Konfigurera dataanslutningar i Microsoft Sentinel
När du har registrerat Microsoft Sentinel på din arbetsyta använder du dataanslutningsprogram för att börja mata in dina data i Microsoft Sentinel. Microsoft Sentinel levereras med många färdiga anslutningsappar för Microsoft-tjänster, som integreras i realtid. Microsoft 365 Defender-anslutningsappen är till exempel en tjänst-till-tjänst-anslutning som integrerar data från Office 365, Microsoft Entra ID, Microsoft Defender för identitet och Microsoft Defender för molnet-appar.
Inbyggda anslutningsappar möjliggör anslutning till det bredare säkerhetsekosystemet för produkter som inte kommer från Microsoft. Använd till exempel Syslog, Common Event Format (CEF) eller REST-API:er för att ansluta dina datakällor till Microsoft Sentinel.
Sidan Dataanslutningsprogram för Microsoft Sentinel visar den fullständiga listan över anslutningsappar och deras status för din arbetsyta. Snart visar den här sidan bara listan över dataanslutningar som används.
Kommentar
Om du vill lägga till fler dataanslutningar installerar du lösningen som är associerad med dataanslutningen från Innehållshubben.
Aktivera en dataanslutning
På sidan Dataanslutningar väljer du den aktiva eller anpassade anslutningsapp som du vill ansluta till och väljer sedan Sidan Öppna anslutningsapp. Om du inte ser den dataanslutning du vill använda installerar du lösningen som är associerad med den från innehållshubben.
När du uppfyller alla krav som anges på fliken Instruktioner beskriver anslutningssidan hur du matar in data till Microsoft Sentinel. Det kan ta lite tid innan data börjar komma.
När du har anslutit visas en sammanfattning av data i diagrammet Mottagna data och datatypernas anslutningsstatus.
REST API-integrering för dataanslutningar
Många säkerhetstekniker tillhandahåller en uppsättning API:er för att hämta loggfiler, och vissa datakällor kan använda dessa API:er för att ansluta till Microsoft Sentinel.
Dataanslutningar som använder API:er kan antingen integreras från providersidan eller integreras med Hjälp av Azure Functions, enligt beskrivningen i följande avsnitt.
REST API-integrering på providersidan
En API-integrering som skapats av providern ansluter till providerns datakällor och skickar data till anpassade Loggtabeller i Microsoft Sentinel med hjälp av Azure Monitor Data Collector API.
REST API-integrering med Hjälp av Azure Functions
Integreringar som använder Azure Functions för att ansluta till ett provider-API formaterar först data och skickar dem sedan till microsoft Sentinel-anpassade loggtabeller med hjälp av Azure Monitor Data Collector API.
Agentbaserad integrering för dataanslutningar
Microsoft Sentinel kan använda Syslog-protokollet för att ansluta en agent till alla datakällor som kan utföra loggströmning i realtid. De flesta lokala datakällor ansluter till exempel med hjälp av agentbaserad integrering.
I följande avsnitt beskrivs de olika typerna av Microsoft Sentinel-agentbaserade dataanslutningar. Följ stegen på varje sida för Microsoft Sentinel-dataanslutning för att konfigurera anslutningar med hjälp av agentbaserade mekanismer.
Syslog
Du kan strömma händelser från Linux-baserade, Syslog-stödande enheter till Microsoft Sentinel med hjälp av Azure Monitor Agent (AMA). Beroende på enhetstyp installeras agenten antingen direkt på enheten eller på en dedikerad Linux-baserad loggvidare. AMA tar emot händelser från Syslog-daemon via UDP. Syslog-daemon vidarebefordrar händelser till agenten internt och kommunicerar via UDS (Unix Domain Sockets). AMA överför sedan dessa händelser till Microsoft Sentinel-arbetsytan.
Här är ett enkelt flöde som visar hur Microsoft Sentinel strömmar Syslog-data.
- Enhetens inbyggda Syslog-daemon samlar in lokala händelser av de angivna typerna och vidarebefordrar händelserna lokalt till agenten.
- Agenten strömmar händelserna till din Log Analytics-arbetsyta.
- Efter en lyckad konfiguration visas data i Log Analytics Syslog-tabellen.
Common Event Format (CEF)
Loggformaten varierar, men många källor stöder CEF-baserad formatering. Microsoft Sentinel-agenten, som faktiskt är Log Analytics-agenten, konverterar CEF-formaterade loggar till ett format som Log Analytics kan mata in.
För datakällor som genererar data i CEF konfigurerar du Syslog-agenten och konfigurerar sedan CEF-dataflödet. Efter en lyckad konfiguration visas data i tabellen CommonSecurityLog .
Anpassade loggar
För vissa datakällor kan du samla in loggar som filer på Windows- eller Linux-datorer med hjälp av log Analytics-agenten för anpassad logginsamling.
Följ stegen på varje microsoft Sentinel-dataanslutningssida för att ansluta med log analytics-agenten för anpassad logginsamling. När konfigurationen har slutförts visas data i anpassade tabeller.
Tjänst-till-tjänst-integrering för dataanslutningar
Microsoft Sentinel använder Azure Foundation för att tillhandahålla kostnadsfri service-till-tjänst-support för Microsoft-tjänster och Amazon Web Services.
Distribuera dataanslutningar som en del av en lösning
Microsoft Sentinel-lösningar tillhandahåller paket med säkerhetsinnehåll, inklusive dataanslutningar, arbetsböcker, analysregler, spelböcker med mera. När du distribuerar en lösning med en dataanslutning får du dataanslutningsappen tillsammans med relaterat innehåll i samma distribution.
Stöd för dataanslutning
Både Microsoft och andra organisationer skapar Microsoft Sentinel-dataanslutningsprogram. Varje dataanslutning har någon av följande supporttyper:
| Supporttyp | Beskrivning |
|---|---|
| Microsoft-stöd | Gäller för dataanslutningar för datakällor där Microsoft är dataprovider och författare. Vissa Microsoft-skapade dataanslutningsprogram för datakällor som inte är från Microsoft. Microsoft stöder och underhåller dataanslutningar i den här kategorin enligt Microsoft Azure-supportplaner. Partner eller communityn stöder dataanslutningar som har skapats av någon annan part än Microsoft. |
| Partner stöds | Gäller för dataanslutningar som skapats av andra parter än Microsoft. Partnerföretaget tillhandahåller support eller underhåll för dessa dataanslutningar. Partnerföretaget kan vara en oberoende programvaruleverantör, en hanterad tjänstleverantör, en systemintegrerare eller någon organisation vars kontaktuppgifter finns på Microsoft Sentinel-sidan för dataanslutningen. Om du har problem med en dataanslutning som stöds av en partner kontaktar du supportkontakten för den angivna dataanslutningen. |
| Community stöds | Gäller för dataanslutningar som skapats av Microsoft eller partnerutvecklare som inte har listade kontakter för stöd och underhåll av dataanslutningar på den angivna sidan för dataanslutning i Microsoft Sentinel. |