Microsoft Sentinel veri bağlayıcıları

  • Makale
  • Şunlara uygulanır:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Microsoft Sentinel'i çalışma alanınıza ekledikten sonra, verilerinizi Microsoft Sentinel'e almak için veri bağlayıcılarını kullanın. Microsoft Sentinel, Microsoft hizmetleri için kullanıma hazır birçok bağlayıcıyla birlikte gelir ve bu bağlayıcılar gerçek zamanlı olarak tümleşir. Örneğin, Microsoft Defender XDR bağlayıcısı Office 365, Microsoft Entra ID, Kimlik için Microsoft Defender ve Bulut için Microsoft Defender Uygulamalarından gelen verileri tümleştiren bir hizmetten hizmete bağlayıcıdır.

Yerleşik bağlayıcılar, Microsoft dışı ürünler için daha geniş bir güvenlik ekosistemine bağlantı sağlar. Örneğin, veri kaynaklarınızı Microsoft Sentinel'e bağlamak için Syslog, Ortak Olay Biçimi (CEF) veya REST API'leri kullanın.

Not

ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.

Önemli

Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.

Çözümlerle sağlanan veri bağlayıcıları

Microsoft Sentinel çözümleri veri bağlayıcıları, çalışma kitapları, analiz kuralları, playbook'lar ve daha fazlası dahil olmak üzere paketlenmiş güvenlik içeriği sağlar. Veri bağlayıcısı ile bir çözüm dağıttığınızda, veri bağlayıcısını aynı dağıtımdaki ilgili içerikle birlikte alırsınız.

Microsoft Sentinel Veri bağlayıcıları sayfasında yüklü veya kullanımda olan veri bağlayıcıları listelenir.

Daha fazla veri bağlayıcısı eklemek için İçerik Hub'ından veri bağlayıcısıyla ilişkili çözümü yükleyin. Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

Veri bağlayıcıları için REST API tümleştirmesi

Birçok güvenlik teknolojisi, günlük dosyalarını almak için bir dizi API sağlar. Bazı veri kaynakları Microsoft Sentinel'e bağlanmak için bu API'leri kullanabilir.

API'leri kullanan veri bağlayıcıları, aşağıdaki bölümlerde açıklandığı gibi sağlayıcı tarafından tümleşir veya Azure İşlevleri kullanarak tümleşir.

Sağlayıcı tarafında tümleştirme

Sağlayıcı tarafından oluşturulan bir API tümleştirmesi, sağlayıcı veri kaynaklarına bağlanır ve Azure İzleyici Veri Toplayıcı API'sini kullanarak verileri Microsoft Sentinel özel günlük tablolarına gönderir. Daha fazla bilgi için bkz . HTTP Veri Toplayıcı API'sini kullanarak günlük verilerini Azure İzleyici'ye gönderme.

REST API tümleştirmesi hakkında bilgi edinmek için sağlayıcı belgelerinizi okuyun ve veri almak için veri kaynağınızı Microsoft Sentinel'in REST-API'sine Bağlan.

Azure İşlevleri kullanarak tümleştirme

Bir sağlayıcı API'sine bağlanmak için Azure İşlevleri kullanan tümleştirmeler önce verileri biçimlendirin ve ardından Azure İzleyici Veri Toplayıcı API'sini kullanarak Microsoft Sentinel özel günlük tablolarına gönderin.

Daha fazla bilgi için bkz.

azure kuruluşunuzda Azure İşlevleri barındırdığınızdan, Azure İşlevleri kullanan tümleştirmelerin ek veri alımı maliyetleri olabilir. Azure İşlevleri fiyatlandırması hakkında daha fazla bilgi edinin.

Veri bağlayıcıları için aracı tabanlı tümleştirme

Microsoft Sentinel, gerçek zamanlı günlük akışı gerçekleştirebilen herhangi bir veri kaynağına aracı bağlamak için Syslog protokolunu kullanabilir. Örneğin, çoğu şirket içi veri kaynağı aracı tabanlı tümleştirme kullanarak bağlanır.

Aşağıdaki bölümlerde farklı Microsoft Sentinel aracı tabanlı veri bağlayıcıları türleri açıklanmaktadır. Aracı tabanlı mekanizmalar kullanarak bağlantıları yapılandırmak için her Microsoft Sentinel veri bağlayıcısı sayfasındaki adımları izleyin.

Syslog

Azure İzleyici Aracısı'nı (AMA) kullanarak Linux tabanlı Syslog destekleyen cihazlardan Microsoft Sentinel'e olay akışı yapabilirsiniz. Cihaz türüne bağlı olarak aracı doğrudan cihaza veya ayrılmış linux tabanlı bir günlük ileticisine yüklenir. AMA, UDP üzerinden Syslog daemon'dan olayları alır. Syslog daemon olayları dahili olarak aracıya iletir ve UDS (Unix Etki Alanı Yuvaları) üzerinden iletişim kurar. Ama daha sonra bu olayları Microsoft Sentinel çalışma alanına iletir.

