiteten (appregistrering eller hanterad identitet) måste tilldelas till resursgruppen som innehåller slutpunkten för datainsamling med följande roller: Övervakningsmåttutgivare (för logginmatning) och Övervakningsläsare (för att läsa strömkonfiguration).

VirtualMetric-direktörsproxy

Stöds av:VirtualMetric

VirtualMetric Director Proxy distribuerar en Azure-funktionsapp för att på ett säkert sätt överbrygga VirtualMetric DataStream med Azure tjänster som Microsoft Sentinel, Azure Data Explorer och Azure Storage.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CommonSecurityLog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure Funktionsapp: En Azure-funktionsapp måste distribueras som värd för direktörsproxyn. Kräver läs-, skriv- och borttagningsbehörigheter för Microsoft.Web/sites-resurser i resursgruppen för att skapa och hantera funktionsappen.
VirtualMetric DataStream-konfiguration: Du behöver VirtualMetric DataStream konfigurerat med autentiseringsuppgifter för att ansluta till direktörsproxyn. Direktörsproxyn fungerar som en säker brygga mellan VirtualMetric DataStream och Azure-tjänster.
Mål Azure Services: Konfigurera måltjänster för Azure, till exempel Microsoft Sentinel slutpunkter för datainsamling, Azure Data Explorer kluster eller Azure lagringskonton där direktörsproxyn vidarebefordrar data.

VMRayThreatIntelligence (med Azure Functions)

Stöds av:VMRay

VMRayThreatIntelligence-anslutningsappen genererar och matar automatiskt in hotinformation för alla inlämningar till VMRay, vilket förbättrar hotidentifiering och incidenthantering i Sentinel. Den här sömlösa integreringen ger teamen möjlighet att proaktivt hantera nya hot.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ThreatIntelligenceIndicator`	Ja	Nej

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure-prenumeration: Azure prenumeration med ägarroll krävs för att registrera ett program i azure active directory() och tilldela rollen deltagare till appen i resursgruppen.
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: VMRay API Key krävs.

VMware Carbon Black Cloud (med Azure Functions)

Stöds av:Microsoft

VMware Carbon Black Cloud-anslutningsappen ger möjlighet att mata in Carbon Black-data i Microsoft Sentinel. Anslutningsappen ger insyn i gransknings-, meddelande- och händelseloggar i Microsoft Sentinel för att visa instrumentpaneler, skapa anpassade aviseringar och förbättra övervaknings- och undersökningsfunktionerna.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CarbonBlackEvents_CL`	Nej	Nej
`CarbonBlackNotifications_CL`	Nej	Nej
`CarbonBlackAuditLogs_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
VMware Carbon Black API Key(s): Carbon Black API och/eller SIEM Level API Key(s) krävs. Mer information om Carbon Black API finns i dokumentationen.
Ett API-ID och nyckel för Carbon Black API-åtkomstnivå krävs för gransknings- och händelseloggar .
Ett CARBON Black SIEM-åtkomstnivå-API-ID och nyckel krävs för meddelandeaviseringar.
Amazon S3 REST API Credentials/permissions: AWS Access Key ID, AWS Secret Access Key, AWS S3 Bucket Name, Folder Name in AWS S3 Bucket krävs för Amazon S3 REST API.

VMware Carbon Black Cloud via AWS S3 (via Codeless Connector Framework)

Stöds av:Microsoft

VMware Carbon Black Cloud via AWS S3-dataanslutningsappen ger möjlighet att mata in bevakningslista, aviseringar, autentiserings- och slutpunktshändelser via AWS S3 och strömma dem till ASIM-normaliserade tabeller. Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CarbonBlack_Alerts_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Miljö: Du måste ha följande AWS-resurser definierade och konfigurerade: S3, Simple Queue Service (SQS), IAM-roller och behörighetsprinciper
Miljö: Du måste ha ett carbon black-konto och nödvändiga behörigheter för att skapa en data som vidarebefordras till AWS S3-bucketar. Mer information finns i Carbon Black Data Forwarder Docs

Windows DNS-händelser via AMA

Stöds av:Microsoft Corporation

Med Anslutningsappen för Windows DNS-logg kan du enkelt filtrera och strömma alla analysloggar från dina Windows DNS-servrar till din Microsoft Sentinel arbetsyta med hjälp av Azure Monitoring Agent (AMA). Med dessa data i Microsoft Sentinel kan du identifiera problem och säkerhetshot, till exempel:

Försöker lösa skadliga domännamn.
Inaktuella resursposter.
Ofta efterfrågade domännamn och talkativa DNS-klienter.
Attacker som utförs på DNS-servern.

Du kan få följande insikter om dina Windows DNS-servrar från Microsoft Sentinel:

Alla loggar som är centraliserade på en enda plats.
Begär inläsning på DNS-servrar.
Dynamiska DNS-registreringsfel.

Windows DNS-händelser stöds av Asim (Advanced SIEM Information Model) och strömma data till tabellen ASimDnsActivityLogs. Mer information.

Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ASimDnsActivityLogs`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Windows-brandväggen

Stöds av:Microsoft Corporation

Windows-brandväggen är ett Microsoft Windows-program som filtrerar information som kommer till ditt system från Internet och blockerar potentiellt skadliga program. Programvaran blockerar de flesta program från att kommunicera via brandväggen. Användarna lägger helt enkelt till ett program i listan över tillåtna program så att det kan kommunicera via brandväggen. När du använder ett offentligt nätverk kan Windows-brandväggen även skydda systemet genom att blockera alla oönskade försök att ansluta till datorn. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar

Stöd för datainsamlingsregel: Stöds inte för närvarande

Windows-brandväggshändelser via AMA

Stöds av:Microsoft Corporation

Windows-brandväggen är ett Microsoft Windows-program som filtrerar information som kommer till ditt system från Internet och blockerar potentiellt skadliga program. Brandväggsprogramvaran blockerar de flesta program från att kommunicera via brandväggen. Om du vill strömma dina Programloggar för Windows-brandväggen som samlats in från dina datorer använder du Azure Monitor-agenten (AMA) för att strömma loggarna till Microsoft Sentinel-arbetsytan.

En konfigurerad slutpunkt för datainsamling (DCE) måste länkas till den datainsamlingsregel (DCR) som skapats för AMA för att samla in loggar. För den här anslutningsappen skapas en DCE automatiskt i samma region som arbetsytan. Om du redan använder en DCE som lagras i samma region går det att ändra standarddomänkontrollanten som skapats och använda din befintliga via API:et. Domänkontrollanter kan finnas i dina resurser med SentinelDCE-prefixet i resursnamnet.

Mer information finns i följande artiklar:

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar

Stöd för datainsamlingsregel: Stöds inte för närvarande

Vidarebefordrade händelser i Windows

Stöds av:Microsoft Corporation

Du kan strömma alla WEF-loggar (Event Forwarding) från Windows-servrarna som är anslutna till din Microsoft Sentinel-arbetsyta med hjälp av Azure Monitor Agent (AMA). Med den här anslutningen kan du visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta ger dig mer inblick i organisationens nätverk och förbättrar dina säkerhetsfunktioner. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`WindowsEvent`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Windows-säkerhet händelser via AMA

Stöds av:Microsoft Corporation

Du kan strömma alla säkerhetshändelser från De Windows-datorer som är anslutna till din Microsoft Sentinel arbetsyta med hjälp av Windows-agenten. Med den här anslutningen kan du visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta ger dig mer inblick i organisationens nätverk och förbättrar dina säkerhetsfunktioner. Mer information finns i dokumentationen om Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityEvent`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

WithSecure Elements API (Azure Function)

Stöds av:WithSecure

WithSecure Elements är den enhetliga molnbaserade cybersäkerhetsplattformen som utformats för att minska risker, komplexitet och ineffektivitet.

Öka säkerheten från dina slutpunkter till dina molnprogram. Beväpna dig mot alla typer av cyberhot, från riktade attacker till nolldagars utpressningstrojaner.

MedSecure-element kombineras kraftfulla prediktiva, förebyggande och dynamiska säkerhetsfunktioner – alla hanteras och övervakas via ett enda säkerhetscenter. Vår modulära struktur och flexibla prissättningsmodeller ger dig friheten att utvecklas. Med vår expertis och insikt kommer du alltid att vara bemyndigad - och du kommer aldrig att vara ensam.

Med Microsoft Sentinel integrering kan du korrelera säkerhetshändelsedata från lösningen WithSecure Elements med data från andra källor, vilket ger en omfattande översikt över hela miljön och snabbare reaktion på hot.

Med den här lösningen Azure-funktionen distribueras till din klientorganisation avsöker du regelbundet säkerhetshändelserna för WithSecure Elements.

Mer information finns på vår hemsida på: https://www.withsecure.com.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`WsSecurityEvents_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Med Api-klientautentiseringsuppgifter förSecure Elements: Klientautentiseringsuppgifter krävs. Mer information finns i dokumentationen.

Wiz (med Azure Functions)

Stöds av:Wiz

Med Wiz-anslutningsappen kan du enkelt skicka Wiz-problem, sårbarhetsresultat och granskningsloggar till Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL)`	Nej	Nej
`union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL)`	Nej	Nej
`union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL)`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Autentiseringsuppgifter för Wiz-tjänstkonto: Kontrollera att du har ditt Klient-ID för Wiz-tjänstkonto och klienthemlighet, API-slutpunkts-URL och autentiserings-URL. Instruktioner finns i Wiz-dokumentationen.

Workday-användaraktivitet

Stöds av:Microsoft Corporation

Dataanslutningsappen workday-användaraktivitet ger möjlighet att mata in användaraktivitetsloggar från Workday-API:et till Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ASimAuditEventLogs`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Workday User Activity API-åtkomst: Åtkomst till Workday-användaraktivitets-API:et via Oauth krävs. API-klienten måste ha omfånget: System och måste auktoriseras av ett konto med systemgranskningsbehörigheter.

Arbetsplats från Facebook (med Azure Functions)

Stöds av:Microsoft Corporation

Workplace-dataanslutningsappen ger möjlighet att mata in vanliga Workplace-händelser i Microsoft Sentinel via Webhooks. Webhooks gör det möjligt för anpassade integrationsappar att prenumerera på händelser i Workplace och ta emot uppdateringar i realtid. När en ändring sker i Workplace skickas en HTTPS POST-begäran med händelseinformation till en url för anslutningsappen för motringningsdata. Mer information finns i Webhooks-dokumentationen . Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Workplace_Facebook_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Webhooks-autentiseringsuppgifter/-behörigheter: WorkplaceAppSecret, WorkplaceVerifyToken, återanrops-URL krävs för webhooks som fungerar. Läs dokumentationen om du vill veta mer om hur du konfigurerar Webhooks, konfigurerar behörigheter.

XBOW-säkerhetsplattform (via Azure-funktion)

Stöds av:XBOW

XBOW-dataanslutningsappen matar in ögonblicksbilder av tillgångar, sårbarhetsresultat och utvärderingsaktivitet från XBOW-säkerhetsplattformen till Microsoft Sentinel. En Azure-funktion avsöker XBOW-API:et på en timer och push-överför tillgångs-JSON-ögonblicksbilder till XbowAssets_CL, berikade resultat (med bevis, PoC-recept, påverkan och minskningar) i XbowFindings_CLoch utvärderar livscykelhändelser till XbowAssessments_CL, med hjälp av Azure Monitor Ingestion API (DCE/DCR).

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`XbowAssets_CL`	Nej	Nej
`XbowFindings_CL`	Nej	Nej
`XbowAssessments_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

XBOW API-token: En personlig XBOW-åtkomsttoken krävs. Generera en i XBOW-konsolen under Inställningar > Personliga åtkomsttoken. Begränsa token till den organisation som du vill övervaka.
XBOW-organisations-ID: Organisations-ID från ditt XBOW-konto. Hitta den i XBOW-konsolens URL eller via API:et.
Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Anpassade krav om det behövs, annars tar du bort den här tulltaggen: Beskrivning av eventuella anpassade krav
Azure AD appregistrering: En Azure AD appregistrering (tjänstens huvudnamn) krävs. Du måste tilldela rollen Utgivarroll för övervakningsmått manuellt på datainsamlingsregeln (DCR) till den här appregistreringen efter distributionen.

Noll nätverkssegment (push)

Stöds av:Noll nätverk

Push-anslutningsappen Noll nätverkssegment gör att Zero Networks kan skicka granskningar, nätverksaktiviteter, identitetsaktiviteter och RPC-aktiviteter direkt till Microsoft Sentinel i realtid. Distribuera anslutningsappen för att skapa en datainsamlingsregel (DCR) och Microsoft Entra app. Konfigurera sedan zero networks-programmet med anslutningsinformationen för att skicka händelser.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ZNAudit_CL`	Ja	Ja
`ZNNetworkActivity_CL`	Ja	Ja
`ZNIdentityActivity_CL`	Ja	Ja
`ZNRPCActivity_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft Entra: Behörighet att skapa en appregistrering i Microsoft Entra ID. Kräver vanligtvis Entra ID-programutvecklare eller högre.
Microsoft Azure: Behörighet att tilldela rollen Utgivare av övervakningsmått för datainsamlingsregel (DCR). Kräver vanligtvis Azure rollen RBAC-ägare eller administratör för användaråtkomst.

Granskning av nollnätverkssegment

Stöds av:Noll nätverk

Dataanslutningen Noll nätverkssegmentgranskning ger möjlighet att mata in Noll nätverksgranskningshändelser i Microsoft Sentinel via REST-API:et. Den här dataanslutningen använder Microsoft Sentinel interna avsökningsfunktionen.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ZNSegmentAuditNativePoller_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

API-token noll nätverk: ZeroNetworksAPIToken krävs för REST API. Se API-guiden och följ anvisningarna för att hämta autentiseringsuppgifter.

ZeroFox CTI

Stöds av:ZeroFox

ZeroFox CTI-dataanslutningsappar ger möjlighet att mata in de olika ZeroFox-aviseringarna om cyberhotinformation i Microsoft Sentinel.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ZeroFox_CTI_advanced_dark_web_CL`	Nej	Nej
`ZeroFox_CTI_botnet_CL`	Nej	Nej
`ZeroFox_CTI_breaches_CL`	Nej	Nej
`ZeroFox_CTI_C2_CL`	Nej	Nej
`ZeroFox_CTI_compromised_credentials_CL`	Nej	Nej
`ZeroFox_CTI_credit_cards_CL`	Nej	Nej
`ZeroFox_CTI_dark_web_CL`	Nej	Nej
`ZeroFox_CTI_discord_CL`	Nej	Nej
`ZeroFox_CTI_disruption_CL`	Nej	Nej
`ZeroFox_CTI_email_addresses_CL`	Nej	Nej
`ZeroFox_CTI_exploits_CL`	Nej	Nej
`ZeroFox_CTI_irc_CL`	Nej	Nej
`ZeroFox_CTI_malware_CL`	Nej	Nej
`ZeroFox_CTI_national_ids_CL`	Nej	Nej
`ZeroFox_CTI_phishing_CL`	Nej	Nej
`ZeroFox_CTI_phone_numbers_CL`	Nej	Nej
`ZeroFox_CTI_ransomware_CL`	Nej	Nej
`ZeroFox_CTI_telegram_CL`	Nej	Nej
`ZeroFox_CTI_threat_actors_CL`	Nej	Nej
`ZeroFox_CTI_vulnerabilities_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
ZeroFox API-autentiseringsuppgifter/behörigheter: ZeroFox-användarnamn, ZeroFox Personlig åtkomsttoken krävs för ZeroFox CTI REST API.

ZeroFox Enterprise – aviseringar (avsöknings-CCF)

Stöds av:ZeroFox

Samlar in aviseringar från ZeroFox API.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ZeroFoxAlertPoller_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

ZeroFox Personlig åtkomsttoken (PAT): En ZeroFox PAT krävs. Du kan hämta den i Data Connectors >API-dataflöden.

Zimperium Mobile Threat Defense

Stöds av:Zimperium

Zimperium Mobile Threat Defense-anslutningsappen ger dig möjlighet att ansluta Zimperium-hotloggen med Microsoft Sentinel för att visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta ger dig mer inblick i organisationens mobila hotlandskap och förbättrar dina säkerhetsfunktioner.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ZimperiumThreatLog_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Zooma rapporter (med Azure Functions)

Stöds av:Microsoft Corporation

Med dataanslutningsappen Zoom Reports kan du mata in Zoom Reports-händelser i Microsoft Sentinel via REST-API:et. Mer information finns i API-dokumentationen . Anslutningsappen möjliggör händelsehämtning för att utvärdera potentiella säkerhetsrisker, övervaka samarbete och diagnostisera och felsöka konfigurationsproblem.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Zoom_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
REST API-autentiseringsuppgifter/behörigheter: AccountID, ClientID och ClientSecret krävs för Zoom API. Mer information finns i Zoom API. Följ anvisningarna för Zoom API-konfigurationer.

Zoom Reports Connector (via Codeless Connector Framework)

Stöds av:Microsoft Corporation

Med dataanslutningsappen Zoom Reports kan du mata in Zoom Reports-data i Microsoft Sentinel via Zoom REST API v2, så att du kan övervaka och granska zoomanvändningen i organisationen. Den här anslutningsappen använder autentiseringsuppgifter för OAuth-konto från server till server och stöder inmatning av flera rapporttyper, inklusive dagliga användningsrapporter för mötesstatistik och användningsstatistik, användarrapporter för aktiv/inaktiv användarvärdinformation, telefonirapporter för telefonianvändningsstatistik, användningsrapporter för molnlagring och registrering av användning i molnet, driftloggar för administrativa åtgärder och spårningsloggar. och aktivitetsloggar för användarinloggnings-/utloggningsaktiviteter. Varje rapporttyp samlas in i en separat avsökningskonfiguration med stöd för automatisk sidnumrering med NextPageToken. Dataanslutningen bygger på Microsoft Sentinel Codeless Connector Framework och har stöd för DCR-baserade omvandlingar av inmatningstid för optimerad frågeprestanda.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`ZoomV2_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Zooma API-åtkomst: Åtkomst till Zoom REST API v2 med kontoautentiseringsuppgifter

Inaktuella Sentinel dataanslutningar

Obs!

I följande tabell visas de inaktuella och äldre dataanslutningarna. Inaktuella anslutningsappar stöds inte längre.

[Inaktuell] GitHub Enterprise-granskningslogg

Stöds av:Microsoft Corporation

Observera: Om du har för avsikt att mata in GitHub-prenumerationshändelser i Microsoft Sentinel kan du läsa GitHub(med Webhooks) Connector från galleriet "Data connectors".

Obs! Den här dataanslutningen har blivit inaktuell, överväg att flytta till CCF-dataanslutningen som är tillgänglig i lösningen som ersätter inmatning via det inaktuella HTTP Data Collector-API:et.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`GitHubAuditLogPolling_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Personlig åtkomsttoken för GitHub API: Du behöver en personlig åtkomsttoken för GitHub för att aktivera avsökning för organisationens granskningslogg. Du kan använda antingen en klassisk token med omfånget "read:org" eller en detaljerad token med omfånget Administration: Skrivskyddad.
GitHub Enterprise-typ: Den här anslutningsappen fungerar endast med GitHub Enterprise Cloud; Det stöder inte GitHub Enterprise Server.

[Inaktuell] Infoblox SOC Insight Data Connector via äldre agent

Stöds av:Infoblox

Den här dataanslutningsappen matar in Infoblox SOC Insight CDC-loggar in på Log Analytics-arbetsytan med hjälp av den äldre Log Analytics-agenten.

Microsoft rekommenderar installation av Infoblox SOC Insight Data Connector via AMA Connector. Den äldre anslutningsappen använder Log Analytics-agenten som håller på att bli inaktuell av 31 aug 2024 och bör endast installeras där AMA inte stöds.

Användning av MMA och AMA på samma dator kan orsaka loggduplicering och extra inmatningskostnad. Mer information.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CommonSecurityLog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

[Inaktuell] IONIX-säkerhetsloggar (push)

Stöds av:IONIX

⚠️ Den här anslutningsappen är inaktuell och tas bort i juni 2026. Använd den nya anslutningsappen "IONIX-säkerhetsloggar (via Codeless Connector Framework)" i stället, som tillhandahåller automatisk daglig avsökning utan manuell konfiguration i IONIX-portalen.

Dataanslutningsappen för IONIX-säkerhetsloggar matar in loggar från IONIX-systemet direkt till Sentinel. Med anslutningsappen kan användare visualisera sina data, skapa aviseringar och incidenter och förbättra säkerhetsutredningarna.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`CyberpionActionItems_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

IONIX-prenumeration: En prenumeration och ett konto krävs för IONIX-loggar. En kan förvärvas här.

[Inaktuell] Jakt efter

Stöds av:Lookout

Lookout-dataanslutningsappen ger möjlighet att mata in Lookout-händelser i Microsoft Sentinel via API:et för mobilrisk. Mer information finns i API-dokumentationen . Lookout-dataanslutningsappen ger möjlighet att hämta händelser som hjälper till att undersöka potentiella säkerhetsrisker med mera.

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Lookout_CL`	Nej	Nej

Stöd för datainsamlingsregel: Stöds inte för närvarande

Förutsättningar:

Microsoft.Web/sites-behörigheter: Läs- och skrivbehörigheter för att Azure Functions för att skapa en funktionsapp krävs. Mer information finns i Azure Functions.
Autentiseringsuppgifter/behörigheter för API för mobilrisk: EnterpriseName & ApiKey krävs för API för mobilrisk. Mer information finns i API. Kontrollera alla krav och följ anvisningarna för att hämta autentiseringsuppgifter.

[Inaktuell] Loggar och händelser för Microsoft Exchange

Stöds av:Community

Använd dataanslutningarna "ESI-Opt" inaktuella. Du kan strömma alla Exchange Audit-händelser, IIS-loggar, HTTP-proxyloggar och säkerhetshändelseloggar från De Windows-datorer som är anslutna till din Microsoft Sentinel arbetsyta med hjälp av Windows-agenten. Med den här anslutningen kan du visa instrumentpaneler, skapa anpassade aviseringar och förbättra undersökningen. Detta används av Säkerhetsarbetsböcker i Microsoft Exchange för att ge säkerhetsinsikter om din lokala Exchange-miljö

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Event`	Ja	Nej
`SecurityEvent`	Ja	Ja
`W3CIISLog`	Ja	Nej
`MessageTrackingLog_CL`	Ja	Ja
`ExchangeHttpProxy_CL`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Förutsättningar:

Azure Log Analytics kommer att bli inaktuellt för att samla in data från icke-Azure virtuella datorer rekommenderas Azure Arc. Läs mer
Detaljerad dokumentation: >Obs! Detaljerad dokumentation om installationsprocedur och användning finns här

Säkerhetshändelser via äldre agent

Stöds av:Microsoft Corporation

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityEvent`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Prenumerationsbaserad Microsoft Defender för molnet (äldre)

Stöds av:Microsoft Corporation

Microsoft Defender för molnet är ett verktyg för säkerhetshantering som gör att du snabbt kan identifiera och reagera på hot i Azure, hybrid- och molnbaserade arbetsbelastningar. Med den här anslutningsappen kan du strömma dina säkerhetsaviseringar från Microsoft Defender för molnet till Microsoft Sentinel, så att du kan visa Defender-data i arbetsböcker, köra frågor mot dem för att skapa aviseringar och undersöka och svara på incidenter.

Mer information>

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`SecurityAlert`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Syslog via äldre agent

Stöds av:Microsoft Corporation

Lära sig mer >

Log Analytics-tabeller:

Tabell	DCR-stöd	Endast inmatning av sjöar
`Syslog`	Ja	Ja

Stöd för datainsamlingsregel:DcR för arbetsytetransformering

Nästa steg

Mer information finns i:

Feedback

Var den här sidan till hjälp?

Last updated on 2026-04-23

Hitta din Microsoft Sentinel dataanslutning

Krav för dataanslutning

Syslog- och CEF-anslutningsappar (Common Event Format)

Anpassade loggar via AMA-anslutningsprogram

Sentinel dataanslutningar

Inaktuella Sentinel dataanslutningar

Nästa steg

Feedback

Ytterligare resurser