你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

查找Microsoft Sentinel数据连接器

  • 适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

本文列出了所有受支持的现装数据连接器,以及指向每个连接器部署步骤的链接。

重要

数据连接器作为以下产品/服务的一部分提供:

注意

有关美国政府云中功能可用性的信息,请参阅美国政府客户的云功能可用性中的Microsoft Sentinel表。

数据连接器先决条件

每个数据连接器都有其自己的先决条件集。 先决条件可能包括对Azure工作区、订阅或策略拥有特定权限。 你可能还需要满足要连接到的合作伙伴数据源的其他要求。

本文和 Microsoft Sentinel 的相关数据连接器页上列出了每个数据连接器的先决条件。

Azure Monitor 代理 (基于 AMA) 的数据连接器需要从安装代理的系统上建立 Internet 连接。 启用端口 443 出站以允许安装代理的系统与Microsoft Sentinel之间建立连接。

CEF) 连接器 (Syslog 和通用事件格式

数据连接器 Syslog 支持从许多安全设备和设备收集日志,这些连接器通过 AMA通用事件格式 (CEF) Microsoft Sentinel中的 AMA。 若要将数据转发到 Log Analytics 工作区以便Microsoft Sentinel,请完成使用 Azure Monitor 代理将 syslog 和 CEF 消息引入到Microsoft Sentinel中的步骤。 这些步骤包括从 Microsoft Sentinel 中的内容中心安装安全设备或设备Microsoft Sentinel解决方案。 然后,通过适用于所安装Microsoft Sentinel解决方案的 AMA 数据连接器,通过 AMA 或通用事件格式 (CEF) 配置 Syslog。 通过配置安全设备或设备完成设置。 在以下文章之一中查找有关配置安全设备或设备的说明:

有关详细信息,或者信息对于设备或设备不可用,请联系解决方案提供商。

通过 AMA 连接器自定义日志

通过使用 Microsoft Sentinel 中的 AMA 连接器的自定义日志,从安装在 Windows 或 Linux 计算机上的网络或安全应用程序筛选和引入文本文件格式的日志。 有关详细信息,请参阅以下文章:

Sentinel数据连接器

注意

下表列出了Microsoft Sentinel内容中心提供的数据连接器。 连接器受产品供应商的支持。 有关支持,请参阅 受支持链接

提示

有关引入Microsoft Sentinel的表的列表以及引入它们的连接器,请参阅Microsoft Sentinel表和关联的连接器

1Password (无服务器)

支持者:1Password

1Password CCF 连接器允许用户将 1Password Audit、Signin & ItemUsage 事件引入Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
OnePasswordEventLogs_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • 1Password API 令牌:需要 1Password API 令牌。 请参阅 1Password 文档 ,了解如何创建 API 令牌。

设置说明:

步骤 1 - 创建 1Password API 令牌:

有关此步骤的指导,请按照 1Password 文档 进行操作。

步骤 2 - 选择正确的基 URL:

有多个 1Password 服务器可以托管事件。 正确的服务器取决于许可证和区域。 按照 1Password 文档 选择正确的服务器。 输入文档显示的基 URL, (包括“https://”,且不带尾随“/”) 。

步骤 3 - 输入 1Password 详细信息:

在下方输入 1Password 基 URL & API 令牌:

  • 基 URL: (输入基 URL)
  • API 令牌: (输入 API 令牌)
  • 启用/禁用连接



1使用 Azure Functions) 的password (

支持者:1Password

Microsoft Sentinel的 1Password 解决方案使你能够使用 1Password 事件报告 API 从 1Password Business 帐户引入登录尝试、项使用情况和审核事件。 这样,就可以监视和调查 Microsoft Sentinel 1Password 中的事件,以及组织使用的其他应用程序和服务。

使用的基础Microsoft技术:

此解决方案取决于以下技术,其中一些技术可能处于 预览 状态,或者可能会产生额外的引入或运营成本:

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
OnePasswordEventLogs_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • 1Password 事件 API 令牌:需要 1Password 事件 API 令牌。 有关详细信息,请参阅 1Password API

注意: 需要 1Password Business 帐户

设置说明:

注意:此连接器使用 Azure Functions 连接到 1Password,将日志拉取到Microsoft Sentinel。 这可能会导致Azure产生额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - 1Password 事件报告 API 的配置步骤

按照 1Password 提供的这些说明获取事件报告 API 令牌。 注意: 需要 1Password Business 帐户

步骤 2 - 使用 DeployToAzure 按钮部署 functionApp,以创建表、dcr 和关联的 Azure 函数

重要: 在部署 1Password 连接器之前,需要创建自定义表。

选项 1 - Azure 资源管理器 (ARM) 模板

此方法使用 ARM Tempate 提供 1Password 连接器的自动部署。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区名称、工作区名称、1Password 事件 API 密钥和 URI

  • 默认 时间间隔 设置为 5 (5) 分钟。 如果要修改间隔,可以在 function.json 文件中相应地调整函数应用计时器触发器 (,在部署后) ,以防止重叠的数据引入。
  • 注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档
  1. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。
  2. 单击“ 购买 ”进行部署。



异常使用 Azure 函数) 的安全 (

支持者:异常安全性

异常安全数据连接器提供使用异常安全 Rest API 将威胁和案例日志引入Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ABNORMAL_THREAT_MESSAGES_CL
ABNORMAL_CASES_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • 异常安全性 API令牌:需要异常安全性 API令牌。 有关详细信息,请参阅异常安全性 API注意: 需要异常安全帐户

设置说明:

注意:此连接器使用 Azure Functions 连接到异常安全性的 REST API,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

步骤 1 - 异常安全性 API的配置步骤

按照异常安全性提供的这些说明配置 REST API 集成。 注意: 需要异常安全帐户

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要:在部署异常安全数据连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的异常安全性 API授权令牌。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

此方法使用 ARM 模板提供异常安全连接器的自动部署。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入Microsoft Sentinel工作区 ID,Microsoft Sentinel共享密钥和异常安全 REST API 密钥

  • 默认 时间间隔 设置为拉取过去 5 (5) 分钟的数据。 如果需要修改时间间隔,建议在function.json文件中相应地更改函数应用计时器触发器,) 部署后 (,以防止重叠的数据引入。
  1. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。
  2. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过Visual Studio Code) 通过Azure Functions (部署手动部署异常安全数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如,异常安全XX) 。

    e. 选择运行时: 选择“Python 3.8”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :SENTINEL_WORKSPACE_ID SENTINEL_SHARED_KEY ABNORMAL_SECURITY_REST_API_TOKEN logAnalyticsUri (可选) (添加 Function App 所需的任何其他设置,) 将 uri 值设置为: <add uri value>

注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅Azure 密钥保管库参考文档

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us.
  1. 输入所有应用程序设置后,单击“ 保存”。



Agent 365

支持者:Microsoft Corporation

Agent 365数据连接器在Microsoft Sentinel数据湖中引入来自 Agent 365、AI Foundry 和 Copilot 的 AI 代理遥测数据,通过搜寻、图形和 MCP 工作流调查代理行为、工具使用情况和执行,从而更深入地了解 AI 代理活动。 此连接器中的数据用于调查Microsoft Sentinel中的 AI 代理行为、工具使用情况和执行。 如果已启用这些工作流,则停用此连接器将阻止执行这些调查。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入

数据收集规则支持: 当前不支持

设置说明:



AIShield

支持者:AIShield

AIShield 连接器允许用户使用Microsoft Sentinel与 AIShield 自定义防御机制日志连接,从而创建动态仪表板、工作簿、笔记本和定制警报,以改进对 AI 系统的调查并阻止攻击。 它使用户能够更深入地了解其组织的 AI 资产安全姿态,并改进其 AI 系统安全操作功能。AIShield.GuArdIan 分析 LLM 生成的内容,以识别和缓解有害内容,防止法律、策略、基于角色和基于使用情况的违规行为

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AIShield_CL

数据收集规则支持: 当前不支持

先决条件:

  • 注意:用户应利用 AIShield SaaS 产品/服务进行漏洞分析,并部署随其 AI 资产一起生成的自定义防御机制。 单击此处 了解详细信息或联系。

设置说明:

注意:此数据连接器依赖于基于 Kusto 函数的分析程序,以按预期方式使用 Microsoft Sentinel 解决方案部署的 AIShield

重要: 在部署 AIShield 连接器之前,请从以下) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



Alibaba Cloud ActionTrail 通过无代码连接器框架) (

支持者:Microsoft Corporation

Alibaba Cloud ActionTrail 数据连接器提供检索存储在 Alibaba Cloud Simple Log Service 中的 actiontrail 事件,并通过 SLS REST API 将它们存储到 Microsoft Sentinel。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AliCloudActionTrailLogs_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • SLS REST API 凭据/权限:执行 API 调用需要 AliCloudAccessKeyIdAliCloudAccessKeySecret 。 需要对资源acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName}执行操作log:GetLogStoreLogs为 的 RAM 策略语句,以授予 RAM 用户调用此操作的权限。

设置说明:

配置对 AliCloud SLS API 的访问

在使用 API 之前,需要准备标识帐户和访问密钥对,以便有效地访问 API。

  1. 建议使用资源访问管理 (RAM) 用户调用 API 操作。 有关详细信息,请参阅 创建 RAM 用户和授权 RAM 用户访问简单日志服务
  2. 获取 RAM 用户的访问密钥对。 有关详细信息,请参阅 获取访问密钥对

记下下一步的访问密钥对详细信息。

添加 ActionTrail 日志存储

若要为Microsoft Sentinel启用 Alibaba Cloud ActionTrail 连接器,请单击“添加 ActionTrail 日志存储”,填写包含 Alibaba Cloud 环境配置的表单,然后单击“连接”。

  • 数据连接器网格 (门户中配置)



阿里巴巴云网络数据连接器通过无代码连接器框架 ()

支持者:Microsoft Corporation

阿里巴巴云网络数据连接器提供通过简单日志服务 (SLS) REST API 将阿里巴巴云网络数据引入Microsoft Sentinel的功能。 有关详细信息,请参阅 API 文档 。 该连接器提供从 Alibaba Cloud 获取专有网络流日志、WAF 日志和 API 网关日志的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AlibabaCloudVPCFlowLogs

数据收集规则支持: 当前不支持

先决条件:

  • Alibaba Cloud SLS API 访问SLS API 需要阿里巴巴云简单日志服务 访问权限。

设置说明:

配置对 AliCloud SLS API 的访问

在使用 API 之前,需要准备标识帐户和访问密钥对,以便有效地访问 API。

  1. 建议使用资源访问管理 (RAM) 用户调用 API 操作。 有关详细信息,请参阅 创建 RAM 用户和授权 RAM 用户访问简单日志服务
  2. 获取 RAM 用户的访问密钥对。 有关详细信息,请参阅 获取访问密钥对

记下下一步的访问密钥对详细信息。

  • 数据连接器网格 (门户中配置)



使用 Azure Functions) 的 AliCloud (

支持者:Microsoft Corporation

借助 AliCloud 数据连接器,可以使用云 API 从云应用程序检索日志,并通过 REST API 将事件存储到Microsoft Sentinel。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AliCloud_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:进行 API 调用需要 AliCloudAccessKeyIdAliCloudAccessKey

设置说明:

注意:此连接器使用 Azure Functions 连接到 Azure Blob 存储 API,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本,以及将数据存储在Azure Blob 存储成本中。 有关详细信息,请查看Azure Functions定价页Azure Blob 存储定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意:此数据连接器依赖于基于 Kusto 函数的分析程序,以按预期方式使用 Microsoft Sentinel 解决方案部署的 AliCloud

步骤 1 - AliCloud API 的配置步骤

按照说明获取凭据。

  1. 获取 AliCloudAccessKeyId 和 AliCloudAccessKey:登录帐户,单击“AccessKey 管理”,然后单击“查看机密”。
  2. 保存凭据,以便在数据连接器中使用。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 AliCloud 数据连接器之前,请从以下) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM 模板自动部署 AliCloud 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3.输入 WorkspaceID、WorkspaceKey、AliCloudAccessKeyId、AliCloudAccessKey、AliCloudProjects 和 AppInsightsWorkspaceResourceID 并部署。 4.将标记为 “我同意上述条款和条件”的复选框。 5.单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 AliCloud 数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 AliCloudXXXXX) 。

    e. 选择运行时: 选择“Python 3.11”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :WorkspaceID WorkspaceKey AliCloudAccessKeyId AliCloudAccessKey AliCloudProjects AppInsightsWorkspaceResourceID

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



Amazon Web Services

支持者:Microsoft Corporation

安装过程中会显示连接到 AWS 并将 CloudTrail 日志流式传输到Microsoft Sentinel的说明。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AWSCloudTrail

数据收集规则支持:工作区转换 DCR

Amazon Web Services CloudFront (通过无代码连接器框架) (预览版)

支持者:Microsoft Corporation

此数据连接器支持将 AWS CloudFront 日志与Microsoft Sentinel集成,以支持高级威胁检测、调查和安全监视。 连接器利用 Amazon S3 进行日志存储和使用 Amazon SQS 进行消息队列,从而可靠地将 CloudFront 访问日志引入到 Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AWSCloudFront_AccessLog_CL

数据收集规则支持:工作区转换 DCR

设置说明:

在 Microsoft Sentinel 中引入 AWS CloudFront 日志

所需的资源列表:

  • Open ID Connect (OIDC) Web 标识提供者
  • IAM 角色
  • Amazon S3 Bucket
  • Amazon SQS
  • AWS CloudFront 配置
  1. AWS CloudFormation 部署 若要在 AWS 上配置访问权限,已生成两个模板来设置 AWS 环境,以便将日志从 S3 存储桶发送到 Log Analytics 工作区。

对于每个模板,请在 AWS 中创建 Stack:

  1. 转到 AWS CloudFormation Stacks
  2. 依次选择“指定模板”选项和“上传模板文件”,方法是单击“选择文件”,然后选择下面提供的相应 CloudFormation 模板文件。 单击“选择文件”,然后选择下载的模板。
  3. 单击“下一步”和“创建堆栈”。
  • 模板 1:OpenID Connect 身份验证部署: <在安装时提供的变量值>
  • 模板 2:AWSCloudFront 资源部署: <在安装时提供的变量值>
  1. 连接新收集器 若要为Microsoft Sentinel启用 AWS S3,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。
  • 数据连接器网格 (门户中配置)



Amazon Web Services 弹性负载均衡 (通过无代码连接器框架)

支持者:Microsoft Corporation

使用适用于 Microsoft Sentinel 的 AWS 弹性负载均衡 (ELB) 连接器,可以从 AWS 应用程序负载均衡器 (ALB) 、网络负载均衡器 (NLB) 和网关负载均衡器 (GLB) 引入访问日志和流到Microsoft Sentinel。 这些日志提供有关负载均衡器和专有网络流量流处理的请求的详细信息,可实现安全监视、威胁检测和流量分析。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AWSALBAccessLogsData

数据收集规则支持: 当前不支持

先决条件:

  • AWS IAM 角色 ARN 和 SQS 队列:需要具有跨帐户访问权限的 AWS IAM 角色 ARN ,以及为 S3 事件通知配置的 SQS 队列 URL 。 有关设置说明 ,请参阅 AWS ELB 连接器文档

设置说明:

  1. AWS CloudFormation 部署 若要在 AWS 上配置访问权限,请使用 CloudFormation 模板设置环境,以将 ALB、NLB 和 GLB 中的日志发送到 Log Analytics 工作区。

部署步骤:

  1. 转到 “云形成模板”,下载 JSON 模板文件。
  2. 转到 AWS CloudFormation Stacks
  3. 如果已有用于Microsoft Sentinel) 的 OIDC 提供程序,请先部署OIDCWebIdProvider.json模板 (跳过。
  4. 然后使用参数部署 AWSS3ELB.json 模板。
  5. 记下堆栈输出中的以下值:
    • IAMRoleArn
    • ALBSQSQueueURL
    • NLBSQSQueueURL
    • NLBFlowLogsSQSQueueURL
    • GLBFlowLogsSQSQueueURL

部署后配置:

成功部署 CloudFormation 堆栈后:

  • 转到堆栈中的“ 资源 ”选项卡。
  • 找到创建的 S3 存储桶名称
  • 在 S3 存储桶中,手动创建以下文件夹:
    • ALBLogs
    • NLBAccessLogs
    • NLBFlowLogs
    • GLBFlowLogs

发送日志:

创建文件夹后,将 AWS 服务配置为将日志发送到相应的文件夹:

  • ALB 访问日志 ->ALBLogs/
  • NLB 访问日志 ->NLBAccessLogs/
  • NLB 流日志 ->NLBFlowLogs/
  • GLB 流日志 ->GLBFlowLogs/

这些日志将引入 Log Analytics 工作区中的相应表。

表映射:

  • ALB 访问日志 ->AWSALBAccessLogsData
  • NLB 访问日志 ->AWSNLBAccessLogsData
  • NLB 和 GLB 流日志 ->AWSELBFlowLogsData

注意:AWSELBFlowLogsData 表中,名为 的 LogType 列将指示行是来自 NLB 流日志还是 GLB 流日志

  1. 连接新收集器 若要启用连接器,请单击“添加新收集器”,输入所需详细信息,然后单击“连接”。
  • 数据连接器网格 (门户中配置)



Amazon Web Services 网络防火墙通过无代码连接器框架 ()

支持者:Microsoft Corporation

使用此数据连接器可将 AWS 网络防火墙日志引入Microsoft Sentinel,以便进行高级威胁检测和安全监视。 通过利用 Amazon S3 和 Amazon SQS,连接器将网络流量日志、入侵检测警报和防火墙事件转发到Microsoft Sentinel,从而实现实时分析和与其他安全数据的关联

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AWSNetworkFirewallFlow

数据收集规则支持:工作区转换 DCR

设置说明:

引入 Microsoft Sentinel 中的 AWS NetworkFirewall 日志

所需的资源列表:

  • Open ID Connect (OIDC) Web 标识提供者
  • IAM 角色
  • Amazon S3 Bucket
  • Amazon SQS
  • AWSNetworkFirewall 配置
  • 按照 AWS NetworkFirewall 数据连接器 配置的说明进行操作
  1. AWS CloudFormation 部署 若要在 AWS 上配置访问权限,已生成两个模板来设置 AWS 环境,以便将日志从 S3 存储桶发送到 Log Analytics 工作区。

对于每个模板,请在 AWS 中创建 Stack:

  1. 转到 AWS CloudFormation Stacks
  2. 依次选择“指定模板”选项和“上传模板文件”,方法是单击“选择文件”,然后选择下面提供的相应 CloudFormation 模板文件。 单击“选择文件”,然后选择下载的模板。
  3. 单击“下一步”和“创建堆栈”。
  • 模板 1:OpenID Connect 身份验证部署: <在安装时提供的变量值>
  • 模板 2:AWSNetworkFirewall 资源部署: <在安装时提供的变量值>
  1. 连接新收集器 若要为Microsoft Sentinel启用 AWS S3,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。
  • 数据连接器网格 (门户中配置)



Amazon Web Services S3

支持者:Microsoft Corporation

此连接器允许你引入 AWS S3 存储桶中收集的 AWS 服务日志,以Microsoft Sentinel。 当前支持的数据类型为:

  • AWS CloudTrail
  • VPC 流日志
  • AWS GuardDuty
  • AWSCloudWatch

有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AWSGuardDuty
AWSVPCFlow
AWSCloudTrail
AWSCloudWatch

数据收集规则支持:工作区转换 DCR

先决条件:

  • 环境:必须定义和配置以下 AWS 资源:S3、简单队列服务 (SQS) 、IAM 角色和权限策略,以及要收集其日志的 AWS 服务。

设置说明:

1.设置 AWS 环境

可通过两个选项将 AWS 环境设置为将日志从 S3 存储桶发送到 Log Analytics 工作区:

建议使用 PowerShell 脚本进行设置 ()

  • 运行脚本以设置环境: <在安装时提供的变量值>
  • 外部 ID (工作区 ID) :<在安装时提供的变量值>

手动设置

按照以下链接中的说明设置环境:将 AWS S3 连接到 Microsoft Sentinel

2.添加连接



Amazon Web Services S3 DNS Route53 通过无代码连接器框架) (

支持者:Microsoft Corporation

此连接器允许将 AWS Route 53 DNS 日志引入Microsoft Sentinel,以提高可见性和威胁检测。 它支持直接从 AWS S3 存储桶引入的 DNS 解析程序查询日志,而可以使用 Microsoft Sentinel 的 AWS CloudWatch 和 CloudTrail 连接器引入公共 DNS 查询日志和 Route 53 审核日志。 提供了全面的说明来指导你完成每个日志类型的设置。 利用此连接器监视 DNS 活动、检测潜在威胁并改进云环境中的安全状况。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AWSRoute53Resolver

数据收集规则支持:工作区转换 DCR

设置说明:

AWS Route53

此连接器允许将 AWS Route 53 DNS 日志引入Microsoft Sentinel,从而增强对 DNS 活动的可见性,并增强威胁检测功能。 它支持从 AWS S3 存储桶直接引入 DNS 解析程序查询日志,而公共 DNS 查询日志和 Route 53 审核日志可以通过Microsoft Sentinel的 AWS CloudWatch 和 CloudTrail 连接器引入。 针对每种日志类型提供了详细的设置说明。 使用此连接器可以监视 DNS 流量、识别潜在威胁并增强云安全态势。

可以将以下类型的日志从 AWS Route 53 引入到Microsoft Sentinel:

  1. Route 53 解析程序查询日志
  2. 通过 Microsoft Sentinel CloudWatch 连接器 (路由 53 公共托管区域查询日志)
  3. 通过 Microsoft Sentinel CloudTrail 连接器 (路由 53 审核日志)

引入 Microsoft Sentinel 中的 Route53 解析程序查询日志

所需的资源列表:

  • Open ID Connect (OIDC) Web 标识提供者
  • IAM 角色
  • Amazon S3 Bucket
  • Amazon SQS
  • Route 53 解析程序查询日志记录配置
  • 要与 Route53 解析程序查询日志配置关联的专有网络
  1. AWS CloudFormation 部署 若要在 AWS 上配置访问权限,已生成两个模板来设置 AWS 环境,以便将日志从 S3 存储桶发送到 Log Analytics 工作区。

对于每个模板,请在 AWS 中创建 Stack:

  1. 转到 AWS CloudFormation Stacks
  2. 依次选择“指定模板”选项和“上传模板文件”,方法是单击“选择文件”,然后选择下面提供的相应 CloudFormation 模板文件。 单击“选择文件”,然后选择下载的模板。
  3. 单击“下一步”和“创建堆栈”。
  • 模板 1:OpenID Connect 身份验证部署: <在安装时提供的变量值>
  • 模板 2:AWS Route53 资源部署: <在安装时提供的变量值>
  1. 连接新收集器 若要为 Microsoft Sentinel启用 Amazon Web Services S3 DNS Route53,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。
  • 数据连接器网格 (门户中配置)

通过 Microsoft Sentinel CloudWatch 连接器) 引入路由 53 公共托管区域查询日志 (

公共托管区域查询日志导出到 AWS 中的 CloudWatch 服务。 可以使用“Amazon Web Services S3”连接器将 CloudWatch 日志从 AWS 引入到Microsoft Sentinel。

步骤 1:为公共 DNS 查询配置日志记录

  1. 登录到 AWS 管理控制台,并在 AWS Route 53 中打开 Route 53 控制台
  2. 导航到“路由 53 > 托管区域”。
  3. 选择要为其配置查询日志记录的公共托管区域。
  4. 在“托管区域详细信息”窗格中,单击“配置查询日志记录”。
  5. 选择现有日志组或创建新的日志组。
  6. 选择"创建"。

步骤 2:为 AWS CloudWatch 配置 Amazon Web Services S3 数据连接器

AWS CloudWatch 日志可以使用 lambda 函数导出到 S3 存储桶。 若要将公共 DNS 查询从 AWS CloudWatch 引入到S3存储桶,然后引入到Microsoft Sentinel,请按照 Amazon Web Services S3 连接器中提供的说明进行操作。

通过 Microsoft Sentinel CloudTrail 连接器 (引入 Route 53 审核日志)

Route 53 审核日志,即与 Route 53 中用户、角色或 AWS 服务执行的操作相关的日志可以通过 AWS CloudTrail 服务导出到 S3 存储桶。 可以使用“Amazon Web Services S3”连接器将 CloudTrail 日志从 AWS 引入到Microsoft Sentinel。

步骤 1:配置 AWS Route 53 审核日志的日志记录

  1. 登录到 AWS 管理控制台,并在 AWS CloudTrail 上打开 CloudTrail 控制台
  2. 如果没有现有跟踪,请单击“创建跟踪”
  3. 在“跟踪名称”字段中输入跟踪的名称。
  4. 选择“创建新的 S3 存储桶 (还可以选择使用现有 S3 存储桶) 。
  5. 将其他设置保留为默认值,然后单击“下一步”。
  6. 选择“事件类型”,确保已选择“管理事件”。
  7. 选择 API 活动、“读取”和“写入”
  8. 单击"下一步"。
  9. 查看设置,然后单击“创建跟踪”。

步骤 2:为 AWS CloudTrail 配置 Amazon Web Services S3 数据连接器

若要从 AWS CloudTrail Microsoft Sentinel 引入审核和管理日志,请按照 Amazon Web Services S3 连接器中提供的说明进行操作



Amazon Web Services S3 WAF

支持者:Microsoft Corporation

此连接器允许你引入在 AWS S3 存储桶中收集的 AWS WAF 日志,以Microsoft Sentinel。 AWS WAF 日志是 Web 访问控制列出 (ACL) 分析的流量的详细记录,这对于维护 Web 应用程序的安全性和性能至关重要。 这些日志包含 AWS WAF 接收请求的时间、请求的具体细节以及请求匹配的规则执行的操作等信息。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AWSWAF

数据收集规则支持:工作区转换 DCR

设置说明:

  1. AWS CloudFormation 部署 若要在 AWS 上配置访问权限,已生成两个模板来设置 AWS 环境,以便将日志从 S3 存储桶发送到 Log Analytics 工作区。

对于每个模板,请在 AWS 中创建 Stack:

  1. 转到 AWS CloudFormation Stacks
  2. 依次选择“指定模板”选项和“上传模板文件”,方法是单击“选择文件”,然后选择下面提供的相应 CloudFormation 模板文件。 单击“选择文件”,然后选择下载的模板。
  3. 单击“下一步”和“创建堆栈”。
  • 模板 1:OpenID Connect 身份验证部署: <在安装时提供的变量值>
  • 模板 2:AWS WAF 资源部署: <在安装时提供的变量值>
  1. 连接新收集器 若要为Microsoft Sentinel启用 AWS S3,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。
  • 数据连接器网格 (门户中配置)



Anvilogic

支持者:Anvilogic

Anvilogic 数据连接器允许将 Anvilogic ADX 群集中生成的相关事件拉取到Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Anvilogic_Alerts_CL

数据收集规则支持: 当前不支持

先决条件:

  • Anvilogic 应用程序注册客户端 ID 和客户端密码:若要访问 Anvilogic ADX,我们需要来自 Anvilogic 应用注册的客户端 ID 和客户端密码

设置说明:

连接到 Anvilogic 以开始收集Microsoft Sentinel中感兴趣的事件

填写表单以将 Anvilogic Alerts 引入Microsoft Sentinel

  • 令牌终结点: (https://login[.]microsoftonline[.]com/<tenant_id>/oauth2/v2.0/token)
  • Anvilogic ADX 作用域: (<avl_adx_uri>/.default)
  • Anvilogic ADX 请求 URI: (<avl_adx_uri>/v2/rest/query)



ARGOS 云安全性

支持者:ARGOS Cloud Security

Microsoft Sentinel的 ARGOS 云安全集成使你可以将所有重要的云安全事件放在一个位置。 这使你可以跨多个系统轻松创建仪表板、警报和关联事件。 总体而言,这将改善组织的安全状况和安全事件响应。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ARGOS_CL

数据收集规则支持: 当前不支持

设置说明:

1.订阅 ARGOS

确保已拥有 ARGOS 订阅。 如果没有,请浏览到 ARGOS 云安全 并注册 ARGOS。

或者,也可以通过Azure市场购买 ARGOS。

2.从 ARGOS 配置Sentinel集成

通过向 ARGOS 提供工作区 ID 和主密钥,将 ARGOS 配置为将任何新检测转发到Sentinel工作区。

无需部署任何自定义基础结构

ARGOS Sentinel配置页中输入信息。

将自动转发新的检测。

详细了解集成

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



使用 Azure Functions) (Armis 警报活动

支持者:Armis Corporation

借助 Armis 警报活动连接器,可以通过 Armis REST API 将 Armis 警报和活动引入Microsoft Sentinel。 有关详细信息,请参阅 API 文档 https://<YourArmisInstance>.armis.com/api/v1/docs 。 连接器提供从 Armis 平台获取警报和活动信息以及识别环境中威胁并确定威胁优先级的功能。 Armis 使用现有基础结构来发现和标识设备,而无需部署任何代理。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Armis_Alerts_CL
Armis_Activities_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:需要 Armis 密钥 。 有关 API 的详细信息,请参阅文档 https://<YourArmisInstance>.armis.com/api/v1/doc

设置说明:

注意:此连接器使用 Azure Functions 连接到 Armis API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意: 此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该分析程序部署为解决方案的一部分。 若要查看 Log Analytics 中的函数代码,请打开 Log Analytics/Microsoft Sentinel“日志”边栏选项卡,单击“函数”并搜索别名“ArmisActivities/ArmisAlerts”并加载函数代码。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。

步骤 1 - Armis API 的配置步骤

按照这些说明创建 Armis API 密钥。

  1. 登录到 Armis 实例
  2. 导航到“设置 -> API 管理
  3. 如果尚未创建密钥,请按“创建”按钮创建密钥
  4. 若要访问密钥,请按“显示”按钮
  5. 现在可以在 Armis 警报活动连接器配置期间复制和使用密钥

步骤 2 - Microsoft Entra ID中应用程序的应用注册步骤

此集成需要在 Azure 门户 中注册应用。 按照本部分中的步骤在 Microsoft Entra ID 中创建新应用程序:

  1. 登录 Azure 门户
  2. 搜索并选择“Microsoft Entra ID”。
  3. “管理”下,选择“应用注册>新注册”。
  4. 输入应用程序的显示 名称
  5. 选择“ 注册 ”以完成初始应用注册。
  6. 注册完成后,Azure 门户将显示应用注册的“概述”窗格。 会看到 应用程序 (客户端) ID 和租户 ID。 需要客户端 ID 和租户 ID 作为执行 Armis 警报活动数据连接器的配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app

步骤 3 - 在 Microsoft Entra ID 中添加应用程序的客户端密码

有时称为应用程序密码,客户端密码是执行 Armis 警报活动数据连接器所需的字符串值。 按照本部分中的步骤创建新的客户端密码:

  1. 在“Azure 门户”中,在“应用注册”中选择应用程序。
  2. 选择 “证书”& 机密 > “”客户端机密 > “”新建客户端密码”。
  3. 添加客户端密码的说明。
  4. 选择机密的过期时间或指定自定义生存期。 限制为 24 个月。
  5. 选择“添加”。
  6. 记录要在客户端应用程序代码中使用的机密值。 离开此页面后,永远不会再次显示此机密值。 机密值作为执行 Armis 警报活动数据连接器的配置参数是必需的。

参考链接:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步骤 4 - 将参与者角色分配给 Microsoft Entra ID 中的应用程序

按照本部分中的步骤分配角色:

  1. 在Azure 门户转到“资源组”,然后选择资源组。
  2. 从左侧面板转到 访问控制 (IAM)
  3. 单击“ 添加”,然后选择“添加角色分配”。
  4. 选择 “参与者” 作为角色,然后单击“下一步”。
  5. “分配访问权限”中,选择 。User, group, or service principal
  6. 单击“ 添加成员”,然后键入已创建的应用名称 并选择它。
  7. 现在,单击“ 审阅 + 分配”,然后再次单击“审阅 + 分配”。

参考链接:/azure/role-based-access-control/role-assignments-portal

步骤 5 - 创建 Keyvault

按照这些说明创建新的 Keyvault。

  1. 在Azure 门户,转到密钥保管库。 单击“创建”。
  2. 选择“子项”、“资源组”,并提供 keyvault 的唯一名称。

注意:在一个工作区内为每个 API 密钥创建单独的密钥保管库

步骤 6 - 在 Keyvault 中创建访问策略

按照这些说明在 Keyvault 中创建访问策略。

  1. 转到 keyvaults,选择密钥保管库,转到左侧面板上的“访问策略”。 单击“创建”。
  2. 选择 & 机密权限的所有密钥。 单击“下一步”。
  3. 在主体部分中,按步骤 2 中生成的应用程序名称搜索。 单击“下一步”。

注意:确保密钥保管库的访问配置中的权限模型设置为“保管库访问策略”

步骤 7 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 Armis 警报活动数据连接器之前,请让工作区 ID 和工作区主密钥 (可从以下随时可用的) 复制。以及 Armis API 授权密钥 ()

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 Armis 连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入以下信息:函数名称工作区 ID 工作区密钥 Armis 机密密钥 Armis URL (https://< armis-instance.armis.com/api/v1/) > Armis 警报表名称
    Armis 活动表名称严重性 (默认值:低) Armis 计划密钥保管库名称Azure客户端 ID Azure客户端机密租户 ID

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Armis 警报活动数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 ARMISXXXXX) 。

    e. 选择运行时: 选择 Python 3.11

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的值 (区分大小写) :工作区 ID 工作区密钥 Armis 机密密钥 Armis URL (https://< armis-instance.armis.com/api/v1/) > Armis 警报表名称 Armis 活动表名称严重性 (默认值:低) Armis Schedule KeyVault 名称Azure客户端 ID Azure客户端机密租户 ID logAnalyticsUri (可选)

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



使用 Azure Functions) 的 Armis 设备 (

支持者:Armis Corporation

借助 Armis 设备连接器,可以通过 Armis REST API 将 Armis 设备引入Microsoft Sentinel。 有关详细信息,请参阅 API 文档 https://<YourArmisInstance>.armis.com/api/v1/docs 。 连接器提供从 Armis 平台获取设备信息的功能。 Armis 使用现有基础结构来发现和标识设备,而无需部署任何代理。 Armis 还可以与现有的 IT & 安全管理工具集成,以识别和分类环境中托管或非托管的每台设备。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Armis_Devices_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:需要 Armis 密钥 。 有关 API 的详细信息,请参阅文档 https://<YourArmisInstance>.armis.com/api/v1/doc

设置说明:

注意:此连接器使用 Azure Functions 连接到 Armis API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意:此数据连接器依赖于基于 Kusto 函数分析程序才能按预期工作。 按照以下步骤 创建 Kusto 函数别名 ArmisDevice

步骤 1 - Armis API 的配置步骤

按照这些说明创建 Armis API 密钥。

  1. 登录到 Armis 实例
  2. 导航到“设置 -> API 管理
  3. 如果尚未创建密钥,请按“创建”按钮创建密钥
  4. 若要访问密钥,请按“显示”按钮
  5. 现在可以在 Armis 设备连接器配置期间复制和使用密钥

步骤 2 - Microsoft Entra ID中应用程序的应用注册步骤

此集成需要在 Azure 门户 中注册应用。 按照本部分中的步骤在 Microsoft Entra ID 中创建新应用程序:

  1. 登录 Azure 门户
  2. 搜索并选择“Microsoft Entra ID”。
  3. “管理”下,选择“应用注册>新注册”。
  4. 输入应用程序的显示 名称
  5. 选择“ 注册 ”以完成初始应用注册。
  6. 注册完成后,Azure 门户将显示应用注册的“概述”窗格。 会看到 应用程序 (客户端) ID 和租户 ID。 需要客户端 ID 和租户 ID 作为执行 Armis 设备数据连接器的配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app

步骤 3 - 在 Microsoft Entra ID 中添加应用程序的客户端密码

客户端密码有时称为应用程序密码,是执行 Armis 设备数据连接器所需的字符串值。 按照本部分中的步骤创建新的客户端密码:

  1. 在“Azure 门户”中,在“应用注册”中选择应用程序。
  2. 选择 “证书”& 机密 > “”客户端机密 > “”新建客户端密码”。
  3. 添加客户端密码的说明。
  4. 选择机密的过期时间或指定自定义生存期。 限制为 24 个月。
  5. 选择“添加”。
  6. 记录要在客户端应用程序代码中使用的机密值。 离开此页面后,永远不会再次显示此机密值。 机密值作为执行 Armis 设备数据连接器的配置参数是必需的。

参考链接:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步骤 4 - 将参与者角色分配给 Microsoft Entra ID 中的应用程序

按照本部分中的步骤分配角色:

  1. 在Azure 门户转到“资源组”,然后选择资源组。
  2. 从左侧面板转到 访问控制 (IAM)
  3. 单击“ 添加”,然后选择“添加角色分配”。
  4. 选择 “参与者” 作为角色,然后单击“下一步”。
  5. “分配访问权限”中,选择 。User, group, or service principal
  6. 单击“ 添加成员”,然后键入已创建的应用名称 并选择它。
  7. 现在,单击“ 审阅 + 分配”,然后再次单击“审阅 + 分配”。

参考链接:/azure/role-based-access-control/role-assignments-portal

步骤 5 - 创建 Keyvault

按照这些说明创建新的 Keyvault。

  1. 在Azure 门户,转到密钥保管库。 单击“创建”。
  2. 选择“子项”、“资源组”,并提供 keyvault 的唯一名称。

注意:在一个工作区内为每个 API 密钥创建单独的密钥保管库

步骤 6 - 在 Keyvault 中创建访问策略

按照这些说明在 Keyvault 中创建访问策略。

  1. 转到 keyvaults,选择密钥保管库,转到左侧面板上的“访问策略”。 单击“创建”。
  2. 选择 & 机密权限的所有密钥。 单击“下一步”。
  3. 在主体部分中,按步骤 2 中生成的应用程序名称搜索。 单击“下一步”。

注意:确保密钥保管库的访问配置中的权限模型设置为“保管库访问策略”

步骤 7 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 Armis 设备数据连接器之前,请准备好工作区 ID 和工作区主密钥 (,以便从以下) 随时可用。以及 Armis API 授权密钥 ()

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 Armis 连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入以下信息:函数名称工作区 ID 工作区密钥 Armis 机密密钥 armis URL (https://< armis-instance.armis.com/api/v1/) > Armis 设备表名称 Armis 计划 KeyVault 名称 Azure客户端 ID Azure客户端机密租户 ID

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Armis 设备数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 ARMISXXXXX) 。

    e. 选择运行时: 选择 Python 3.11

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的值 (区分大小写) :工作区 ID 工作区密钥 Armis 密钥 Armis URL (https://< armis-instance.armis.com/api/v1/) > Armis 设备表名称 Armis Schedule KeyVault Name Azure Client Id Azure Client Secret Tenant Id logAnalyticsUri (可选)

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



Atlassian 信标警报

支持者:DEFEND Ltd.

Atlassian Beacon 是一种云产品,专为跨 Atlassian 平台 (Jira、Confluence 和 Atlassian 管理员) 进行智能威胁检测而构建。 这可以帮助用户检测、调查和响应 Atlassian 产品套件的风险用户活动。 该解决方案是 DEFEND Ltd.的自定义数据连接器,用于可视化通过逻辑应用从 Atlassian Beacon 引入到Microsoft Sentinel的警报。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
atlassian_beacon_alerts_CL

数据收集规则支持: 当前不支持

设置说明:

1. Microsoft Sentinel

  1. 导航到新安装的逻辑应用“Atlassian Beacon Integration”

  2. 导航到“逻辑应用设计器”

  3. 展开“收到 HTTP 请求时”

  4. 复制“HTTP POST URL”

2. 阿特拉斯信标

  1. 使用管理员帐户登录到 Atlassian Beacon

  2. 导航到“设置”下的“SIEM 转发”

  3. 在文本框中粘贴从逻辑应用复制的 URL

  4. 单击“保存”按钮

3. 测试和验证

  1. 使用管理员帐户登录到 Atlassian Beacon

  2. 导航到“设置”下的“SIEM 转发”

  3. 单击新配置的 Webhook 旁边的“测试”按钮

  4. 导航到Microsoft Sentinel

  5. 导航到新安装的逻辑应用

  6. 检查“运行历史记录”下的逻辑应用运行

  7. 检查“Logs”中表名称“atlassian_beacon_alerts_CL”下的日志

  8. 如果已启用分析规则,则上述测试警报应在 Microsoft Sentinel



通过无代码连接器框架) 的 Atlassian Confluence 审核 (

支持者:Microsoft Corporation

Atlassian Confluence 审核数据连接器提供通过 REST API 将 Confluence Audit Records 事件引入Microsoft Sentinel的功能。 有关详细信息,请参阅 API 文档 。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ConfluenceAuditLogs_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Atlassian Confluence API 访问权限:需要 管理 Confluence 的权限才能访问 Confluence 审核日志 API。 有关审核 API 的详细信息,请参阅 Confluence API 文档

设置说明:

连接到 Atlassian Confluence API 以开始收集Microsoft Sentinel中的审核日志

若要为Microsoft Sentinel启用 Atlassian Confluence 连接器,请单击以添加组织,使用 Confluence 环境凭据填写表单,然后单击“连接”。 按照以下步骤创建 API 令牌。

  • 数据连接器网格 (门户中配置)



使用 Azure Functions) 的 Atlassian Jira 审核 (

支持者:Microsoft Corporation

Atlassian Jira Audit 数据连接器提供通过 REST API 将 Jira 审核记录事件引入Microsoft Sentinel的功能。 有关详细信息,请参阅 API 文档 。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Jira_Audit_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:REST API 需要 JiraAccessTokenJiraUsername 。 有关详细信息,请参阅 API。 检查所有 要求,并按照获取凭据的说明 进行操作。

设置说明:

注意:此连接器使用 Azure Functions 连接到 Jira REST API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意:此数据连接器依赖于基于 Kusto 函数分析程序才能按预期工作。 按照以下步骤 创建 Kusto 函数别名 JiraAudit

步骤 1 - Jira API 的配置步骤

按照说明 获取凭据。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署工作区数据连接器之前,请从以下) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署 Jira Audit 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3.输入 JiraAccessToken、JiraUsername、JiraHomeSiteName (短站点名称部分,作为) 和部署的示例 HOMESITENAME https://community.atlassian.com 。 4.将标记为 “我同意上述条款和条件”的复选框。 5.单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Jira 审核数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 JiraAuditXXXXX) 。

    e. 选择运行时: 选择“Python 3.11”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceID WorkspaceKey logAnalyticsUri (可选)

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



Atlassian Jira Audit (通过无代码连接器框架)

支持者:Microsoft Corporation

Atlassian Jira Audit 数据连接器提供通过 REST API 将 Jira 审核记录事件引入Microsoft Sentinel的功能。 有关详细信息,请参阅 API 文档 。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Jira_Audit_v2_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Atlassian Jira API 访问权限:需要 管理 Jira 的权限才能访问 Jira 审核日志 API。 若要详细了解审核 API,请参阅 Jira API 文档

设置说明:

若要为Microsoft Sentinel启用 Atlassian Jira 连接器,请单击以添加组织,使用 Jira 环境凭据填写表单,然后单击“连接”。 按照以下步骤创建 API 令牌。

  • 数据连接器网格 (门户中配置)



通过无代码连接器框架) (身份验证日志

支持者:Microsoft Corporation

Auth0 数据连接器允许将日志从 Auth0 API 引入到Microsoft Sentinel。 数据连接器基于无代码连接器框架Microsoft Sentinel构建。 它使用 Auth0 API 提取日志,并支持基于 DCR 的引入时间转换 ,该转换将收到的安全数据分析为自定义表,以便查询无需再次分析它,从而获得更好的性能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Auth0Logs_CL

数据收集规则支持:工作区转换 DCR

设置说明:

步骤 1 - Auth0 管理 API 的配置步骤

按照说明获取凭据。

  1. 在“Auth0 仪表板”中,转到[应用程序 > 应用程序]
  2. 选择应用程序。 这应该是配置了至少具有 [read:logs] 和 [read:logs_users] 权限的 [计算机到计算机] 应用程序。
  3. 复制 [域、ClientID、客户端密码]
  • 基本 API URL: (https://example.auth0.com)
  • 客户端 ID: (客户端 ID)
  • 客户端密码: (API 令牌)
  • 启用/禁用连接



自动化逻辑 WebCTRL

支持者:Microsoft Corporation

可以从连接到Microsoft Sentinel的 Windows 计算机上托管的 WebCTRL SQL 服务器流式传输审核日志。 此连接使你能够查看仪表板、创建自定义警报和改进调查。 这样可以深入了解受 WebCTRL BAS 应用程序监视或控制的工业控制系统。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Event

数据收集规则支持:工作区转换 DCR

设置说明:

1. 安装并载入适用于 Windows 的 Microsoft 代理。

了解 代理设置Windows 事件载入

如果已安装适用于 Windows 的 Microsoft 代理,则可以跳过此步骤

2.配置 Windows 任务以读取审核数据并将其写入 Windows 事件

安装和配置 Windows 计划任务,以读取 SQL 中的审核日志并将其写入为 Windows 事件。 这些 Windows 事件将由代理收集并转发到Microsoft Sentinel。

请注意,来自所有计算机的数据将存储在所选工作区中

2.1 将 安装程序文件 复制到服务器上的某个位置。

2.2 更新在上述步骤中复制的 ALC-WebCTRL-AuditPull.ps1 () 脚本参数,例如目标数据库名称和 windows 事件 ID。 有关更多详细信息,请参阅脚本中的注释。

2.3 根据要求更新在上述步骤中复制的 ALC-WebCTRL-AuditPullTaskConfig.xml 文件中的 windows 任务设置。 有关更多详细信息,请参阅文件中的注释。

2.4 使用上述步骤中复制的更新配置安装 Windows 任务

  • 在 powershell 中从步骤 2.1 中复制安装程序文件的目录运行以下命令: <在安装时提供的变量值>

3.验证连接

按照说明验证连接性:

打开 Log Analytics 以检查是否使用事件架构接收日志。

连接可能需要大约 20 分钟才能将数据流式传输到工作区。

如果未收到日志,请验证以下步骤是否存在任何运行时问题:

  1. 确保在 Windows 任务计划程序中创建计划任务并处于运行状态。

  2. 在 Windows 任务计划程序的步骤 2.4 中新创建的任务的历史记录选项卡中检查任务执行错误

  3. 在计划的 Windows 任务运行时,请确保 SQL 审核表包含新记录。



AWS EKS 数据连接器通过无代码连接器框架 ()

支持者:Microsoft Corporation

AWS EKS 数据连接器提供将审核日志从 Amazon Elastic Kubernetes 服务引入Microsoft Sentinel的功能。 此连接器侧重于 EKS 审核日志 (JSON 格式) 其中包含有关 API 服务器请求、身份验证决策和群集活动的详细信息。 当新的审核日志文件导出到 S3 时,连接器使用 AWS SQS 接收通知,确保 Kubernetes 群集的实时安全监视和合规性跟踪。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AWSEKSLogs_CL

数据收集规则支持: 当前不支持

设置说明:

1. AWS CloudFormation 部署

使用提供的 CloudFormation 模板配置 AWS 环境,以便将日志从 AWS EKS 发送到 Log Analytics 工作区。

在 AWS 中部署 CloudFormation 模板:

  1. 导航到 AWS CloudFormation Stacks
  2. 单击“ 创建堆栈”,然后选择“使用新资源”。
  3. 选择 “上传模板文件”,然后单击“选择文件” 以上传相应的 CloudFormation 模板, (下面提供的模板 1 和 2) 。
  4. 按照提示操作,然后单击“ 下一步 ”以完成堆栈创建。
  5. 创建堆栈后,导航到 “输出” 部分。 从输出部分运行步骤 1 和 2 中的脚本,它将日志从 eks 流式传输到 sqs。
  6. 在同一输出部分中,记下将在连接连接器中使用的 角色 ARN 和 SQS 队列 URL
  • 模板 1:OpenID Connect 身份验证提供程序部署: <在安装时提供的变量值>
  • 模板 2:AWS EKS 资源部署: <在安装时提供的变量值>

2. 连接新收集器

若要为Microsoft Sentinel启用 AWS 安全中心连接器,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。

3. 连接

启用 AWS EKS 连接器。

  • 启用/禁用连接



AWS S3 服务器访问日志通过无代码连接器框架) (

支持者:Microsoft Corporation

使用此连接器可将 AWS S3 服务器访问日志引入Microsoft Sentinel。 这些日志包含针对 S3 存储桶发出的请求的详细记录,包括请求类型、访问的资源、请求者信息和响应详细信息。 这些日志可用于分析访问模式、调试问题和确保安全符合性。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AWSS3ServerAccess

数据收集规则支持:工作区转换 DCR

先决条件:

  • 环境:必须定义和配置以下 AWS 资源:S3 存储桶、简单队列服务 (SQS) 、IAM 角色和权限策略。

设置说明:

  1. AWS CloudFormation 部署 若要在 AWS 上配置访问权限,已生成两个模板来设置 AWS 环境,以将日志从 AWS S3 服务器访问日志发送到 Log Analytics 工作区。

在 AWS 中部署 CloudFormation 模板:

  1. 导航到 AWS CloudFormation Stacks
  2. 单击“ 创建堆栈”,然后选择“使用新资源”。
  3. 选择 “上传模板文件”,然后单击“选择文件” 以上传提供的相应 CloudFormation 模板。
  4. 按照提示操作,然后单击“ 下一步 ”以完成堆栈创建。
  5. 创建堆栈后,记下 角色 ARN 和 SQS 队列 URL
  • 模板 1:OpenID Connect 身份验证提供程序部署: <在安装时提供的变量值>
  • 模板 2:AWS 服务器访问资源部署: <在安装时提供的变量值>
  1. 连接新收集器 若要为Microsoft Sentinel启用 AWS S3 服务器访问日志连接器,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。
  • 数据连接器网格 (门户中配置)



通过无代码连接器框架 (AWS 安全中心发现)

支持者:Microsoft Corporation

此连接器允许将 AWS 安全中心发现(在 AWS S3 存储桶中收集)引入Microsoft Sentinel。 它将 AWS 安全中心调查结果与 Microsoft Sentinel 的高级威胁检测和响应功能集成,从而帮助简化监视和管理安全警报的过程。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AWSSecurityHubFindings

数据收集规则支持:工作区转换 DCR

先决条件:

  • 环境:必须定义和配置以下 AWS 资源:AWS 安全中心、Amazon Data Firehose、Amazon EventBridge、S3 Bucket、简单队列服务 (SQS) 、IAM 角色和权限策略。

设置说明:

  1. AWS CloudFormation 部署使用提供的 CloudFormation 模板配置 AWS 环境,以便将日志从 AWS 安全中心发送到 Log Analytics 工作区。

在 AWS 中部署 CloudFormation 模板:

  1. 导航到 AWS CloudFormation Stacks
  2. 单击“ 创建堆栈”,然后选择“使用新资源”。
  3. 选择 “上传模板文件”,然后单击“选择文件” 以上传提供的相应 CloudFormation 模板。
  4. 按照提示操作,然后单击“ 下一步 ”以完成堆栈创建。
  5. 创建堆栈后,记下 角色 ARN 和 SQS 队列 URL
  • 模板 1:OpenID Connect 身份验证提供程序部署: <在安装时提供的变量值>
  • 模板 2:AWS 安全中心资源部署: <在安装时提供的变量值>
  1. 连接新收集器 若要为Microsoft Sentinel启用 AWS 安全中心连接器,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。
  • 数据连接器网格 (门户中配置)