Microsoft Sentinel'in Syslog verilerini nasıl akışla aktardığını gösteren basit bir akış aşağıdadır.

  1. Cihazın yerleşik Syslog daemon'ı, belirtilen türlerdeki yerel olayları toplar ve olayları yerel olarak aracıya iletir.
  2. Aracı olayları Log Analytics çalışma alanınıza akışla iletir.
  3. Yapılandırma başarılı olduktan sonra veriler Log Analytics Syslog tablosunda görünür.

Daha fazla bilgi için bkz . Öğretici: Azure İzleyici Aracısı kullanarak Microsoft Sentinel ile Syslog verilerini Log Analytics çalışma alanına iletme.

Ortak Olay Biçimi (CEF)

Günlük biçimleri farklılık gösterir, ancak birçok kaynak CEF tabanlı biçimlendirmeyi destekler. Aslında Log Analytics aracısı olan Microsoft Sentinel aracısı, CEF biçimli günlükleri Log Analytics'in alabildiği bir biçime dönüştürür.

CEF'de veri yayan veri kaynakları için Syslog aracısını ayarlayın ve CEF veri akışını yapılandırın. Yapılandırma başarılı olduktan sonra veriler CommonSecurityLog tablosunda görünür.

Daha fazla bilgi için bkz . Cihazınızdan veya aletinizden Microsoft Sentinel'e CEF biçimli günlükleri alma.

Özel günlükler

Bazı veri kaynakları için Log Analytics özel günlük toplama aracısını kullanarak günlükleri Windows veya Linux bilgisayarlarda dosya olarak toplayabilirsiniz.

Log Analytics özel günlük toplama aracısını kullanarak bağlanmak için her Microsoft Sentinel veri bağlayıcısı sayfasındaki adımları izleyin. Yapılandırma başarılı olduktan sonra veriler özel tablolarda görünür.

Daha fazla bilgi için bkz . Log Analytics aracısı ile Microsoft Sentinel'e özel günlük biçimlerinde veri toplama.

Veri bağlayıcıları için hizmet-hizmet tümleştirmesi

Microsoft Sentinel, Microsoft hizmetleri ve Amazon Web Services için kullanıma hazır hizmetten hizmete destek sağlamak için Azure temelini kullanır.

Daha fazla bilgi için aşağıdaki makaleleri inceleyin:

Veri bağlayıcısı desteği

Hem Microsoft hem de diğer kuruluşlar Microsoft Sentinel veri bağlayıcıları yazar. Her veri bağlayıcısı, Microsoft Sentinel'deki veri bağlayıcısı sayfasında listelenen aşağıdaki destek türlerinden birine sahiptir.

Destek türü Açıklama
Microsoft tarafından desteklenen Şunlar için geçerlidir:
  • Microsoft'un veri sağlayıcısı ve yazarı olduğu veri kaynakları için veri bağlayıcıları.
  • Microsoft dışı veri kaynakları için Microsoft tarafından yazılmış bazı veri bağlayıcıları.
Microsoft, Microsoft Azure Destek Planları'na göre bu kategorideki veri bağlayıcılarını destekler ve korur.

İş ortakları veya Topluluk, Microsoft dışında herhangi bir taraf tarafından yazılan veri bağlayıcılarını destekler.
İş ortağı tarafından desteklenen Microsoft dışındaki taraflar tarafından yazılan veri bağlayıcıları için geçerlidir.

İş ortağı şirket, bu veri bağlayıcıları için destek veya bakım sağlar. İş ortağı şirket Bağımsız Yazılım Satıcısı, Yönetilen Hizmet Sağlayıcısı (MSP/MSSP), Sistem Tümleştiricisi (SI) veya ilgili veri bağlayıcısı için Microsoft Sentinel sayfasında iletişim bilgileri sağlanan herhangi bir kuruluş olabilir.

İş ortağı tarafından desteklenen bir veri bağlayıcısıyla ilgili sorunlar için belirtilen veri bağlayıcısı destek kişisine başvurun.
Topluluk tarafından desteklenen Microsoft Sentinel'deki veri bağlayıcısı sayfasında veri bağlayıcısı desteği ve bakımı için listelenmiş kişileri olmayan Microsoft veya iş ortağı geliştiricileri tarafından yazılan veri bağlayıcıları için geçerlidir.

Bu veri bağlayıcılarıyla ilgili sorular veya sorunlar için Microsoft Sentinel GitHub topluluğunda bir sorun oluşturabilirsiniz.

Daha fazla bilgi için bkz . Veri bağlayıcısı için destek bulma.

Sonraki adımlar

Veri bağlayıcıları hakkında daha fazla bilgi için aşağıdaki makalelere bakın.

Microsoft Sentinel'de veri bağlayıcıları dağıtmak için Bicep, Azure Resource Manager ve Terraform'un temel Kod Olarak Altyapı (IaC) başvurusu için bkz . Microsoft Sentinel veri bağlayıcısı IaC başvurusu.