Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När du har registrerat Microsoft Sentinel till din arbetsyta använder du dataanslutningsprogram för att börja mata in dina data i Microsoft Sentinel. Microsoft Sentinel levereras med många färdiga anslutningsappar för Microsoft-tjänster, som integreras i realtid. Till exempel är Microsoft Defender XDR-anslutningsappen en tjänst-till-tjänst-anslutning som integrerar data från Office 365, Microsoft Entra ID, Microsoft Defender for Identity och Microsoft Defender for Cloud Apps.
Inbyggda anslutningsappar möjliggör anslutning till det bredare säkerhetsekosystemet för produkter som inte kommer från Microsoft. Använd till exempel Syslog, Common Event Format (CEF) eller REST-API:er för att ansluta dina datakällor till Microsoft Sentinel.
Obs!
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Tillgänglighet för molnfunktioner för amerikanska myndighetskunder.
Viktigt
Enligt 2024-meddelandet kommer det äldre HTTP Data Collector-API:et inte längre att stödjas efter den 14 september 2026. Datakällor, anpassade integreringar eller anslutningsappar som använder HTTP Data Collector-API:et bör övergå till ett alternativ som stöds för att undvika potentiella inmatningsavbrott efter detta datum.
Om du för närvarande använder HTTP Data Collector-API:et rekommenderar vi att du börjar planera migreringen till LOGS Ingestion API eller Codeless Connector Framework (CCF) för att säkerställa oavbruten datainmatning, förbättrad tillförlitlighet, skalbarhet och långsiktigt stöd.
Datahanteringsöverväganden för Microsoft Sentinel datasjö
Följande överväganden måste beaktas i planeringen för efterlevnad och datahantering:
GDPR och datakvarhållning
- Innehavaradministratörer kan utöva GDPR-rättigheter med hjälp av funktionen Rensa för analysnivån. Detta påverkar inte datasjönivån.
- Specifika poster kan inte rensas från Sentinel datasjö. Datasjön behåller inmatade data under den definierade kvarhållningsperioden, även om data tas bort vid källan eller på analysnivån.
Purview-integrering. Ändringar i Purview-inställningarna påverkar inte data som lagras i Sentinel datasjö.
Lagringsplats Sentinel datasjölagringsplatser väljs av klientadministratören och kan skilja sig från källtjänsternas primära lagringsplats.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
Dataanslutningar som tillhandahålls med lösningar
Microsoft Sentinel lösningar tillhandahåller paketerat säkerhetsinnehåll, inklusive dataanslutningsprogram, arbetsböcker, analysregler, spelböcker med mera. När du distribuerar en lösning med en dataanslutning får du ihop dataanslutningen med relaterat innehåll i samma distribution.
Sidan Microsoft Sentinel dataanslutningsprogram visar en lista över installerade eller använda dataanslutningar.
Om du vill lägga till fler dataanslutningar installerar du lösningen som är associerad med dataanslutningen från innehållshubben. Mer information finns i följande artiklar:
- Hitta din Microsoft Sentinel dataanslutning
- Om Microsoft Sentinel innehåll och lösningar
- Identifiera och hantera Microsoft Sentinel inbyggt innehåll
- Microsoft Sentinel innehållshubbens katalog
- ASIM-baserade domänlösningar (Advanced Security Information Model) för Microsoft Sentinel
Skapa anpassade anslutningsappar
Om du inte kan ansluta datakällan till Microsoft Sentinel med någon av de befintliga tillgängliga lösningarna kan du skapa en egen anslutningsapp för datakällan. Många säkerhetslösningar tillhandahåller till exempel en uppsättning API:er för att hämta loggfiler och andra säkerhetsdata från deras produkt eller tjänst. Dessa API:er ansluter till Microsoft Sentinel med någon av följande metoder:
- API:erna för datakällan konfigureras med Codeless Connector Framework.
- Dataanslutningsappen använder LOG Ingestion API för Azure Monitor som en del av en Azure-funktion eller logikapp.
Du kan också använda Azure Monitor Agent direkt eller Logstash för att skapa din anpassade anslutningsapp. Mer information finns i Resurser för att skapa Microsoft Sentinel anpassade anslutningsappar.
Agentbaserad integrering för dataanslutningar
Microsoft Sentinel kan använda agenter som tillhandahålls av Azure Monitor-tjänsten (som Microsoft Sentinel baseras på) för att samla in data från alla datakällor som kan utföra loggströmning i realtid. De flesta lokala datakällor ansluter till exempel med hjälp av agentbaserad integrering.
I följande avsnitt beskrivs de olika typerna av Microsoft Sentinel agentbaserade dataanslutningar. Om du vill konfigurera anslutningar med hjälp av agentbaserade mekanismer följer du stegen på sidan för varje Microsoft Sentinel dataanslutning.
Syslog och Common Event Format (CEF)
Du kan strömma händelser från Linux- och Syslog-stödande enheter till Microsoft Sentinel med hjälp av Azure Monitor Agent (AMA). Loggformaten varierar, men många källor stöder CEF-baserad formatering. Beroende på enhetstyp installeras agenten antingen direkt på enheten eller på en dedikerad Linux-baserad loggvidarebefordrare. AMA tar emot vanliga Syslog- eller CEF-händelsemeddelanden från Syslog-daemon via UDP. Syslog-daemon vidarebefordrar händelser till agenten internt och kommunicerar via TCP eller UDS (Unix Domain Sockets), beroende på version. AMA överför sedan dessa händelser till Microsoft Sentinel-arbetsytan.
Här är ett enkelt flöde som visar hur Microsoft Sentinel strömmar Syslog-data.
- Enhetens inbyggda Syslog-daemon samlar in lokala händelser av de angivna typerna och vidarebefordrar händelserna lokalt till agenten.
- Agenten strömmar händelserna till Log Analytics-arbetsytan.
- Efter en lyckad konfiguration visas Syslog-meddelanden i tabellen Log Analytics Syslog och CEF-meddelanden i tabellen CommonSecurityLog .
Mer information finns i Syslog och Common Event Format (CEF) via AMA-anslutningsappar för Microsoft Sentinel.
Anpassade loggar
För vissa datakällor kan du samla in loggar som filer på Windows eller Linux datorer med hjälp av log analytics-agenten för anpassad logginsamling.
Om du vill ansluta med log analytics-agenten för anpassad logginsamling följer du stegen på sidan för varje Microsoft Sentinel dataanslutning. Efter en lyckad konfiguration visas data i anpassade tabeller.
Mer information finns i Anpassade loggar via AMA-dataanslutningsappen – Konfigurera datainmatning för att Microsoft Sentinel från specifika program.
Tjänst-till-tjänst-integrering för dataanslutningar
Microsoft Sentinel använder Azure foundation för att tillhandahålla support för tjänster till tjänster för Microsoft-tjänster och Amazon Web Services.
Mer information finns i följande artiklar:
- Ansluta Microsoft Sentinel till Azure-, Windows-, Microsoft- och Amazon-tjänster
- Hitta din Microsoft Sentinel dataanslutning
Stöd för dataanslutning
Både Microsoft och andra organisationer skapar Microsoft Sentinel dataanslutningar. Varje dataanslutning har någon av följande supporttyper som visas på sidan för dataanslutningsappen i Microsoft Sentinel.
| Supporttyp | Beskrivning |
|---|---|
| Microsoft-stödd | Gäller för:
Partner eller communityn stöder dataanslutningar som skapats av någon annan part än Microsoft. |
| Partner som stöds | Gäller för dataanslutningsprogram som skapats av andra parter än Microsoft. Partnerföretaget tillhandahåller support eller underhåll för dessa dataanslutningar. Partnerföretaget kan vara en oberoende programvaruleverantör, en leverantör av hanterade tjänster (MSP/MSSP), en systemintegrerare (SI) eller någon organisation vars kontaktinformation finns på Microsoft Sentinel sidan för den dataanslutningen. Om du har problem med en dataanslutning som stöds av en partner kontaktar du supportkontakten för den angivna dataanslutningen. |
| Community-stödd | Gäller för dataanslutningar som skapats av Microsoft eller partnerutvecklare som inte har listat kontakter för stöd och underhåll av dataanslutningar på sidan för dataanslutningsappen i Microsoft Sentinel. För frågor eller problem med dessa dataanslutningar kan du skapa ett problem i Microsoft Sentinel GitHub-communityn. |
Mer information finns i Hitta stöd för en dataanslutning.
Nästa steg
Mer information om dataanslutningar finns i följande artiklar.
- Ansluta dina datakällor till Microsoft Sentinel med hjälp av dataanslutningsprogram
- Hitta din Microsoft Sentinel dataanslutning
- Resurser för att skapa Microsoft Sentinel anpassade anslutningsappar
En grundläggande IaC-referens (Infrastruktur som kod) för Bicep, Azure Resource Manager och Terraform för att distribuera dataanslutningar i Microsoft Sentinel finns i Microsoft Sentinel IaC-referens för dataanslutningsappen.