Azure活动

支持者:Microsoft Corporation

Azure活动日志是一种订阅日志,用于深入了解Azure中发生的订阅级事件,包括来自Azure 资源管理器操作数据的事件、服务运行状况事件、对订阅中的资源执行的写入操作,以及Azure中执行的活动的状态。 有关详细信息,请参阅 Microsoft Sentinel 文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureActivity

数据收集规则支持: 当前不支持

Azure Batch帐户

支持者:Microsoft Corporation

Azure Batch帐户是 Batch 服务中唯一标识的实体。 大多数 Batch 解决方案使用 Azure 存储来存储资源文件和输出文件,因此每个 Batch 帐户通常与相应的存储帐户相关联。 此连接器允许将Azure Batch帐户诊断日志流式传输到Microsoft Sentinel,从而持续监视活动。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureDiagnostics

数据收集规则支持: 当前不支持

先决条件:

  • 策略:为每个策略分配范围分配的所有者角色

设置说明:

将Azure Batch帐户诊断登录到Sentinel。

此连接器使用 Azure Policy 将单个 Azure Batch 帐户日志流式处理配置应用于定义为作用域的实例集合。 按照以下说明创建策略并将其应用于所有当前和将来的实例。 请注意,你可能已有此资源类型的活动策略。

从Azure Batch帐户大规模Stream 诊断日志

**启动Azure Policy分配向导并按照步骤操作。 **

  1. “基本信息”选项卡中,单击“作用域”下带有三个点的按钮 ,选择订阅。
  2. “参数”选项卡中,从 Log Analytics 工作区下拉列表中选择Microsoft Sentinel工作区,并将要引入的所有日志类别都标记为“True”。
  3. 若要对现有资源应用策略,请在“修正”选项卡中标记“创建修正任务检查”框



Azure CloudNGFW 由 Palo Alto Networks

支持者:Palo Alto Networks

Palo Alto Networks 的云下一代防火墙(一种Azure本机 ISV 服务)是 Palo Alto Networks 下一代防火墙, (NGFW) Azure 上作为云原生服务提供。 可以在Azure市场中发现云 NGFW,并在Azure虚拟网络 (VNet) 使用它。 借助云 NGFW,可以访问核心 NGFW 功能,例如应用 ID、基于 URL 筛选的技术。 它通过云提供的安全服务和威胁防护签名提供威胁防护和检测。 借助连接器,可以轻松地将云 NGFW 日志与Microsoft Sentinel连接、查看仪表板、创建自定义警报和改进调查。 这使你可以更深入地了解组织的网络,并改进安全操作功能。 有关详细信息,请参阅适用于Azure的云 NGFW 文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
fluentbit_CL

数据收集规则支持:工作区转换 DCR

设置说明:

将 Palo Alto Networks 的云 NGFW 连接到Microsoft Sentinel

通过 Palo Alto Networks 在所有云 NGFW 上启用日志设置。

在云 NGFW 资源中:

  1. 从主页导航到“日志设置”。
  2. 确保选中 “启用日志设置” 复选框。
  3. “日志设置” 下拉列表中,选择所需的 Log Analytics 工作区。
  4. 确认选择和配置。
  5. 单击“ 保存” 应用设置。



Azure 认知搜索

支持者:Microsoft Corporation

Azure 认知搜索是一项云搜索服务,它为开发人员提供了基础结构、API 和工具,用于在 Web、移动和企业应用程序中构建丰富的搜索体验,以处理专用的异类内容。 此连接器允许将Azure 认知搜索 诊断日志流式传输到Microsoft Sentinel,从而持续监视活动。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureDiagnostics

数据收集规则支持: 当前不支持

先决条件:

  • 策略:为每个策略分配范围分配的所有者角色

设置说明:

将Azure 认知搜索 诊断日志连接到Sentinel。

此连接器使用 Azure Policy 将单个Azure 认知搜索日志流式处理配置应用于定义为作用域的实例集合。 按照以下说明创建策略并将其应用于所有当前和将来的实例。 请注意,你可能已有此资源类型的活动策略。

从Azure 认知搜索大规模Stream 诊断日志

**启动Azure Policy分配向导并按照步骤操作。 **

  1. “基本信息”选项卡中,单击“作用域”下带有三个点的按钮 ,选择订阅。
  2. “参数”选项卡中,从 Log Analytics 工作区下拉列表中选择Microsoft Sentinel工作区,并将要引入的所有日志类别都标记为“True”。
  3. 若要对现有资源应用策略,请在“修正”选项卡中标记“创建修正任务检查”框



Azure DDoS 防护

支持者:Microsoft Corporation

通过公共 IP 地址诊断日志连接到 Azure DDoS 防护Standard日志。 除了平台中的核心 DDoS 防护外,Azure DDoS 防护Standard还提供针对网络攻击的高级 DDoS 缓解功能。 它会自动调整,以保护特定的Azure资源。 在创建新虚拟网络期间,可以方便地启用保护。 也可以在创建后完成此操作,并且无需更改应用程序或资源。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureDiagnostics

数据收集规则支持: 当前不支持

通过无代码连接器框架) (Azure DevOps 审核日志

支持者:Microsoft Corporation

使用 Azure DevOps 审核日志数据连接器可将审核事件从 Azure DevOps 引入到 Microsoft Sentinel。 此数据连接器是使用 Microsoft Sentinel 无代码连接器框架生成的,可确保无缝集成。 它利用 Azure DevOps 审核日志 API 来获取详细的审核事件,并支持基于 DCR 的引入时间转换。 通过这些转换,可以在引入期间将收到的审核数据解析为自定义表,从而无需进行其他分析,从而提高查询性能。 使用此连接器,可以增强对Azure DevOps 环境的可见性,并简化安全操作。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ADOAuditLogs_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure DevOps 先决条件:请确保满足以下条件:
    1. 在“应用注册”下的“Microsoft Entra 管理员中心”中注册Entra应用。
    2. 在“API 权限”中, 将权限添加到“Azure DevOps - vso.auditlog”。
    3. 在“证书 & 机密”中 - 生成“客户端密码”。
    4. 在“身份验证”中- 在相应字段中添加下面找到的重定向 URI。
    5. 在 DevOps 设置Azure - 启用审核日志并为用户设置“查看审核日志”。 Azure DevOps 审核
    6. 确保分配用于连接数据连接器的用户始终将“查看审核日志”权限显式设置为“允许”。 此权限对于成功引入日志至关重要。 如果撤销或未授予权限,数据引入将失败或中断。

设置说明:

**连接到 Azure DevOps,开始收集 Microsoft Sentinel 中的审核日志。 **

  1. 输入已注册的应用。
  2. 在“概述”部分中,复制应用程序 (客户端) ID。
  3. 选择“终结点”按钮,并复制“OAuth 2.0 授权终结点 (v2) ”值和“OAuth 2.0 令牌终结点 (v2) ”值。
  4. 在“证书 & 机密”部分中,复制“客户端密码值”,并将其安全地存储。
  5. 提供以下所需信息,然后单击“连接”。



Azure事件中心

支持者:Microsoft Corporation

Azure 事件中心是一个大数据流式处理平台和事件引入服务。 它可以每秒接收和处理数百万个事件。 此连接器允许将Azure事件中心诊断日志流式传输到Microsoft Sentinel,从而持续监视活动。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureDiagnostics

数据收集规则支持: 当前不支持

先决条件:

  • 策略:为每个策略分配范围分配的所有者角色

设置说明:

将Azure事件中心诊断日志连接到Sentinel。

此连接器使用 Azure Policy 将单个Azure事件中心日志流式处理配置应用于定义为作用域的实例集合。 按照以下说明创建策略并将其应用于所有当前和将来的实例。 请注意,你可能已有此资源类型的活动策略。

从Azure事件中心大规模Stream 诊断日志

**启动Azure Policy分配向导并按照步骤操作。 **

  1. “基本信息”选项卡中,单击“作用域”下带有三个点的按钮 ,选择订阅。
  2. “参数”选项卡中,从 Log Analytics 工作区下拉列表中选择Microsoft Sentinel工作区,并将要引入的所有日志类别都标记为“True”。
  3. 若要对现有资源应用策略,请在“修正”选项卡中标记“创建修正任务检查”框



Azure 防火墙

支持者:Microsoft Corporation

连接到Azure 防火墙。 Azure 防火墙是基于云的托管网络安全服务,可保护Azure 虚拟网络资源。 它是完全有状态防火墙即服务,具有内置的高可用性和不受限制的云可伸缩性。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureDiagnostics
AZFWApplicationRule
AZFWFlowTrace
AZFWFatFlow
AZFWNatRule
AZFWDnsQuery
AZFWIdpsSignature
AZFWInternalFqdnResolutionFailure
AZFWNetworkRule
AZFWThreatIntel

数据收集规则支持:工作区转换 DCR

Azure 密钥保管库

支持者:Microsoft Corporation

Azure 密钥保管库是用于安全存储和访问机密的云服务。 机密是你想要严格控制访问权限的任何内容,例如 API 密钥、密码、证书或加密密钥。 此连接器允许将Azure 密钥保管库 诊断日志流式传输到Microsoft Sentinel,从而持续监视所有实例中的活动。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureDiagnostics

数据收集规则支持: 当前不支持

Azure Kubernetes 服务 (AKS)

支持者:Microsoft Corporation

Azure Kubernetes 服务 (AKS) 是一种完全托管的开源容器业务流程服务,可用于在群集环境中部署、缩放和管理 Docker 容器和基于容器的应用程序。 此连接器允许将Azure Kubernetes 服务 (AKS) 诊断 日志流式传输到Microsoft Sentinel,从而持续监视所有实例中的活动。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureDiagnostics

数据收集规则支持: 当前不支持

Azure逻辑应用

支持者:Microsoft Corporation

Azure逻辑应用是一个基于云的平台,用于创建和运行集成应用、数据、服务和系统的自动化工作流。 此连接器允许将Azure逻辑应用诊断日志流式传输到Microsoft Sentinel,从而持续监视活动。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureDiagnostics

数据收集规则支持: 当前不支持

先决条件:

  • 策略:为每个策略分配范围分配的所有者角色

设置说明:

将逻辑应用诊断日志连接到 Sentinel。

此连接器使用 Azure Policy 将单个Azure逻辑应用日志流式处理配置应用于定义为作用域的实例集合。 按照以下说明创建策略并将其应用于所有当前和将来的实例。 请注意,你可能已有此资源类型的活动策略。

从Azure逻辑应用大规模Stream 诊断日志

**启动Azure Policy分配向导并按照步骤操作。 **

  1. “基本信息”选项卡中,单击“作用域”下带有三个点的按钮 ,选择订阅。
  2. “参数”选项卡中,从 Log Analytics 工作区下拉列表中选择Microsoft Sentinel工作区,并将要引入的所有日志类别都标记为“True”。
  3. 若要对现有资源应用策略,请在“修正”选项卡中标记“创建修正任务检查”框



Azure Resource Graph

支持者:Microsoft Corporation

Azure Resource Graph连接器通过补充有关Azure订阅和Azure资源的详细信息,更深入地了解Azure事件。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入

数据收集规则支持: 当前不支持

先决条件:

  • 策略:Azure订阅的所有者角色权限

设置说明:

将Azure Resource Graph连接到Microsoft Sentinel



Azure 服务总线

支持者:Microsoft Corporation

Azure 服务总线是一个完全托管的企业消息中转站,其消息队列和发布-订阅主题 (命名空间) 。 此连接器允许将Azure 服务总线 诊断日志流式传输到Microsoft Sentinel,从而持续监视活动。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureDiagnostics

数据收集规则支持: 当前不支持

先决条件:

  • 策略:为每个策略分配范围分配的所有者角色

设置说明:

将Azure 服务总线 诊断日志连接到Sentinel。

此连接器使用 Azure Policy 将单个Azure 服务总线日志流式处理配置应用于定义为作用域的实例集合。 按照以下说明创建策略并将其应用于所有当前和将来的实例。 请注意,你可能已有此资源类型的活动策略。

从Azure 服务总线大规模Stream 诊断日志

**启动Azure Policy分配向导并按照步骤操作。 **

  1. “基本信息”选项卡中,单击“作用域”下带有三个点的按钮 ,选择订阅。
  2. “参数”选项卡中,从 Log Analytics 工作区下拉列表中选择Microsoft Sentinel工作区,并将要引入的所有日志类别都标记为“True”。
  3. 若要对现有资源应用策略,请在“修正”选项卡中标记“创建修正任务检查”框



Azure SQL数据库

支持者:Microsoft Corporation

Azure SQL是一个完全托管的平台即服务 (PaaS) 数据库引擎,无需用户参与即可处理大多数数据库管理功能,例如升级、修补、备份和监视。 使用此连接器,可以将Azure SQL数据库审核和诊断日志流式传输到Microsoft Sentinel,从而持续监视所有实例中的活动。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureDiagnostics

数据收集规则支持: 当前不支持

Azure存储帐户

支持者:Microsoft Corporation

Azure存储帐户是适用于新式数据存储方案的云解决方案。 它包含所有数据对象:blob、文件、队列、表和磁盘。 此连接器允许将Azure存储帐户诊断日志流式传输到Microsoft Sentinel工作区,从而持续监视所有实例中的活动,并检测组织中的恶意活动。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureMetrics
StorageBlobLogs
StorageQueueLogs
StorageTableLogs
StorageFileLogs

数据收集规则支持:工作区转换 DCR

先决条件:

  • 策略:为每个策略分配范围分配的所有者角色

设置说明:

将Azure存储帐户诊断登录到Sentinel。

此连接器使用一组Azure策略将日志流式处理配置应用于定义为作用域的实例集合。 按照以下说明创建策略并将其应用于所有当前和将来的实例。 若要充分利用Azure存储帐户的存储帐户诊断日志记录,建议从Azure存储帐户 (Blob、队列、表和文件)中的所有服务启用诊断日志记录。 请注意,你可能已有此资源类型的活动策略。

从Azure存储帐户大规模Stream 诊断日志

**启动Azure Policy分配向导并按照步骤操作。 **

  1. “基本信息”选项卡中,单击“作用域”下带有三个点的按钮 ,选择订阅。
  2. “参数”选项卡中,从 Log Analytics 工作区下拉列表中选择Microsoft Sentinel工作区,并将要引入的所有日志类别都标记为“True”。
  3. 若要对现有资源应用策略,请在“修正”选项卡中标记“创建修正任务检查”框

从Azure存储 Blob 服务大规模Stream 诊断日志

**启动Azure Policy分配向导并按照步骤操作。 **

  1. “基本信息”选项卡中,单击“作用域”下带有三个点的按钮 ,选择订阅。
  2. “参数”选项卡中,从 Log Analytics 工作区下拉列表中选择Microsoft Sentinel工作区,并将要引入的所有日志类别都标记为“True”。
  3. 若要对现有资源应用策略,请在“修正”选项卡中标记“创建修正任务检查”框

从Azure存储队列服务大规模Stream 诊断日志

**启动Azure Policy分配向导并按照步骤操作。 **

  1. “基本信息”选项卡中,单击“作用域”下带有三个点的按钮 ,选择订阅。
  2. “参数”选项卡中,从 Log Analytics 工作区下拉列表中选择Microsoft Sentinel工作区,并将要引入的所有日志类别都标记为“True”。
  3. 若要对现有资源应用策略,请在“修正”选项卡中标记“创建修正任务检查”框

从Azure存储表服务大规模Stream 诊断日志

**启动Azure Policy分配向导并按照步骤操作。 **

  1. “基本信息”选项卡中,单击“作用域”下带有三个点的按钮 ,选择订阅。
  2. “参数”选项卡中,从 Log Analytics 工作区下拉列表中选择Microsoft Sentinel工作区,并将要引入的所有日志类别都标记为“True”。
  3. 若要对现有资源应用策略,请在“修正”选项卡中标记“创建修正任务检查”框

从Azure存储文件服务大规模Stream 诊断日志

**启动Azure Policy分配向导并按照步骤操作。 **

  1. “基本信息”选项卡中,单击“作用域”下带有三个点的按钮 ,选择订阅。
  2. “参数”选项卡中,从 Log Analytics 工作区下拉列表中选择Microsoft Sentinel工作区,并将要引入的所有日志类别都标记为“True”。
  3. 若要对现有资源应用策略,请在“修正”选项卡中标记“创建修正任务检查”框



Azure 流分析

支持者:Microsoft Corporation

Azure 流分析 是一种实时分析和复杂的事件处理引擎,旨在同时分析和处理来自多个源的大量快速流式处理数据。 此连接器允许将 Azure 流分析 中心诊断日志流式传输到 Microsoft Sentinel,从而持续监视活动。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureDiagnostics

数据收集规则支持: 当前不支持

先决条件:

  • 策略:为每个策略分配范围分配的所有者角色

设置说明:

将 Azure 流分析 诊断日志连接到 Sentinel。

此连接器使用 Azure Policy 将单个 Azure 流分析 日志流式处理配置应用于定义为作用域的实例集合。 按照以下说明创建策略并将其应用于所有当前和将来的实例。 请注意,你可能已有此资源类型的活动策略。

从 Azure 流分析 大规模Stream 诊断日志

**启动Azure Policy分配向导并按照步骤操作。 **

  1. “基本信息”选项卡中,单击“作用域”下带有三个点的按钮 ,选择订阅。
  2. “参数”选项卡中,从 Log Analytics 工作区下拉列表中选择Microsoft Sentinel工作区,并将要引入的所有日志类别都标记为“True”。
  3. 若要对现有资源应用策略,请在“修正”选项卡中标记“创建修正任务检查”框



Azure Web 应用程序防火墙 (WAF)

支持者:Microsoft Corporation

连接到 应用程序网关、Front Door 或 CDN 的 Azure Web 应用程序防火墙 (WAF) 。 此 WAF 可保护应用程序免受 SQL 注入和跨站点脚本等常见 Web 漏洞的伤害,并允许自定义规则以减少误报。 安装过程中会显示将Microsoft Web 应用程序防火墙日志流式传输到Microsoft Sentinel的说明。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureDiagnostics

数据收集规则支持: 当前不支持

更好的移动威胁防御 (MTD)

支持者:Better Mobile Security Inc.

BETTER MTD 连接器允许企业将其 Better MTD 实例与Microsoft Sentinel连接、在仪表板中查看其数据、创建自定义警报、使用它触发 playbook 并扩展威胁搜寻功能。 这使用户能够更深入地了解其组织的移动设备,并能够快速分析当前的移动安全态势,从而改进其整体 SecOps 功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
BetterMTDIncidentLog_CL
BetterMTDDeviceLog_CL
BetterMTDNetflowLog_CL
BetterMTDAppLog_CL

数据收集规则支持: 当前不支持

设置说明:

  1. “更好的 MTD 控制台”中,单击侧栏上的“集成”。
  2. 选择“ 其他 ”选项卡。
  3. 单击“添加帐户”按钮,然后从可用集成中选择Microsoft Sentinel。
  4. 创建集成:
  • 设置为ACCOUNT NAME标识集成的描述性名称,然后单击“下一步
  • WORKSPACE ID在下面的字段中输入 和 PRIMARY KEY ,单击“保存
  • 单击“完成
  1. 威胁策略设置 (应向 Microsoft Sentinel) 报告哪些事件:
  • “更好的 MTD 控制台”中,单击侧栏上的“策略”
  • 单击正在使用的策略的 “编辑 ”按钮。
  • 对于要记录的每个事件类型,请转到“发送到集成”字段,然后选择“Sentinel
  1. 有关其他信息,请参阅 我们的文档
  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



BeyondTrust PM Cloud

支持者:BeyondTrust

BeyondTrust Privilege Management 云数据连接器提供将活动审核日志和客户端事件日志从 BeyondTrust PM Cloud 引入Microsoft Sentinel的功能。

此连接器使用 Azure Functions 从 BeyondTrust PM Cloud API 拉取数据并将其引入自定义 Log Analytics 表。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
BeyondTrustPM_ActivityAudits_CL
BeyondTrustPM_ClientEvents_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • BeyondTrust PM Cloud API 凭据:BeyondTrust PM Cloud OAuth 客户端 ID 和客户端密码是必需的。 API 帐户需要以下权限:审核 - 只读和报告 - 只读

设置说明:

注意:此连接器使用 Azure Functions 连接到 BeyondTrust PM 云 API,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

注意: 此连接器使用 OAuth 2.0 客户端凭据流通过 BeyondTrust PM 云 API 进行身份验证。

步骤 1 - 获取 BeyondTrust PM 云 API 凭据

使用 OAuth API 凭据 (客户端 ID 和客户端密码) ,在 BeyondTrust PM Cloud 实例中创建 API 帐户。 API 帐户需要以下权限:

  • 审核 - 只读
  • 报告 - 只读

步骤 2 - 部署连接器和关联的Azure函数

使用此方法使用 ARM 模板自动部署 BeyondTrust PM 云数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    portal.azure.com

  2. 选择首选“ 订阅”、“资源组 (必须包含 Log Analytics 工作区) ”和“位置”。

  3. 输入所需的参数:

    • 工作区名称:Log Analytics 工作区 (的名称,例如, beyondtrust-pmcloud)
    • BeyondTrust PM Cloud Base URL:租户 URL (例如, https://yourcompany.beyondtrustcloud.com)
    • BeyondTrust 客户端 ID:步骤 1 中的 OAuth 客户端 ID
    • BeyondTrust 客户端密码:步骤 1 中的 OAuth 客户端密码
    • 活动审核轮询间隔:收集活动审核 (的频率:15 分钟)
    • 客户端事件轮询间隔: (默认收集客户端事件的频率:5 分钟)
    • 日志级别:用于故障排除的日志记录级别 (默认值:信息)
    • 历史数据时间范围:首次运行后收集数据的距离 (默认值:1 天)

  4. 查看高级设置 (托管计划 SKU、存储帐户类型) 并根据需要进行调整。

  5. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  6. 单击“ 购买 ”进行部署。

  7. 部署将创建所有必需的资源:函数应用、存储帐户、数据收集终结点、数据收集规则和自定义 Log Analytics 表。

  8. 数据应在部署后的 15-30 分钟内开始流动。



BigID DSPM 连接器

支持者:BigID

BigID DSPM 数据连接器提供将 BigID DSPM 事例(包含受影响对象和数据源信息)引入Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
BigIDDSPMCatalog_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • BigID DSPM API 访问权限:需要通过 BigID 令牌访问 BigID DSPM API。

设置说明:

连接到 BigID DSPM API,开始收集 Microsoft Sentinel 中的 BigID DSPM事例和受影响的对象

提供 BigID 域名(如“customer.bigid.cloud”)和 BigID 令牌。 通过“设置”-“访问管理”-“用户>”->>“选择用户”并在 BigID 控制台中生成令牌。

  • BigID FQDN: (BigID FQDN)
  • BigID 令牌: (BigID 令牌)
  • 启用/禁用连接



使用 Azure Functions) 的 Bitglass (

支持者:Microsoft Corporation

Bitglass 数据连接器提供通过 REST API 将 Bitglass 服务的安全事件日志和更多事件检索到Microsoft Sentinel的功能。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
BitglassLogs_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:进行 API 调用需要 BitglassTokenBitglassServiceURL

设置说明:

注意:此连接器使用 Azure Functions 连接到 Azure Blob 存储 API,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本,以及将数据存储在Azure Blob 存储成本中。 有关详细信息,请查看Azure Functions定价页Azure Blob 存储定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意:此数据连接器依赖于基于 Kusto 函数的分析程序,以按预期方式使用 Microsoft Sentinel 解决方案部署的 Bitglass

步骤 1 - Bitglass 日志检索 API 的配置步骤

按照说明获取凭据。

  1. 请联系 Bitglass 支持部门 并获取 BitglassToken 和 BitglassServiceURL ntation]。
  2. 保存凭据,以便在数据连接器中使用。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 Bitglass 数据连接器之前,请从以下) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM 模板自动部署 Bitglass 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3.输入 BitglassToken、BitglassServiceURL 并部署。 4.将标记为 “我同意上述条款和条件”的复选框。 5.单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Bitglass 数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 BitglassXXXXX) 。

    e. 选择运行时: 选择“Python 3.11”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :BitglassToken BitglassServiceURL WorkspaceID WorkspaceKey logAnalyticsUri (可选)

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



Bitwarden 事件日志

支持者:Bitwarden Inc

此连接器可深入了解 Bitwarden 组织的活动,例如用户的活动 (登录、更改的密码、2fa 等 ) 、密码活动 (创建、更新、删除、共享等 ) 、收集活动、组织活动等。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
BitwardenEventLogs

数据收集规则支持: 当前不支持

先决条件:

  • Bitwarden 客户端 ID 和客户端密码:可以在 Bitwarden 组织管理控制台中找到 API 密钥。 有关详细信息 ,请参阅 Bitwarden 文档

设置说明:

将 Bitwarden 事件日志连接到Microsoft Sentinel

可以在 Bitwarden 组织管理控制台中找到 API 密钥。 有关详细信息 ,请参阅 Bitwarden 文档 。 自承载 Bitwarden 服务器可能需要重新配置其安装的 URL。



blacklens.io

支持者:blacklens.io 支持

使用 blacklens.io 数据连接器,可以使用基于 Webhook 的逻辑应用和Azure监视器日志引入 API 将攻击面管理警报从 blacklens.io 引入到Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
blacklens_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure订阅:需要对资源组具有参与者或所有者权限才能 (数据收集终结点、数据收集规则、自定义表和逻辑应用) 部署数据引入基础结构。
  • blacklens.io 帐户:需要具有 Webhook 集成功能的 blacklens.io 帐户。

设置说明:

步骤 1 - 部署数据引入基础结构

此步骤部署所需的Azure资源:数据收集终结点、数据收集规则、自定义 Log Analytics 表 (blacklens_CL) ,以及 Webhook 触发的逻辑应用。

  1. 单击下面的“部署到Azure”按钮。

    portal.azure.com

  2. 选择“订阅”、“资源组”和“Microsoft Sentinel工作区所在的位置”。

  3. 输入 Log Analytics 工作区的工作区 名称

  4. 单击“ 查看 + 创建”,然后单击“创建”。

步骤 2 - 复制 Webhook URL

  1. 部署成功后,单击部署页上的“ 输出 ”选项卡。
  2. 复制 webhookUrl 值。

或者,导航到 逻辑应用 >la-blacklens-alert-log-ingestion> 概述并复制工作流 URL

步骤 3 - 配置 blacklens.io

  1. 登录到 blacklens.io 门户
  2. 导航到 Webhook 集成设置。
  3. 粘贴步骤 2 中复制的 Webhook URL。
  4. 保存配置。
  5. 将 Webhook 集成链接到至少一个 通知策略 ,以便将警报发送到 Webhook。

几分钟后,测试事件应出现在Microsoft Sentinel中。



使用 Azure Functions) 的框 (

支持者:Microsoft Corporation

Box 数据连接器提供使用 Box REST API 将 Box 企业事件引入Microsoft Sentinel的功能。 有关详细信息,请参阅 Box 文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
BoxEvents_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Box API 凭据:Box REST API JWT 身份验证需要 Box config JSON 文件。 有关详细信息,请参阅 JWT 身份验证

设置说明:

注意:此连接器使用 Azure Functions 连接到 Box REST API,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意:此连接器依赖于基于 Kusto 函数的分析程序,才能按预期方式使用 Microsoft Sentinel 解决方案部署的 BoxEvent

步骤 1 - 配置 Box 事件集合

请参阅文档设置 JWT 身份验证 并使用 凭据获取 JSON 文件

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 Box 数据连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的 Box JSON 配置文件。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署 Box 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 AzureSentinelWorkspaceId、AzureSentinelSharedKey、BoxConfigJSON

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Box 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。
  2. 按照函数应用手动部署说明使用 VSCode 部署 Azure Functions 应用。
  3. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :AzureSentinelWorkspaceId AzureSentinelSharedKey BOX_CONFIG_JSON logAnalyticsUri (可选)
  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



Box 事件 (CCF)

支持者:Microsoft Corporation

Box 数据连接器提供使用 Box REST API 将 Box 企业事件引入Microsoft Sentinel的功能。 有关详细信息,请参阅 Box 文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
BoxEventsV2_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Box API 凭据:Box API 需要 Box App 客户端 ID 和客户端密码才能进行身份验证。 有关详细信息,请参阅 客户端凭据授予
  • Box Enterprise ID:需要 Box Enterprise ID 才能建立连接。 请参阅文档以 查找企业 ID

设置说明:

注意:此连接器使用无代码 Connecor Platform (CCF) 连接到 Box REST API,将日志拉取到Microsoft Sentinel。

注意:此连接器依赖于基于 Kusto 函数的分析程序,才能按预期方式使用 Microsoft Sentinel 解决方案部署的 BoxEvent

步骤 1 - 创建 Box 自定义应用程序

请参阅设置客户端凭据身份验证的文档

步骤 2 - 获取客户端 ID 和客户端密码值

可能需要设置 2FA 才能提取机密。

步骤 3 - 从 Box 管理员 控制台抓取 Box 企业 ID

请参阅文档以 查找企业 ID

连接到 Box,开始将事件日志收集到Microsoft Sentinel

提供以下所需值:

  • Box Enterprise ID: (123456)



适用于 Microsoft Sentinel 的 Check Point CloudGuard CNAPP 连接器

受支持者:Check Point

CloudGuard 数据连接器允许使用 Microsoft Sentinel ™ 的无代码连接器框架将安全事件从 CloudGuard API 引入到 Microsoft Sentinel。 连接器支持基于 DCR 的引入时间转换 ,该转换将传入的安全事件数据分析为自定义列。 此预分析过程无需进行查询时分析,从而提高了数据查询的性能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CloudGuard_SecurityEvents_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • CloudGuard API 密钥:请参阅 此处 提供的说明来生成 API 密钥。

设置说明:

将 CloudGuard 安全事件连接到Microsoft Sentinel

若要为Microsoft Sentinel启用 CloudGuard 连接器,请在下方输入所需信息,然后选择“连接”。

  • API 密钥 ID: (api_key)
  • API 密钥机密: (api_secret)
  • CloudGuard 终结点 URL: (例如 https://api.dome9.com)
  • 筛选器:从 CloudGuard) (粘贴筛选器
  • 启用/禁用连接



通过无代码连接器框架) (Check Point Cyberint 警报连接器

支持者:Cyberint

Cyberint 是一家Check Point公司,提供Microsoft Sentinel集成来简化关键警报,并将 Infinity 外部风险管理解决方案中丰富的威胁情报引入Microsoft Sentinel。 这简化了跨系统自动同步更新跟踪票证状态的过程。 使用这种适用于Microsoft Sentinel的新集成,现有 Cyberint 和Microsoft Sentinel客户可以轻松地根据 Cyberint 的发现将日志提取到Microsoft Sentinel平台。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
argsentdc_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Check Point Cyberint API 密钥、Argos URL 和客户名称:需要连接器 API 密钥、Argos URL 和客户名称

设置说明:

将检查点 Cyberint 警报连接到Microsoft Sentinel

若要启用连接器,请提供以下所需信息,然后单击“连接”。

Argos URL - 租户 (的 Cyberint API URL,例如 https://your_tenant.cyberint.io) API 令牌 - Cyberint API 访问令牌客户名称 — 公司 (客户端) 名称与 Cyberint 实例环境关联的 名称 — 要提取的环境的逗号分隔列表。 如果为空,则提取所有环境。\n\n严重性 - 以逗号分隔的严重性列表,用于提取 (低、中、高very_high) 。 如果为空,则提取所有严重性。\n\n轮询间隔 - 轮询新警报的频率,以分钟为单位 (默认值:5) \n\n将 CSV 附件作为 JSON 包含 — 是否将 CSV 附件作为 JSON 内容包含在警报中 (默认值:false)

  • Argos URL: (https://your_tenant.cyberint.io)
  • API 令牌: (Cyberint API 访问令牌)
  • 客户名称: (公司 (与 Cyberint 实例关联的客户端) 名称)
  • 环境: (逗号分隔列表 (,例如生产、过渡) )
  • 严重性: (逗号分隔列表 (,例如低、中、高、very_high) )
  • 轮询间隔 (分钟) : (轮询频率(分钟) )
  • 将 CSV 附件作为 JSON 包含: (true 或 false)
  • 启用/禁用连接



Check Point Cyberint IOC 连接器

支持者:Cyberint

Cyberint 是一家Check Point公司,提供Microsoft Sentinel集成,以将 Infinity 外部风险管理解决方案) 到Microsoft Sentinel引入入侵指标 (IOC。 此连接器自动拉取每日 IOC 源(包括恶意 IP、域、URL 和文件哈希),并扩充了威胁上下文,例如严重性、置信度和检测到的活动。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
iocsent_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Check Point Cyberint API 密钥、Argos URL 和客户名称:需要连接器 API 密钥、Argos URL 和客户名称

设置说明:

Check Point Cyberint IOC 源连接到Microsoft Sentinel

若要启用连接器,请提供以下所需信息,然后单击“连接”。

Argos URL — 租户 (的 Cyberint API URL,例如 https://your_tenant.cyberint.io) API 令牌 — Cyberint API 访问令牌客户名称 — 公司 (客户端) 名称与 Cyberint 实例关联

  • Argos URL: (https://your-company.cyberint.io)
  • API 令牌: (API 令牌)
  • 客户名称: (公司 (与 Cyberint 实例关联的客户端) 名称)
  • 启用/禁用连接



通过 AMA 的 Cisco ASA/FTD

支持者:Microsoft Corporation

借助 Cisco ASA 防火墙连接器,可以轻松地将 Cisco ASA 日志与Microsoft Sentinel连接、查看仪表板、创建自定义警报和改进调查。 这使你可以更深入地了解组织的网络,并改进安全操作功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CommonSecurityLog

数据收集规则支持:工作区转换 DCR

先决条件:

  • 若要从非Azure VM 收集数据,必须安装并启用 Azure Arc。 了解更多

设置说明:

启用数据收集规则

Cisco ASA/FTD 事件日志仅从Linux代理收集。

  • 安装代理: <在安装时提供的变量值>

运行以下命令以安装和应用 Cisco ASA/FTD 收集器:

  • : <在安装时提供的变量值>



使用 Azure Functions) 的 Cisco Cloud Security (

支持者:Microsoft Corporation

借助适用于 Microsoft Sentinel 的 Cisco Cloud Security 解决方案,可以使用 Amazon S3 REST API 将存储在 Amazon S3 中的 Cisco 安全访问Cisco Umbrella日志引入Microsoft Sentinel。 有关详细信息,请参阅 Cisco Cloud Security 日志管理文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Cisco_Umbrella_dns_CL
Cisco_Umbrella_proxy_CL
Cisco_Umbrella_ip_CL
Cisco_Umbrella_cloudfirewall_CL
Cisco_Umbrella_firewall_CL
Cisco_Umbrella_dlp_CL
Cisco_Umbrella_ravpnlogs_CL
Cisco_Umbrella_audit_CL
Cisco_Umbrella_ztna_CL
Cisco_Umbrella_intrusion_CL
Cisco_Umbrella_ztaflow_CL
Cisco_Umbrella_fileevent_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Amazon S3 REST API 凭据/权限:Amazon S3 REST API 需要 AWS 访问密钥 IDAWS 机密访问密钥、AWS S3 存储桶名称

设置说明:

注意:此连接器使用 Azure Functions 连接到 Amazon S3 REST API,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

注意: 此连接器已更新为支持 Cisco Cloud Security 日志架构版本 14。

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure Functions 应用配合使用。

注意:此连接器使用基于 Kusto 函数分析程序来规范化字段。 按照以下步骤 创建 Kusto 函数别名Cisco_Umbrella。

步骤 1 - 配置 Cisco Cloud Security 日志集合

请参阅文档 并按照说明设置日志记录和获取凭据。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的Azure Functions

重要: 在部署 Cisco Cloud Security 数据连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的 Amazon S3 REST API 授权凭据。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署 Cisco Cloud Security 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID、工作区密钥、S3Bucket、AWSAccessKeyId、AWSSecretAccessKey 注意: 对于 S3Bucket,请使用 Cisco 引用的值作为 S3 存储桶数据路径 ,并在值末尾添加/ (正斜杠)

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Cisco Cloud Security 数据连接器。

步骤 1 - 部署函数应用

注意:你需要为Azure Functions开发准备 VS 代码

  1. 下载Azure Functions应用文件。 将存档提取到本地开发计算机。
  2. 按照函数应用手动部署说明使用 VSCode 部署 Azure Functions 应用。
  3. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。
  2. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  3. 分别添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :WorkspaceID WorkspaceKeyKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (可选)
  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



使用弹性高级计划) (使用 Azure Functions) 的 Cisco Cloud Security (

支持者:Microsoft Corporation

Cisco Umbrella 数据连接器提供使用 Amazon S3 REST API 将存储在 Amazon S3 中的 Cisco Umbrella 事件引入Microsoft Sentinel的功能。 有关详细信息,请参阅 Cisco Umbrella 日志管理文档

注意:此数据连接器使用 Azure Functions Premium 计划来实现安全引入功能,并会产生额外的成本。 此处提供了更多定价详细信息。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Cisco_Umbrella_dns_CL
Cisco_Umbrella_proxy_CL
Cisco_Umbrella_ip_CL
Cisco_Umbrella_cloudfirewall_CL
Cisco_Umbrella_firewall_CL
Cisco_Umbrella_dlp_CL
Cisco_Umbrella_ravpnlogs_CL
Cisco_Umbrella_audit_CL
Cisco_Umbrella_ztna_CL
Cisco_Umbrella_intrusion_CL
Cisco_Umbrella_ztaflow_CL
Cisco_Umbrella_fileevent_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Amazon S3 REST API 凭据/权限:Amazon S3 REST API 需要 AWS 访问密钥 IDAWS 机密访问密钥、AWS S3 存储桶名称
  • 虚拟网络权限 (专用访问) :对于专用存储帐户访问,需要对虚拟网络和子网具有网络参与者权限。 必须将子网委托给 Microsoft.Web/serverFarms ,以便进行 Function App VNet 集成。

设置说明:

注意:此连接器使用 Azure Functions 连接到 Amazon S3 REST API,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

注意: 此连接器已更新为支持 cisco umbrella 日志架构版本 14。

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure Functions 应用配合使用。

注意:此连接器使用基于 Kusto 函数分析程序来规范化字段。 按照以下步骤 创建 Kusto 函数别名Cisco_Umbrella。

步骤 1 - 专用访问的网络先决条件

重要: 使用专用存储帐户访问权限进行部署时,请确保满足以下网络先决条件:

  • 虚拟网络:现有虚拟网络 (VNet) 必须可用
  • 子网:VNet 中的专用子网必须委托给 Microsoft.Web/serverFarms 进行 Function App VNet 集成
  • 子网委派:使用 Azure 门户、ARM 模板或 Azure CLI 配置子网委派:
    • Azure门户:转到“虚拟网络”→选择 VNet →子网→选择子网→委托子网→选择“Microsoft.Web/serverFarms
    • Azure CLI:az network vnet subnet update --resource-group <rg-name> --vnet-name <vnet-name> --name <subnet-name> --delegations Microsoft.Web/serverFarms
  • 专用终结点:部署将为同一子网中的存储帐户服务 (blob、文件、队列、表) 创建专用终结点

步骤 2 - 配置 Cisco Umbrella 日志集合

请参阅文档 并按照说明设置日志记录和获取凭据。

步骤 3 - 从以下两个部署选项中选择一个来部署连接器和关联的Azure Functions

重要: 在部署 Cisco Umbrella 数据连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的 Amazon S3 REST API 授权凭据。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署 Cisco Umbrella 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID、工作区密钥、S3Bucket、AWSAccessKeyId、AWSSecretAccessKey

  4. 对于专用访问部署:另请输入 existingVnetName、existingVnetResourceGroupName 和 existingSubnetName (确保将子网委托给 Microsoft.Web/serverFarms) 注意: 对于 S3Bucket,请使用 Cisco 引用的值作为 S3 Bucket 数据路径 ,并在值末尾添加/ (正斜杠)

  5. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  6. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Cisco Umbrella 数据连接器。

步骤 1 - 部署函数应用

注意:你需要为Azure Functions开发准备 VS 代码

  1. 下载Azure Functions应用文件。 将存档提取到本地开发计算机。
  2. 按照函数应用手动部署说明使用 VSCode 部署 Azure Functions 应用。
  3. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。
  2. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  3. 分别添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :WorkspaceID WorkspaceKeyKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (可选)
  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



使用 Azure Functions) 的 Cisco Duo 安全 (

支持者:Cisco Systems

Cisco Duo 安全数据连接器提供使用 Cisco Duo 管理员 API 将身份验证日志管理员日志电话日志脱机注册日志信任监视器事件引入Microsoft Sentinel的功能。 有关详细信息,请参阅 API 文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CiscoDuo_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Cisco Duo API 凭据:Cisco Duo API 需要具有权限的 Cisco Duo API 凭据 授予读取日志 。 请参阅 文档 ,详细了解如何创建 Cisco Duo API 凭据。

设置说明:

注意:此连接器使用 Azure Functions 连接到 Cisco Duo API,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意:此数据连接器依赖于基于 Kusto 函数的分析程序,以按预期方式使用 Microsoft Sentinel 解决方案部署的 CiscoDuo

步骤 1 - 获取 Cisco Duo 管理员 API 凭据

  1. 按照说明获取集成密钥、密钥和 API 主机名。在说明的第 4 步中使用授予读取日志权限。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要:在部署数据连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的Azure Blob 存储 连接字符串和容器名称。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM 模板自动部署数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 Cisco Duo 集成密钥、Cisco Duo 密钥、Cisco Duo API 主机名、Cisco Duo 日志类型Microsoft Sentinel工作区 ID Microsoft Sentinel共享密钥

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。
  2. 按照函数应用手动部署说明使用 VSCode 部署 Azure Functions 应用。
  3. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。
  2. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  3. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:CISCO_DUO_INTEGRATION_KEY CISCO_DUO_SECRET_KEY CISCO_DUO_API_HOSTNAME CISCO_DUO_LOG_TYPES WORKSPACE_ID SHARED_KEY logAnalyticsUri (可选)
  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://WORKSPACE_ID.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



使用 Azure Functions) 的 Cisco ETD (

受支持者:N/A

连接器从 ETD API 提取数据进行威胁分析

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CiscoETD_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Email威胁防御 API、API 密钥、客户端 ID 和机密:确保具有 API 密钥、客户端 ID 和密钥。

设置说明:

注意:此连接器使用 Azure Functions 连接到 ETD API,将其日志拉取到Microsoft Sentinel。

按照部署步骤部署连接器和关联的 Azure 函数

重要: 在部署 ETD 数据连接器之前,请从以下) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM 模板自动部署 Cisco ETD 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“区域”。

  3. 输入 WorkspaceID、SharedKey、ClientID、ClientSecret、ApiKey、Verdicts、ETD 区域

  4. 单击“ 创建 ”进行部署。



使用 REST API 的 Cisco Meraki ()

支持者:Microsoft Corporation

借助 Cisco Meraki 连接器,可以轻松地将 Cisco Meraki 组织事件 (安全事件、配置更改和 API 请求) 连接到Microsoft Sentinel。 数据连接器使用 Cisco Meraki REST API 提取日志,并支持基于 DCR 的 引入时间转换 ,该转换将接收的数据和引入到 Log Analytics 工作区中的 ASIM 和自定义表中。 此数据连接器受益于基于 DCR 的引入时间筛选、数据规范化等功能。

支持的 ASIM 架构:

  1. 网络会话
  2. Web 会话
  3. 审核事件

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ASimNetworkSessionLogs

数据收集规则支持:工作区转换 DCR

先决条件:

  • Cisco Meraki REST API 密钥:在 Cisco Meraki 中启用 API 访问并生成 API 密钥。 有关详细信息,请参阅 Cisco Meraki 官方 文档
  • Cisco Meraki 组织 ID:获取 Cisco Meraki 组织 ID 以提取安全事件。 按照 文档中 的步骤,使用在上一步中获取的 Meraki API 密钥获取组织 ID。

设置说明:

将 Cisco Meraki 事件连接到Microsoft Sentinel

目前,此连接器允许从以下 Cisco Meraki REST API 终结点引入事件:

  1. 获取组织设备安全事件 此连接器将 IDS 警报事件分析为 ASimNetworkSessionLogs 表,将文件扫描 事件分析到 ASimWebSessionLogs 表中。
  2. 获取组织 API 请求 此连接器将事件分析到 ASimWebSessionLogs 表中。
  3. 获取组织配置更改 此连接器将事件分析到 ASimAuditEventLogs 表中。
  • 组织 ID: (OrganizationId)
  • API 密钥: (ApiKey)
  • 启用/禁用连接



通过无代码连接器框架 (Cisco Secure Endpoint)

支持者:Microsoft Corporation

Cisco Secure Endpoint (以前是 AMP for Endpoints) 数据连接器,可提供将 Cisco Secure Endpoint 审核日志事件引入Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CiscoSecureEndpointAuditLogsV2_CL
CiscoSecureEndpointEventsV2_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Cisco 安全终结点 API 凭据/区域:若要创建 API 凭据并了解区域,请按照此处提供的文档链接操作。 单击此处

设置说明:

将 Cisco Secure Endpoint 连接到Microsoft Sentinel

若要将数据从 Cisco Secure Endpoint 引入到Microsoft Sentinel,必须单击下面的“添加帐户”按钮,然后弹出一个弹出窗口来填写Email、组织、客户端 ID、API 密钥和区域等详细信息,提供所需的信息并单击“连接”。 可以在以下网格中看到连接的组织/电子邮件。

  • 数据连接器网格 (门户中配置)



Cisco 软件定义的 WAN

支持者:Cisco Systems

Cisco 软件定义的 WAN (SD-WAN) 数据连接器提供将 Cisco SD-WAN Syslog 和 Netflow 数据引入Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Syslog
CiscoSDWANNetflow_CL

数据收集规则支持:工作区转换 DCR

设置说明:

若要将 Cisco SD-WAN Syslog 和 Netflow 数据引入Microsoft Sentinel请执行以下步骤。

1. 将 Syslog 数据引入到 Microsoft sentinel 的步骤

Azure Monitor 代理将用于将 syslog 数据收集到 Microsoft sentinel 中。 为此,首先需要为 VM 创建一个 azure arc 服务器,将从中发送 syslog 数据。

1.1 添加Azure Arc Server 的步骤

  1. 在Azure 门户中,转到“服务器 - Azure Arc”,然后单击“添加”。
  2. 选择“添加单一服务器”部分下的“生成脚本”。 用户还可以为多个服务器生成脚本。
  3. 查看“先决条件”页上的信息,然后选择“下一步”。
  4. 在“资源详细信息”页上,提供Microsoft Sentinel、区域、操作系统和连接方法的订阅和资源组。 然后选择“下一步”。
  5. 在“标记”页上,查看建议的默认物理位置标记并输入一个值,或指定一个或多个自定义标记来支持你的标准。 然后选择“下一步”
  6. 选择“下载”以保存脚本文件。
  7. 生成脚本后,下一步是在要加入到 Arc Azure 服务器上运行脚本。
  8. 如果已Azure VM,请遵循链接中提到的步骤,然后再运行脚本。
  9. 通过以下命令运行脚本: ./<ScriptName>.sh
  10. 安装代理并将其配置为连接到Azure已启用 Arc 的服务器后,请转到Azure 门户验证服务器是否已成功连接。 在Azure 门户中查看计算机。 参考链接:/azure/azure-arc/servers/learn/quick-enable-hybrid-vm

1.2 (DCR) 创建数据收集规则的步骤

  1. 在Azure门户中,搜索“监视器”。 在“设置”下,选择“数据收集规则”,然后选择“创建”。
  2. 在“基本信息”面板中,输入“规则名称”、“订阅”、“资源组”、“区域”和“平台类型”。
  3. 选择“下一步:资源”。
  4. 选择“添加资源”。使用筛选器查找用于收集日志的虚拟机。
  5. 选择虚拟机。 选择“应用”。
  6. 选择“下一步:收集和交付”。
  7. 选择“添加数据源”。 对于“数据源类型”,请选择“Linux syslog”。
  8. 对于“最低日志级别”,请将默认值保留LOG_DEBUG。
  9. 选择“下一步:目标”。
  10. 选择“添加目标”并添加“目标类型”、“订阅”和“帐户或命名空间”。
  11. 选择“添加数据源”。 选择“下一步:查看 + 创建”。
  12. 选择“创建”。 等待 20 分钟。 在 Microsoft Sentinel 或 Azure Monitor 中,验证 Azure Monitor 代理是否在 VM 上运行。 参考链接:/azure/sentinel/forward-syslog-monitor-agent

2. 将 Netflow 数据引入到 Microsoft sentinel 的步骤

若要将 Netflow 数据引入到 Microsoft sentinel 中,需要在 VM 上安装并配置 Filebeat 和 Logstash。 配置后,vm 将能够在配置的端口上接收净流数据,并将该数据引入到 Microsoft sentinel 的工作区中。

2.1 安装 filebeat 和 logstash

  1. 有关使用 apt 安装 filebeat 和 logstash 的信息,请参阅此文档:
  2. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html
  3. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html
  4. 若要安装 filebeat 和 logstash for RedHat,Linux (yum) 步骤如下:
  5. Filebeat: https://www.elastic.co/guide/en/beats/filebeat/current/setup-repositories.html#_yum
  6. Logstash: https://www.elastic.co/guide/en/logstash/current/installing-logstash.html#_yum

2.2 配置 Filebeat 以将事件发送到 Logstash

  1. 编辑filebeat.yml文件: vi /etc/filebeat/filebeat.yml
  2. 注释掉 Elasticsearch 输出部分。
  3. uncomment Logstash Output 部分 (仅取消注释这两行) - output.logstash 主机:[“localhost:5044”]
  4. 在“Logstash 输出”部分中,如果要发送默认端口(即 5044 端口)以外的数据,请替换“主机”字段中的端口号。 (注意:配置 logstash.) 时,应将此端口添加到 conf 文件中
  5. 在“filebeat.inputs”部分注释掉现有配置并添加以下配置:- 类型:netflow max_message_size:10KiB 主机:“0.0.0.0:2055”协议: [ v5, v9, ipfix ] expiration_timeout: 30m queue_size: 8192 custom_definitions:
  • /etc/filebeat/custom.yml detect_sequence_reset: true enabled: true
  1. 在“文件信号输入”部分中,如果要接收默认端口(即 2055 端口)以外的数据,请替换主机字段中的端口号。
  2. 将提供的 custom.yml 文件添加到 /etc/filebeat/ 目录中。
  3. 在防火墙中打开 filebeat 输入和输出端口。
  4. 运行命令: firewall-cmd --zone=public --permanent --add-port=2055/udp
  5. 运行命令: firewall-cmd --zone=public --permanent --add-port=5044/udp

注意:如果为 filebeat 输入/输出添加了自定义端口,请在防火墙中打开该端口。

2.3 配置 Logstash 以将事件发送到Microsoft Sentinel

  1. 安装 Azure Log Analytics 插件:
  2. 运行命令: sudo /usr/share/logstash/bin/logstash-plugin install microsoft-logstash-output-azure-loganalytics
  3. 将 Log Analytics 工作区密钥存储在 Logstash 密钥存储中。 工作区密钥可在 Azure 门户中的 Log Analytic 工作区>下选择工作区>,在“设置”下选择“代理 > Log Analytics 代理说明”。
  4. 复制主密钥并运行以下命令:
  5. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash create LogAnalyticsKey
  6. sudo /usr/share/logstash/bin/logstash-keystore --path.settings /etc/logstash add LogAnalyticsKey
  7. 创建配置文件 /etc/logstash/cisco-netflow-to-sentinel.conf: input { beats { port =><port_number> # (输入在 filebeat 配置期间配置的输出端口号,例如 filebeat.yml文件 .) } } output { microsoft-logstash-output-azure-loganalytics { workspace_id => “<workspace_id>” workspace_key => “${LogAnalyticsKey}” custom_log_table_name => “CiscoSDWANNetflow” } }

注意:如果Microsoft sentinel 中不存在表,则它将在 sentinel 中创建一个新表。

2.4 运行 Filebeat:

  1. 打开终端并运行 命令: systemctl start filebeat
  2. 此命令将在后台开始运行 filebeat。 若要查看日志,请停止 (systemctl stop filebeat) 运行以下命令: filebeat run -e

2.5 运行 Logstash:

  1. 在另一个终端中,运行 命令: /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf &
  2. 此命令将在后台开始运行 logstash。 若要查看 logstash 的日志,请终止上述进程并运行以下命令: /usr/share/logstash/bin/logstash --path.settings /etc/logstash -f /etc/logstash/cisco-netflow-to-sentinel.conf



Claroty xDome

受支持者:xDome 客户支持

Claroty xDome 为医疗保健和工业网络环境提供全面的安全和警报管理功能。 它旨在映射多个源类型、标识收集的数据,并将其集成到Microsoft Sentinel数据模型中。 这样可以在一个位置监视医疗保健和工业环境中的所有潜在威胁,从而提供更有效的安全监视和更强大的安全态势。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CommonSecurityLog

数据收集规则支持:工作区转换 DCR

设置说明:

1. Linux Syslog 代理配置

安装和配置 Linux 代理,以收集 CEF) Syslog 消息 (通用事件格式,并将其转发到 Microsoft Sentinel。

请注意,来自所有区域的数据将存储在所选工作区中

1.1 选择或创建Linux计算机

选择或创建Linux计算机,Microsoft Sentinel将用作安全解决方案之间的代理,Microsoft Sentinel此计算机可以位于本地环境、Azure或其他云中。

1.2 在Linux计算机上安装 CEF 收集器

在 Linux 计算机上安装 Microsoft Monitoring Agent,并将计算机配置为侦听必要的端口并将消息转发到 Microsoft Sentinel 工作区。 CEF 收集器在端口 514 TCP 上收集 CEF 消息。

  1. 使用以下命令确保计算机上具有 Python:python --version。

  2. 必须在计算机上具有提升的权限 (sudo) 。

  • 运行以下命令以安装和应用 CEF 收集器:: <在安装时提供的变量值>

2. 将通用事件格式 (CEF) 日志转发到 Syslog 代理

配置 Claroty xDome - Microsoft Sentinel集成,以收集通用事件格式 (CEF) Syslog 消息,并将其转发到Microsoft Sentinel。

3.验证连接

按照说明验证连接性:

打开 Log Analytics 以检查是否使用 CommonSecurityLog 架构收到日志。

连接可能需要大约 20 分钟才能将数据流式传输到工作区。

如果未收到日志,请运行以下连接验证脚本:

  1. 使用以下命令确保计算机上具有 Python:python --version

  2. 必须在计算机上具有提升的权限 (sudo)

  • 运行以下命令以验证连接性:: <在安装时提供的变量值>

**4. 保护计算机 **

确保根据组织的安全策略配置计算机的安全性

了解更多信息 >



使用 Azure Functions) 的 Cloudflare (预览版) (

支持者:Cloudflare

Cloudflare 数据连接器提供使用 Cloudflare Logpush 和Azure Blob 存储将 Cloudflare 日志引入Microsoft Sentinel的功能。 有关详细信息,请参阅 Cloudflare 文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Cloudflare_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Azure Blob 存储 连接字符串和容器名称:cloudflare Logpush 将日志推送到的Azure Blob 存储 连接字符串和容器名称。 有关详细信息,请参阅创建Azure Blob 存储容器。

设置说明:

注意:此连接器使用 Azure Functions 连接到 Azure Blob 存储 API,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本,以及将数据存储在Azure Blob 存储成本中。 有关详细信息,请查看Azure Functions定价页Azure Blob 存储定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意:此数据连接器依赖于基于 Kusto 函数的分析程序,以按预期方式使用 Microsoft Sentinel 解决方案部署的 Cloudflare

步骤 1 - Cloudflare Logpush 的配置

请参阅将 Cloudflare Logpush 设置为 Microsoft Azure 的文档

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要:在部署 Cloudflare 数据连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的Azure Blob 存储 连接字符串和容器名称。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM 模板自动部署 Cloudflare 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入Azure Blob 存储容器名称、Azure Blob 存储连接字符串、Microsoft Sentinel工作区 ID Microsoft Sentinel共享密钥

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Cloudflare 数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 CloudflareXX) 。

    e. 选择运行时: 选择“Python 3.8”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。

  11. 单独添加以下每个应用程序设置, (区分大小写) 各自的字符串值:CONTAINER_NAME AZURE_STORAGE_CONNECTION_STRING WORKSPACE_ID SHARED_KEY logAnalyticsUri (可选)

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://WORKSPACE_ID.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



Cloudflare (通过无代码连接器框架使用 Blob 容器) ()

支持者:Cloudflare

Cloudflare 数据连接器提供使用 Cloudflare Logpush 和Azure Blob 存储将 Cloudflare 日志引入Microsoft Sentinel的功能。 有关详细信息,请参阅 Cloudflare 文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CloudflareV2_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • 创建存储帐户和容器:在 Cloudflare 中设置 logpush 之前,请先在 Microsoft Azure 中创建存储帐户和容器。 使用 本指南 详细了解容器和 Blob。 按照文档中的步骤创建Azure存储帐户。
  • 生成 Blob SAS URL:需要创建和写入权限。 有关 Blob SAS 令牌和 URL 的详细信息,请参阅 文档
  • 将日志从 Cloudflare 收集到 Blob 容器:按照 文档中 的步骤将日志从 Cloudflare 收集到 Blob 容器。

设置说明:

将 Cloudflare 日志连接到Microsoft Sentinel

若要为Microsoft Sentinel启用 Cloudflare 日志,请在下面提供所需的信息,然后单击“连接”。

  • 要从中收集数据的 Blob 容器的 URL
  • Blob 容器的存储帐户资源组名称
  • Blob 容器的存储帐户位置
  • Blob 容器的存储帐户订阅 ID
  • Blob 容器的存储帐户的事件网格主题名称(如果存在)。 else 保留为空。:
  • 启用/禁用连接



Cognni

支持者:Cognni

Cognni 连接器提供与Microsoft Sentinel的快速简单集成。 可以使用 Cognni 自动映射以前未分类的重要信息并检测相关事件。 这使你可以识别重要信息的风险,了解事件的严重性,并调查需要修正的详细信息,速度足够快,以有所作为。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CognniIncidents_CL

数据收集规则支持:工作区转换 DCR

设置说明:

连接到 Cognni

  1. 转到 Cognni 集成页
  2. 单击Microsoft Sentinel”框中的“连接”
  3. “workspaceId”和“sharedKey” (从下面的) 复制并粘贴到 Cognni 集成屏幕上的相关字段
  4. 单击 “连接” 机器人完成配置。
    很快,所有 Cognni 检测到的事件都将转发到此处, (转发到Microsoft Sentinel)

不是 Cognni 用户? 加入我们

  • 工作区 ID: <在安装时提供的变量值>
  • 共享密钥: <在安装时提供的变量值>



使用 Azure Functions) 的一致 (

支持者:Cohesity

Cohesity 函数应用提供将 Cohesity Datahawk 勒索软件警报引入Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Cohesity_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Azure Blob 存储 连接字符串和容器名称:Azure Blob 存储 连接字符串和容器名称

设置说明:

注意:此连接器使用连接到 Azure Blob 存储 和 KeyVault 的Azure Functions。 这可能会导致额外的成本。 有关详细信息,请查看Azure Functions定价页Azure Blob 存储定价页Azure KeyVault 定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - 获取 Cohesity DataHawk API 密钥 (请参阅故障排除 说明 1)

步骤 2 -) 注册Azure应用 (链接,) 保存应用程序 (客户端) ID、目录 (租户) ID 和机密值 (说明。 Azure存储 (user_impersonation) 权限授予它。 此外,将“Microsoft Sentinel参与者”角色分配给相应订阅中的应用程序。

步骤 3 - 部署连接器和关联的Azure Functions

Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM 模板自动部署一致数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入在前面步骤中创建的参数

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。



CommvaultSecurityIQ

支持者:Commvault

此Azure函数使 Commvault 用户能够将警报/事件引入其Microsoft Sentinel实例。 使用分析规则,Microsoft Sentinel可以从传入事件和日志自动创建Microsoft Sentinel事件。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CommvaultAlerts_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Commvault 环境终结点 URL:请确保遵循文档并在 KeyVault 中设置机密值
  • Commvault QSDK 令牌:请确保遵循文档并在 KeyVault 中设置机密值

设置说明:

注意:此连接器使用 Azure Functions 连接到 Commvault 实例,以将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

将工作区和 API 授权密钥 () 或令牌 () 安全地存储在 Azure 密钥保管库 中。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - Commvalut QSDK 令牌的配置步骤

按照这些说明 创建 API 令牌。

步骤 2 - 部署连接器和关联的Azure函数

重要: 在部署 CommvaultSecurityIQ 数据连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的 Commvault 终结点 URL 和 QSDK 令牌。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

Azure 资源管理器 (ARM) 模板

使用此方法自动部署 Commvault Security IQ 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“区域”。

  3. 输入 工作区 ID、工作区密钥 “和/或其他必填字段”,然后单击“下一步”。

  4. 单击“ 创建 ”进行部署。



对比度 ADR 推送连接器

受支持者:Contrast Security

Contrast Security 连接器提供将来自对比度应用程序检测和响应 (ADR) 的攻击事件和事件引入Microsoft Sentinel的功能。 此连接器使用 OAuth 身份验证通过 Webhook 推送机制接收数据。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ContrastADRAttackEvents_CL
ContrastADRIncidents_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft Entra:如果使用自动创建的应用) ,则有权在 Microsoft Entra ID (中创建应用注册。 通常需要应用程序开发人员角色或更高版本。
  • Microsoft Azure: (DCE、DCR、表) 和分配 RBAC 角色创建和配置Azure资源的权限。 通常需要参与者和用户访问管理员角色。
  • Contrast ADR Webhook 访问:访问 Contrast ADR 平台,以使用 OAuth 身份验证设置配置 Webhook。

设置说明:

1.部署连接器资源

部署对比度 ADR 数据引入所需的Azure资源。

选择部署选项

根据要求选择以下部署选项之一:

单击“ 部署对比度 ADR CCF 连接器 ”将自动创建:

  • 数据收集终结点 (DCE)
  • 数据收集规则 (DCR) ,其中包含攻击事件和事件的流
  • Log Analytics 表 (ContrastADRAttackEvents_CL 和ContrastADRIncidents_CL)
  • 使用 OAuth 凭据Microsoft Entra应用程序
  • DCR 上的角色分配 (监视指标发布者)

部署后: 下面将自动填充 (租户 ID、客户端 ID、客户端密码、DCE URI、DCR 不可变 ID) 的所有配置值,以便轻松复制粘贴到 Contrast 平台。

选项 B:使用预先存在的 Microsoft Entra 应用程序 (BYOA)

单击“ 部署对比度 ADR CCF 连接器 ”将创建:

  • 数据收集终结点 (DCE)
  • 数据收集规则 (DCR) ,其中包含攻击事件和事件的流
  • Log Analytics 表 (ContrastADRAttackEvents_CL 和ContrastADRIncidents_CL)
  • Microsoft Entra应用程序 (可以忽略此)

何时使用:如果你有出于安全性或合规性原因而想要重复使用的现有Entra应用。 需要执行其他步骤:

  1. 部署后,在创建的 DCR 上手动为预先存在的 Entra 应用的服务主体分配监视指标发布者角色
  2. 使用自己的Entra应用的客户端 ID 和客户端密码 (忽略以下自动生成)
  3. 在对比度 Webhook 配置中使用下面的 DCE URI 和 DCR 不可变 ID

单击“部署”开始:

2.配置对比度 ADR Webhook

复制以下值以在 Contrast ADR 平台中配置Microsoft Sentinel集成。

对于选项 A (自动创建的Entra应用) :使用以下所有自动填充的值。 对于选项 B (预先存在的Entra应用) : 使用 DCE URI、DCR 不可变 ID 和以下Stream名称,但使用自己的Entra应用的租户 ID、客户端 ID 和客户端密码。

Azure配置值:

  • 租户 ID: <在安装时提供的变量值>
  • 应用程序 (客户端) ID: <在安装时提供的变量值>
  • 客户端密码: <在安装时提供的变量值>
  • 数据收集终结点 (DCE) URI: <在安装时提供的变量值>
  • 数据收集规则 (DCR) 不可变 ID: <在安装时提供的变量值>
  • 攻击事件Stream名称:<在安装时提供的变量值>
  • 事件Stream名称:<在安装时提供的变量值>

在对比度中配置 ADR 平台

  1. 登录到 对比度 ADR 平台
  2. 导航到“管理>集成>Microsoft Sentinel
  3. 复制并粘贴上述所有配置值:
    • 租户 ID
    • 应用程序 (客户端) ID
    • 客户端密码
    • 数据收集终结点 (DCE) URI
    • 数据收集规则 (DCR) 不可变 ID
    • 攻击事件Stream名称
    • 事件Stream名称
  4. 单击“ 保存” 完成集成

Contrast 平台将使用这些值自动配置 OAuth 身份验证和数据终结点。

3.验证数据引入

验证数据是否从对比度 ADR 流向Microsoft Sentinel。

验证步骤

  1. 在对比度 ADR 中触发测试攻击事件
  2. 等待 5-10 分钟,数据显示在Microsoft Sentinel
  3. 运行以下查询以验证攻击事件:
ContrastADRAttackEvents_CL
| take 10
  1. 验证事件数据:
ContrastADRIncidents_CL
| take 10
  1. 检查连接性:
ContrastADRAttackEvents_CL
| summarize LastLogReceived = max(TimeGenerated)
| project IsConnected = LastLogReceived > ago(7d)

如果出现数据并且 IsConnected 返回 true,则连接器配置正确!



Corelight 连接器导出程序

支持者:Corelight

Corelight 数据连接器使使用Microsoft Sentinel的事件响应者和威胁搜寻者能够更快、更高效地工作。 数据连接器允许通过 Corelight Sensors 将来自 ZeekSuricata 的事件引入到Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Corelight

数据收集规则支持: 当前不支持

设置说明:

注意:此数据连接器依赖于基于 Kusto 函数的分析程序,以便与 Microsoft Sentinel 解决方案一起部署的 Corelight 按预期工作。

1.获取文件

请联系 TAM、SE 或 info@corelight.com 以获取Microsoft Sentinel集成所需的文件。

2. 重播示例数据。

重播示例数据以在 Log Analytics 工作区中创建所需的表。

  • 每个 Log Analytics 工作区只需发送一次示例数据 () : <在安装时提供的变量值>

3. 安装自定义导出程序。

安装自定义导出程序或 logstash 容器。

4.将 Corelight 传感器配置为将日志发送到 Azure Log Analytics 代理。

使用以下值,将 Corelight 传感器配置为使用 Microsoft Sentinel 导出程序。 或者,可以使用这些值配置 logstash 容器,并将传感器配置为通过 TCP 将 JSON 发送到相应端口上的该容器。

  • 工作区 ID: <在安装时提供的变量值>
  • 主工作区键: <在安装时提供的变量值>



Cortex XDR - 事件

支持者:DEFEND Ltd.

