你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用基于 API 的数据连接器将 Microsoft Sentinel 连接到其他 Microsoft 服务
本文介绍如何与 Microsoft Sentinel 建立基于 API 的连接。 Microsoft Sentinel 使用 Azure 基础为来自许多 Azure 和 Microsoft 365 服务、Amazon Web Services 和各种 Windows Server 服务的数据引入提供内置的服务到服务支持。 可以通过几种不同的方法建立这些连接。
本文介绍基于 API 的数据连接器组的通用信息。
注意
有关美国政府云中的功能可用性的信息,请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。
先决条件
必须对 Log Analytics 工作区拥有读取和写入权限。
必须对 Microsoft Sentinel 工作区租户拥有全局管理员或安全管理员角色。
数据连接器特定要求:
数据连接器 许可、成本和其他先决条件 Microsoft Entra ID 保护 - Microsoft Entra ID P2 订阅
- 可能会收取其他费用Dynamics 365 - Microsoft Dynamics 365 生产许可证。 不适用于沙盒环境。
- 至少一个用户分配了 Microsoft/Office 365 E1 或更高版本的许可证。
- 在 Microsoft Purview 中已启用审核日志记录。 请参阅打开或关闭审核。
- 在 Microsoft Dataverse 环境中已启用审核日志记录。 请参阅 Microsoft Dataverse 和模型驱动应用活动日志记录。
- 可能会收取其他费用。Microsoft Defender for Cloud Apps 对于 Cloud Discovery 日志,请在 Microsoft Defender for Cloud Apps 中启用 Microsoft Sentinel 作为 SIEM 用于终结点的 Microsoft Defender Microsoft Defender for Endpoint 部署的有效许可证 Microsoft Defender for Office 365 Office 365 ATP 计划 2 的有效许可证 Microsoft Office 365 - Office 365 部署必须与 Microsoft Sentinel 工作区在同一租户中。
- 可能会收取其他费用。Microsoft Power BI - Office 365 部署必须与 Microsoft Sentinel 工作区在同一租户中。
- 可能会收取其他费用。Microsoft Purview 信息保护 - Office 365 部署必须与 Microsoft Sentinel 工作区在同一租户中。
- 可能会收取其他费用。Microsoft Purview 内部风险管理 (IRM) - 适用于 Microsoft 365 E5/A5/G5 的有效订阅,或随附的符合性或 IRM 附加产品。
- 完整加入 Microsoft Purview 内部风险管理,并定义了生成警报的 IRM 策略。
- 配置了 Microsoft 365 IRM,以允许将 IRM 警报导出到 Office 365 管理活动 API,从而通过 Microsoft Sentinel 连接器接收警报。
说明
在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。
从数据连接器库中选择服务,然后在预览窗格中选择“打开连接器页面”。
选择“连接”,开始将服务中的事件和/或警报流式传输到 Microsoft Sentinel。
如果连接器页面上有一个标题为“创建事件 - 推荐!”的部分,并且你想要根据警报自动创建事件,请选择“启用” 。
可以使用数据连接器参考页面中的服务连接器部分中出现的表名查找和查询每个服务的数据。
后续步骤
有关详细信息,请参阅: