Microsoft Sentinel veri bağlayıcıları
Microsoft Sentinel'i çalışma alanınıza ekledikten sonra, verilerinizi Microsoft Sentinel'e almak için veri bağlayıcılarını kullanın. Microsoft Sentinel, Microsoft hizmetleri için kullanıma hazır birçok bağlayıcıyla birlikte gelir ve bu bağlayıcılar gerçek zamanlı olarak tümleşir. Örneğin, Microsoft Defender XDR bağlayıcısı Office 365, Microsoft Entra ID, Kimlik için Microsoft Defender ve Bulut için Microsoft Defender Uygulamalarından gelen verileri tümleştiren bir hizmetten hizmete bağlayıcıdır.
Yerleşik bağlayıcılar, Microsoft dışı ürünler için daha geniş bir güvenlik ekosistemine bağlantı sağlar. Örneğin, veri kaynaklarınızı Microsoft Sentinel'e bağlamak için Syslog, Ortak Olay Biçimi (CEF) veya REST API'leri kullanın.
Not
ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.
Önemli
Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik operasyonları platformunun bir parçası olarak kullanılabilir. Defender portalındaki Microsoft Sentinel artık üretim kullanımı için desteklenmektedir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Çözümlerle sağlanan veri bağlayıcıları
Microsoft Sentinel çözümleri veri bağlayıcıları, çalışma kitapları, analiz kuralları, playbook'lar ve daha fazlası dahil olmak üzere paketlenmiş güvenlik içeriği sağlar. Veri bağlayıcısı ile bir çözüm dağıttığınızda, veri bağlayıcısını aynı dağıtımdaki ilgili içerikle birlikte alırsınız.
Microsoft Sentinel Veri bağlayıcıları sayfasında yüklü veya kullanımda olan veri bağlayıcıları listelenir.
Daha fazla veri bağlayıcısı eklemek için İçerik Hub'ından veri bağlayıcısıyla ilişkili çözümü yükleyin. Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Microsoft Sentinel veri bağlayıcınızı bulma
- Microsoft Sentinel içeriği ve çözümleri hakkında
- Microsoft Sentinel'in kullanıma açık içeriğini bulma ve yönetme
- Microsoft Sentinel içerik hub'ı kataloğu
- Microsoft Sentinel için Gelişmiş Güvenlik Bilgileri Modeli (ASIM) tabanlı etki alanı çözümleri
Veri bağlayıcıları için REST API tümleştirmesi
Birçok güvenlik teknolojisi, günlük dosyalarını almak için bir dizi API sağlar. Bazı veri kaynakları Microsoft Sentinel'e bağlanmak için bu API'leri kullanabilir.
API'leri kullanan veri bağlayıcıları, aşağıdaki bölümlerde açıklandığı gibi sağlayıcı tarafından tümleşir veya Azure İşlevleri kullanarak tümleşir.
Sağlayıcı tarafında tümleştirme
Sağlayıcı tarafından oluşturulan bir API tümleştirmesi, sağlayıcı veri kaynaklarına bağlanır ve Azure İzleyici Veri Toplayıcı API'sini kullanarak verileri Microsoft Sentinel özel günlük tablolarına gönderir. Daha fazla bilgi için bkz . HTTP Veri Toplayıcı API'sini kullanarak günlük verilerini Azure İzleyici'ye gönderme.
REST API tümleştirmesi hakkında bilgi edinmek için sağlayıcı belgelerinizi okuyun ve Veri almak için veri kaynağınızı Microsoft Sentinel'in REST-API'sine bağlama.
Azure İşlevleri kullanarak tümleştirme
Bir sağlayıcı API'sine bağlanmak için Azure İşlevleri kullanan tümleştirmeler önce verileri biçimlendirin ve ardından Azure İzleyici Veri Toplayıcı API'sini kullanarak Microsoft Sentinel özel günlük tablolarına gönderin.
Daha fazla bilgi için bkz.
- HTTP Veri Toplayıcı API'sini kullanarak günlük verilerini Azure İzleyici'ye gönderme
- Veri kaynağınızı Microsoft Sentinel'e bağlamak için Azure İşlevleri kullanma
- Azure İşlevleri belgeleri
azure kuruluşunuzda Azure İşlevleri barındırdığınızdan, Azure İşlevleri kullanan tümleştirmelerin ek veri alımı maliyetleri olabilir. Azure İşlevleri fiyatlandırması hakkında daha fazla bilgi edinin.
Veri bağlayıcıları için aracı tabanlı tümleştirme
Microsoft Sentinel, gerçek zamanlı günlük akışı gerçekleştirebilen herhangi bir veri kaynağından veri toplamak için Azure İzleyici hizmeti (Microsoft Sentinel'in temel aldığı) tarafından sağlanan aracıları kullanabilir. Örneğin, çoğu şirket içi veri kaynağı aracı tabanlı tümleştirme kullanarak bağlanır.
Aşağıdaki bölümlerde farklı Microsoft Sentinel aracı tabanlı veri bağlayıcıları türleri açıklanmaktadır. Aracı tabanlı mekanizmalar kullanarak bağlantıları yapılandırmak için her Microsoft Sentinel veri bağlayıcısı sayfasındaki adımları izleyin.
Önemli
Log Analytics aracısı 31 Ağustos 2024'te kullanımdan kaldırılacak ve Azure İzleyici Aracısı (AMA) tarafından başarılı olacaktır. Microsoft Sentinel dağıtımınızda Log Analytics aracısını kullanıyorsanız AMA'ya geçişinizi planlamaya başlamanızı öneririz. Daha fazla bilgi için bkz . Microsoft Sentinel için AMA geçişi.
Syslog ve Ortak Olay Biçimi (CEF)
Azure İzleyici Aracısı'nı (AMA) kullanarak Linux tabanlı Syslog destekleyen cihazlardan Microsoft Sentinel'e olay akışı yapabilirsiniz. Günlük biçimleri farklılık gösterir, ancak birçok kaynak CEF tabanlı biçimlendirmeyi destekler. Cihaz türüne bağlı olarak aracı doğrudan cihaza veya ayrılmış linux tabanlı bir günlük ileticisine yüklenir. AMA, UDP üzerinden Syslog daemon'dan düz Syslog veya CEF olay iletileri alır. Syslog daemon, sürüme bağlı olarak TCP veya UDS (Unix Etki Alanı Yuvaları) üzerinden iletişim kurarak olayları dahili olarak aracıya iletir. Ama daha sonra bu olayları Microsoft Sentinel çalışma alanına iletir.
Microsoft Sentinel'in Syslog verilerini nasıl akışla aktardığını gösteren basit bir akış aşağıdadır.
- Cihazın yerleşik Syslog daemon'ı, belirtilen türlerdeki yerel olayları toplar ve olayları yerel olarak aracıya iletir.
- Aracı olayları Log Analytics çalışma alanınıza akışla iletir.
- Yapılandırma başarılı olduktan sonra, Syslog iletileri Log Analytics Syslog tablosunda ve CEF iletileri CommonSecurityLog tablosunda görüntülenir.
Daha fazla bilgi için bkz . Microsoft Sentinel için AMA bağlayıcıları aracılığıyla Syslog ve Ortak Olay Biçimi (CEF).
Özel günlükler
Bazı veri kaynakları için Log Analytics özel günlük toplama aracısını kullanarak günlükleri Windows veya Linux bilgisayarlarda dosya olarak toplayabilirsiniz.
Log Analytics özel günlük toplama aracısını kullanarak bağlanmak için her Microsoft Sentinel veri bağlayıcısı sayfasındaki adımları izleyin. Yapılandırma başarılı olduktan sonra veriler özel tablolarda görünür.
Daha fazla bilgi için bkz . Log Analytics aracısı ile Microsoft Sentinel'e özel günlük biçimlerinde veri toplama.
Veri bağlayıcıları için hizmet-hizmet tümleştirmesi
Microsoft Sentinel, Microsoft hizmetleri ve Amazon Web Services için kullanıma hazır hizmetten hizmete destek sağlamak için Azure temelini kullanır.
Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Microsoft Sentinel'i Azure, Windows, Microsoft ve Amazon hizmetlerine bağlama
- Microsoft Sentinel veri bağlayıcınızı bulma
Veri bağlayıcısı desteği
Hem Microsoft hem de diğer kuruluşlar Microsoft Sentinel veri bağlayıcıları yazar. Her veri bağlayıcısı, Microsoft Sentinel'deki veri bağlayıcısı sayfasında listelenen aşağıdaki destek türlerinden birine sahiptir.
| Destek türü | Açıklama |
|---|---|
| Microsoft tarafından desteklenen | Şunlar için geçerlidir:
İş ortakları veya Topluluk, Microsoft dışında herhangi bir taraf tarafından yazılan veri bağlayıcılarını destekler. |
| İş ortağı tarafından desteklenen | Microsoft dışındaki taraflar tarafından yazılan veri bağlayıcıları için geçerlidir. İş ortağı şirket, bu veri bağlayıcıları için destek veya bakım sağlar. İş ortağı şirket Bağımsız Yazılım Satıcısı, Yönetilen Hizmet Sağlayıcısı (MSP/MSSP), Sistem Tümleştiricisi (SI) veya ilgili veri bağlayıcısı için Microsoft Sentinel sayfasında iletişim bilgileri sağlanan herhangi bir kuruluş olabilir. İş ortağı tarafından desteklenen bir veri bağlayıcısıyla ilgili sorunlar için belirtilen veri bağlayıcısı destek kişisine başvurun. |
| Topluluk tarafından desteklenen | Microsoft Sentinel'deki veri bağlayıcısı sayfasında veri bağlayıcısı desteği ve bakımı için listelenmiş kişileri olmayan Microsoft veya iş ortağı geliştiricileri tarafından yazılan veri bağlayıcıları için geçerlidir. Bu veri bağlayıcılarıyla ilgili sorular veya sorunlar için Microsoft Sentinel GitHub topluluğunda bir sorun oluşturabilirsiniz. |
Daha fazla bilgi için bkz . Veri bağlayıcısı için destek bulma.
Sonraki adımlar
Veri bağlayıcıları hakkında daha fazla bilgi için aşağıdaki makalelere bakın.
- Veri bağlayıcılarını kullanarak veri kaynaklarınızı Microsoft Sentinel'e bağlama
- Microsoft Sentinel veri bağlayıcınızı bulma
- Microsoft Sentinel özel bağlayıcıları oluşturmaya yönelik kaynaklar
Microsoft Sentinel'de veri bağlayıcıları dağıtmak için Bicep, Azure Resource Manager ve Terraform'un temel Kod Olarak Altyapı (IaC) başvurusu için bkz . Microsoft Sentinel veri bağlayıcısı IaC başvurusu.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin