Microsoft Sentinel-dataanslutningsprogram

• Gäller för:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

När du har registrerat Microsoft Sentinel på din arbetsyta använder du dataanslutningsprogram för att börja mata in dina data i Microsoft Sentinel. Microsoft Sentinel levereras med många färdiga anslutningsappar för Microsoft-tjänster, som integreras i realtid. Microsoft Defender XDR-anslutningsprogrammet är till exempel en tjänst-till-tjänst-anslutning som integrerar data från Office 365, Microsoft Entra ID, Microsoft Defender för identitet och Microsoft Defender för molnet-appar.

Inbyggda anslutningsappar möjliggör anslutning till det bredare säkerhetsekosystemet för produkter som inte kommer från Microsoft. Använd till exempel Syslog, Common Event Format (CEF) eller REST-API:er för att ansluta dina datakällor till Microsoft Sentinel.

Kommentar

Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.

Viktigt!

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Dataanslutningar som tillhandahålls med lösningar

Microsoft Sentinel-lösningar tillhandahåller paketerat säkerhetsinnehåll, inklusive dataanslutningsprogram, arbetsböcker, analysregler, spelböcker med mera. När du distribuerar en lösning med en dataanslutning får du dataanslutningsappen tillsammans med relaterat innehåll i samma distribution.

Sidan Dataanslutningsprogram för Microsoft Sentinel visar en lista över installerade eller använda dataanslutningar.

Azure-portalen

Defender-portalen

Om du vill lägga till fler dataanslutningar installerar du lösningen som är associerad med dataanslutningen från Innehållshubben. Mer information finns i följande artiklar:

• Hitta din Microsoft Sentinel-dataanslutning
• Om Microsoft Sentinel-innehåll och -lösningar
• Identifiera och hantera innehåll i Microsoft Sentinel
• Katalog för Microsoft Sentinel-innehållshubben
• ASIM-baserade domänlösningar (Advanced Security Information Model) för Microsoft Sentinel

REST API-integrering för dataanslutningar

Många säkerhetslösningar tillhandahåller en uppsättning API:er för att hämta loggfiler och andra säkerhetsdata från produkten eller tjänsten. Dessa API:er ansluter till Microsoft Sentinel med någon av följande metoder:

• API:erna för datakällan konfigureras med Codeless Connector Platform.
• Dataanslutningen använder LOG Ingestion API för Azure Monitor som en del av en Azure-funktion eller logikapp.

Mer information om hur du ansluter med Azure Functions finns i följande artiklar:

• Använda Azure Functions för att ansluta datakällan till Microsoft Sentinel
• Azure Functions-dokumentation
• Prissättning för Azure Functions

Mer information om hur du ansluter med Logic Apps finns i Ansluta med Logic Apps.

Agentbaserad integrering för dataanslutningar

Microsoft Sentinel kan använda agenter som tillhandahålls av Azure Monitor-tjänsten (som Microsoft Sentinel är baserat på) för att samla in data från alla datakällor som kan utföra loggströmning i realtid. De flesta lokala datakällor ansluter till exempel med hjälp av agentbaserad integrering.

I följande avsnitt beskrivs de olika typerna av Microsoft Sentinel-agentbaserade dataanslutningar. Om du vill konfigurera anslutningar med hjälp av agentbaserade mekanismer följer du stegen på varje microsoft Sentinel-sida för dataanslutning.

Syslog och Common Event Format (CEF)

Du kan strömma händelser från Linux-baserade syslogstödande enheter till Microsoft Sentinel med hjälp av Azure Monitor Agent (AMA). Loggformaten varierar, men många källor stöder CEF-baserad formatering. Beroende på enhetstyp installeras agenten antingen direkt på enheten eller på en dedikerad Linux-baserad loggvidare. AMA tar emot vanliga Syslog- eller CEF-händelsemeddelanden från Syslog-daemon via UDP. Syslog-daemon vidarebefordrar händelser till agenten internt och kommunicerar via TCP eller UDS (Unix Domain Sockets), beroende på version. AMA överför sedan dessa händelser till Microsoft Sentinel-arbetsytan.

Här är ett enkelt flöde som visar hur Microsoft Sentinel strömmar Syslog-data.

1. Enhetens inbyggda Syslog-daemon samlar in lokala händelser av de angivna typerna och vidarebefordrar händelserna lokalt till agenten.
2. Agenten strömmar händelserna till din Log Analytics-arbetsyta.
3. När konfigurationen har slutförts visas Syslog-meddelanden i tabellen Log Analytics Syslog och CEF-meddelanden i tabellen CommonSecurityLog .

Mer information finns i Syslog och Common Event Format (CEF) via AMA-anslutningsappar för Microsoft Sentinel.

Anpassade loggar

För vissa datakällor kan du samla in loggar som filer på Windows- eller Linux-datorer med hjälp av log Analytics-agenten för anpassad logginsamling.

Om du vill ansluta med log analytics-agenten för anpassad logginsamling följer du stegen på varje sida för Microsoft Sentinel-dataanslutning. När konfigurationen har slutförts visas data i anpassade tabeller.

Mer information finns i Anpassade loggar via AMA-dataanslutning – Konfigurera datainmatning till Microsoft Sentinel från specifika program.

Tjänst-till-tjänst-integrering för dataanslutningar

Microsoft Sentinel använder Azure Foundation för att tillhandahålla service-till-tjänst-support för Microsoft-tjänster och Amazon Web Services.

Mer information finns i följande artiklar:

• Ansluta Microsoft Sentinel till Azure-, Windows-, Microsoft- och Amazon-tjänster
• Hitta din Microsoft Sentinel-dataanslutning

Stöd för dataanslutning

Både Microsoft och andra organisationer skapar Microsoft Sentinel-dataanslutningsprogram. Varje dataanslutning har någon av följande supporttyper som visas på dataanslutningssidan i Microsoft Sentinel.

Supporttyp	beskrivning
Microsoft-stöd	Gäller för: Dataanslutningar för datakällor där Microsoft är dataleverantör och författare. Vissa Microsoft-skapade dataanslutningsprogram för datakällor som inte är från Microsoft. Microsoft stöder och underhåller dataanslutningar i den här kategorin enligt Microsoft Azure-supportplaner. Partner eller communityn stöder dataanslutningar som skapats av någon annan part än Microsoft.
Partnerstödd	Gäller för dataanslutningar som skapats av andra parter än Microsoft. Partnerföretaget tillhandahåller support eller underhåll för dessa dataanslutningar. Partnerföretaget kan vara en oberoende programvaruleverantör, en hanterad tjänstleverantör (MSP/MSSP), en systemintegrerare (SI) eller någon organisation vars kontaktinformation finns på Sidan Microsoft Sentinel för dataanslutningen. Om du har problem med en dataanslutning som stöds av en partner kontaktar du supportkontakten för den angivna dataanslutningen.
Community-stödd	Gäller för dataanslutningar som skapats av Microsoft eller partnerutvecklare som inte har angivna kontakter för stöd och underhåll av dataanslutningsappar på sidan för dataanslutning i Microsoft Sentinel. För frågor eller problem med dessa dataanslutningar kan du skapa ett problem i Microsoft Sentinel GitHub-communityn.

Mer information finns i Hitta stöd för en dataanslutning.

Nästa steg

Mer information om dataanslutningar finns i följande artiklar.

• Ansluta dina datakällor till Microsoft Sentinel med hjälp av dataanslutningar
• Hitta din Microsoft Sentinel-dataanslutning
• Resurser för att skapa anpassade Anslutningsprogram för Microsoft Sentinel

En grundläggande IaC-referens (Infrastruktur som kod) för Bicep, Azure Resource Manager och Terraform för att distribuera dataanslutningar i Microsoft Sentinel finns i IaC-referens för Microsoft Sentinel-dataanslutning.