来自 DEFEND 的自定义数据连接器,利用 Cortex API 将事件从 Cortex XDR 平台引入到 Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CortexXDR_Incidents_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Cortex API 凭据:REST API 需要 Cortex API 令牌 。 有关详细信息,请参阅 API。 检查所有要求,并按照获取凭据的说明进行操作。

设置说明:

启用 Cortex XDR API

通过 Cortex API 将 Cortex XDR 连接到Microsoft Sentinel,以处理 Cortex 事件。



可立床

支持者:Cribl

利用“大单) ”连接器,可以轻松地将把 (Enterprise Edition) 日志与Microsoft Sentinel连接起来。 这让你能够更深入地了解组织的数据管道。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CriblInternal_CL

数据收集规则支持: 当前不支持

设置说明:

适用于Microsoft Sentinel的“小Stream的安装和设置说明

使用此 Github 存储库中的文档,并使用 Stream 配置

https://docs.cribl.io/stream/usecase-azure-workspace/



CrowdStrike API 数据连接器通过无代码连接器框架 ()

支持者:Microsoft Corporation

CrowdStrike 数据连接器允许将日志从 CrowdStrike API 引入Microsoft Sentinel。 此连接器提供将 CrowdStrike 警报检测主机案例漏洞引入Microsoft Sentinel的功能。 此连接器基于Microsoft Sentinel无代码连接器框架构建,并使用 CrowdStrike API 提取日志。 它支持基于 DCR 的引入时间转换,以便查询可以更高效地运行。 有关详细信息,请参阅 CrowdStrike API 文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CrowdStrikeAlerts

数据收集规则支持:工作区转换 DCR

先决条件:

  • Crowdstrike OAuth2 API 客户端和范围警报API 集成应用日志案例关联规则检测主机资产事件隔离Files漏洞是 REST API 所必需的。 有关详细信息,请参阅 API

设置说明:

将 CrowdStrike 连接到 Microsoft Sentinel

注意: 重要通知: 事件 API 已完全停用。 请改用新的 Cases 数据类型。

若要从 CrowdStrike 收集数据,需要提供以下资源

1. 基本 API URL - 若要从 CrowdStrike 收集数据,需要基本 API URL。

2.客户端 ID - 若要从 CrowdStrike 收集数据,需要客户端 ID。

3.客户端密码 - 若要从 CrowdStrike 收集数据,需要客户端密码。

有关检索基本 API URL、客户端 ID 和客户端密码的详细说明,请参阅 连接器教程

  • 数据连接器网格 (门户中配置)

成功连接) 后查询检测 (

引入日志后, CrowdStrikeDetections 表包含按 aggregate_id分组的单个警报记录。 若要查看真正的检测级别行为,请使用以下 KQL 查询按检测组聚合警报:

CrowdStrikeDetections
| summarize
  AlertCount = count(),
  FirstSeen = min(CreatedTimestamp),
  LastSeen = max(CreatedTimestamp),
  MaxSeverity = max(Severity)
by AggregateId



使用 Azure Functions) 的 CrowdStrike 猎鹰对手情报 (

支持者:Microsoft Corporation

CrowdStrike Falcon 指标泄露连接器从 Falcon Intel API 检索入侵指标,并将其上传到威胁 Intel Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ThreatIntelIndicators

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • CrowdStrike API 客户端 ID 和客户端密码CROWDSTRIKE_CLIENT_IDCROWDSTRIKE_CLIENT_SECRET、CROWDSTRIKE_BASE_URL。 CrowdStrike 凭据必须具有指示符 (Falcon Intelligence) 读取范围。

设置说明:

步骤 1 - 生成 CrowdStrike API 凭据

确保“猎鹰智能) (指标”范围已选中“读取”

步骤 2 - 使用客户端密码注册Entra应用

为Entra应用主体提供相应的 log Analytics 工作区上的“Microsoft Sentinel参与者”角色分配。 如何在Azure上分配角色

步骤 3 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 CrowdStrike Falcon 指示符入侵连接器之前,请从以下) 复制工作区 ID (。

  • 工作区 ID: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署 CrowdStrike Falcon Adversary Intelligence 连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 提供以下参数:CrowdStrikeClientId、CrowdStrikeClientSecret、CrowdStrikeBaseUrl、WorkspaceId、TenantId、Indicators、AadClientId、AadClientSecret、LookBackDays

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 手动部署 CrowdStrike Falcon 攻击者智能连接器Azure Functions (部署。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 CrowdStrikeFalconIOCXXXXX) 。

    e. 选择运行时: 选择“Python 3.12”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :CROWDSTRIKE_CLIENT_ID CROWDSTRIKE_CLIENT_SECRET CROWDSTRIKE_BASE_URL TENANT_ID INDICATORS WorkspaceKey AAD_CLIENT_ID AAD_CLIENT_SECRET LOOK_BACK_DAYS WORKSPACE_ID

  12. 输入所有应用程序设置后,单击“ 保存”。



CrowdStrike Falcon 数据复制器通过无代码连接器框架 (AWS S3) ()

支持者:Microsoft Corporation

Crowdstrike Falcon Data Replicator (S3) 连接器提供从流式传输 FDR 日志的 AWS S3 存储桶中引入 FDR 事件数据以Microsoft Sentinel的功能。 连接器提供从 Falcon 代理获取事件的功能,这有助于检查潜在的安全风险、分析团队对协作的使用情况、诊断配置问题等。

注意:

1. CrowdStrike FDR 许可证必须可用 & 启用。

2.连接器需要在 AWS 上配置 IAM 角色,以允许访问 AWS S3 存储桶,并且可能不适用于利用 CrowdStrike - 托管存储桶的环境。

3. 对于利用 CrowdStrike 托管存储桶的环境,请配置 CrowdStrike Falcon 数据复制器 (CrowdStrike-Managed AWS S3) 连接器。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CrowdStrike_Additional_Events_CL

数据收集规则支持:工作区转换 DCR

设置说明:

要求:若要使用 Falcon 数据复制器功能,需要满足以下条件:

  1. 订阅: 1.1。 Falcon 数据复制器。 1.2. Falcon Insight XDR。

  2. 角色: 2.1。 猎鹰管理员。

  3. 设置 CrowdStrike & AWS 环境 若要在 AWS 上配置访问权限,请使用提供的以下两个模板来设置 AWS 环境。 这将允许将日志从 S3 存储桶发送到 Log Analytics 工作区。

对于每个模板,请在 AWS 中创建 Stack:

  1. 转到 AWS CloudFormation Stacks
  2. 依次选择“指定模板”选项和“上传模板文件”,方法是单击“选择文件”,然后选择下面提供的相应 CloudFormation 模板文件。 单击“选择文件”,然后选择下载的模板。
  3. 单击“下一步”和“创建堆栈”。

请确保在预配 FDR 源的 Falcon CID 所在的 AWS 区域中创建存储桶。 |CrowdStrike 区域 |AWS 区域 | |-----------------|-----------| |US-1 |us-west-1 | |US-2 |us-west-2 | |EU-1 |eu-central-1

  • 模板 1:OpenID Connect 身份验证部署: <在安装时提供的变量值>
  • 模板 2:AWS CrowdStrike 资源部署: <在安装时> 提供的变量值 使用自己的 S3 存储桶 若要使用自己的 S3 存储桶,可以参考以下指南 使用自己的 S3 存储桶 或执行以下步骤:
  1. 使用以下名称创建支持案例: 对 FDR 使用自 S3 存储桶
  2. 添加以下信息:2.1。 预配 FDR 源的 Falcon CID 2.2。 指示你希望在此新的 FDR 源中提供的事件类型。 2.3. 指示你希望在此新的 FDR 源中提供的事件类型。 2.4. 请勿使用任何分区。
事件类型 S3 前缀
主要事件 数据/
辅助事件 fdrv2/
  1. 连接新收集器 若要为Microsoft Sentinel启用 AWS S3,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。
  • 数据连接器网格 (门户中配置)



CrowdStrike Falcon Data Replicator (CrowdStrike Managed AWS-S3) (using Azure Function) (using Azure Functions)

支持者:Microsoft Corporation

此连接器允许使用 Azure Functions 将 FDR 数据引入到Microsoft Sentinel,以支持对潜在安全风险的评估、协作活动分析、识别配置问题和其他操作见解。

注意:

1. CrowdStrike FDR 许可证必须可用 & 启用。

2. 连接器使用密钥 & 基于机密的身份验证,适用于 CrowdStrike 托管存储桶。

3. 对于使用完全拥有的 AWS S3 存储桶的环境,Microsoft建议使用 CrowdStrike Falcon 数据复制器 (AWS S3) 连接器。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CrowdStrikeReplicatorV2

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • SQS 和 AWS S3 帐户凭据/权限需要AWS_SECRETAWS_REGION_NAMEAWS_KEYQUEUE_URL 。 有关详细信息,请参阅 数据拉取。 若要开始,请联系 CrowdStrike 支持人员。 根据你的请求,他们将创建一个 CrowdStrike 托管的 Amazon Web Services (AWS) S3 存储桶用于短期存储目的,以及一个 SQS (简单的队列服务) 帐户来监视 S3 存储桶的更改。

设置说明:

注意:此连接器使用 Azure Functions 连接到 AWS SQS/S3,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 将 API 授权密钥 () 或令牌 () 安全地存储在 Azure 密钥保管库 中。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

先决条件

  1. 在 CrowdStrike 中配置 FDR - 必须联系 CrowdStrike 支持团队 才能启用 CrowdStrike FDR。
    • 启用 CrowdStrike FDR 后,从 CrowdStrike 控制台导航到“支持”-“> API 客户端和密钥”。
    • 需要创建新凭据才能复制 AWS 访问密钥 ID、AWS 机密访问密钥、SQS 队列 URL 和 AWS 区域。
  2. 注册 AAD 应用程序 - 若要使 DCR 通过身份验证将数据引入 Log Analytics,必须使用 AAD 应用程序。
    • 按照此处的说明 (步骤 1-5) 获取 AAD 租户 ID、AAD 客户端 ID 和 AAD 客户端密码
    • 对于此应用程序的 AAD 主体 ID,请通过 AAD 门户访问 AAD 应用,并从应用程序概述页捕获对象 ID。

Deployment Options

从以下两个部署选项中选择一个,以部署连接器和关联的 Azure 函数

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署 Crowdstrike Falcon 数据复制器连接器 V2。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 提供所需的详细信息,例如Microsoft Sentinel工作区、CrowdStrike AWS 凭据、Azure AD 应用程序详细信息和引入配置

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 建议创建新的资源组,用于部署函数应用和关联资源。 3.将标记为 “我同意上述条款和条件”的复选框。 4.单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Crowdstrike Falcon 数据复制器连接器。

  1. 部署 DCE、DCR 和自定义表以用于数据引入

  2. 使用数据收集资源 ARM 模板部署所需的 DCE、DCR () 和自定义表

  3. 成功部署 DCE 和 DCR () 后,请获取以下信息,并在Azure Functions应用部署) 期间保持 (方便。

    • DCE 日志引入 - 按照 创建数据收集终结点 (步骤 3) 中提供的说明进行操作。
    • 一个或多个 DCR 的不可变 ID (适用) - 按照 从 DCR (Stpe 2) 收集信息中提供的说明进行操作。

  4. 部署函数应用

  5. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  6. 按照函数应用手动部署说明使用 VSCode 部署 Azure Functions 应用。

  7. 成功部署函数应用后,请按照后续步骤对其进行配置。

  8. 配置函数应用

  9. 转到函数应用配置Azure门户。

  10. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  11. “应用程序设置”选项卡中,选择“新建应用程序设置”。

  12. 单独添加以下每个应用程序设置, (区分大小写的) 分别添加其各自的字符串值:AWS_KEY AWS_SECRET AWS_REGION_NAME QUEUE_URL USER_SELECTION_REQUIRE_RAW //如果需要原始数据USER_SELECTION_REQUIRE_SECONDARY //如果需要辅助数据MAX_QUEUE_MESSAGES_MAIN_QUEUE // 100 用于使用 ,则为 True,对于 Premium MAX_SCRIPT_EXEC_TIME_MINUTES 为 150 // 在此处添加值 10 AZURE_TENANT_ID AZURE_CLIENT_ID AZURE_CLIENT_SECRET DCE_INGESTION_ENDPOINT NORMALIZED_DCR_ID RAW_DATA_DCR_ID EVENT_TO_TABLE_MAPPING_LINK // github 上存在文件。 如果可以使用 Internet 访问文件,则添加REQUIRED_FIELDS_SCHEMA_LINK github 上存在 //File。 如果可以使用 Internet Schedule //将值添加为“0 */1 * * * **”来访问文件,则添加 ,以确保函数每分钟运行一次。

  13. 输入所有应用程序设置后,单击“ 保存”。



CTERA Syslog

支持者:CTERA

适用于Microsoft Sentinel的 CTERA 数据连接器为 CTERA 解决方案提供监视和威胁检测功能。 它包括一个工作簿,该工作簿可视化每个类型的所有操作、删除和拒绝访问操作的总和。 它还提供分析规则,用于检测勒索软件事件,并在用户因可疑勒索软件活动而被阻止时发出警报。 此外,它还有助于识别关键模式,例如大规模访问被拒绝事件、批量删除和批量权限更改,从而实现主动威胁管理和响应。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Syslog

数据收集规则支持:工作区转换 DCR

设置说明:

步骤 1:将 CTERA 平台连接到 Syslog

设置 CTERA 门户 syslog 连接和 Edge-Filer Syslog 连接器

步骤 2:在 Syslog 服务器上安装 Azure Monitor 代理 (AMA)

在 syslog 服务器上安装 Azure Monitor 代理 (AMA) 以启用数据收集。



CTM360 CyberBlindSpot (无服务器)

支持者:网络威胁管理 360

CTM360 网络盲点 (CBS) 连接器与 CTM360 的 CBS 平台集成,可跨 6 种模块类型引入安全数据:事件、恶意软件日志、泄露的凭据、泄露的卡片、域侵权和子域侵权。 此连接器使用无代码连接器框架 (CCF) 进行无服务器数据收集。

数据类型:

  • CBSLog_AzureV2_CL
  • CBS_MalwareLogs_AzureV2_CL
  • CBS_BreachedCredentials_AzureV2_CL
  • CBS_CompromisedCards_AzureV2_CL
  • CBS_DomainInfringement_AzureV2_CL
  • CBS_SubdomainInfringement_AzureV2_CL

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CBSLog_AzureV2_CL

数据收集规则支持: 当前不支持

先决条件:

  • CTM360 CBS API 密钥:需要有效的 CTM360 网络盲点 API 密钥才能连接到 CBS API 终结点。

设置说明:

将 CTM360 网络盲点连接到Microsoft Sentinel

此连接器使用无代码连接器框架 (CCF) 将数据从 CTM360 CBS 引入Microsoft Sentinel。 每 5 分钟跨 6 种不同的模块类型收集数据。

注意:此连接器为不同的 CBS 模块类型创建 6 个单独的表:事件、恶意软件日志、泄露的凭据、泄露的卡片、域侵权和子域侵权。

步骤 1:获取 CTM360 API 密钥

若要设置此集成,需要 CBS API 密钥。 可以使用以下链接获取这些密钥:

从此链接找到的 CBS API 密钥: https://platform.ctm360.com/start/integrations 使用你的帐户进行日志记录后

步骤 2:配置连接

输入 CTM360 CBS API 密钥并连接以开始数据引入。

  • CTM360 CBS API 密钥: (输入 CTM360 CBS API 密钥)
  • 启用/禁用连接

步骤 3:验证数据引入

连接后,数据应在 5-10 分钟内开始流动。 使用上述示例查询验证每个模块类型的数据引入。

注意:注意:初始数据引入可能需要长达 30 分钟。 连接器每 5 分钟轮询一次,滚动窗口为 5 分钟。



CTM360 HackerView (无服务器)

支持者:网络威胁管理 360

利用 CTM360 HackerView 连接器,可以将来自 HackerView 外部攻击面管理平台的安全问题和漏洞引入Microsoft Sentinel。 此无服务器连接器使用 REST API 自动拉取问题数据,以便与其他安全事件进行分析和关联。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
HackerViewLog_AzureV2_CL

数据收集规则支持: 当前不支持

先决条件:

  • HackerView API 密钥:需要具有访问问题数据权限的有效 HackerView API 密钥。

设置说明:

将 CTM360 HackerView 连接到 Microsoft Sentinel

此连接器使用 HackerView REST API 自动将安全问题引入Microsoft Sentinel。

注意:这是使用 Azure 的无代码连接器框架 (CCF) 的无服务器连接器。 无需Azure函数部署。

步骤 1:获取 CTM360 API 密钥

若要设置此集成,需要 HackerView API 密钥。 可以使用以下链接获取这些密钥:

通过此链接找到 HackerView API 密钥: https://platform.ctm360.com/start/integrations 使用帐户进行日志记录后

步骤 2:配置连接器

输入 HackerView API 密钥,然后单击“连接”开始数据引入。

  • API 密钥: (输入 HackerView API 密钥)
  • 启用/禁用连接

步骤 3:验证数据引入

连接后,数据应在 5-10 分钟内开始流动。 运行以下查询以验证:

注意:HackerViewLog_AzureV2_CL |采取 10



通过 AMA 自定义日志

支持者:Microsoft Corporation

许多应用程序将信息记录到文本或 JSON 文件,而不是标准日志记录服务,例如 Windows 事件日志、Syslog 或 CEF。 使用自定义日志数据连接器,可以从 Windows 和 Linux 计算机上的文件收集事件,并将其流式传输到创建的自定义日志表。 流式传输数据时,可以使用 DCR 分析和转换内容。 收集数据后,可以应用分析规则、搜寻、搜索、威胁情报、扩充等。

注意:将此连接器用于以下设备: Cisco Meraki、Zscaler Private Access (ZPA) 、VMware vCenter、Apache HTTP 服务器、Apache Tomcat、Jboss Enterprise 应用程序平台、Juniper IDP、MarkLogic Audit、MongoDB Audit、Nginx HTTP 服务器、Oracle Weblogic 服务器、PostgreSQL 事件、Squid 代理、Ubiquiti UniFi、SecurityBridge 威胁检测 SAP 和 AI vectra 流。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
JBossEvent_CL
JuniperIDP_CL
ApacheHTTPServer_CL
Tomcat_CL
meraki_CL
VectraStream_CL
MarkLogicAudit_CL
MongoDBAudit_CL
NGINX_CL
OracleWebLogicServer_CL
PostgreSQL_CL
SquidProxy_CL
Ubiquiti_CL
vcenter_CL
ZPA_CL
SecurityBridgeLogs_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • 权限:若要从非Azure VM 收集数据,必须安装并启用 Azure Arc。 了解更多

设置说明:

启用数据收集规则

从 Windows 和 Linux 代理收集自定义日志。

  • 安装代理: <在安装时提供的变量值>



CyberArk 审核

支持者:CyberArk 支持

CyberArk 审核数据连接器使Microsoft Sentinel能够通过 REST API 从 CyberArk 审核服务引入安全事件日志和其他事件。 此集成可帮助你检测潜在的安全风险、监视用户活动、分析协作模式、排查配置问题并深入了解环境。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CyberArk_AuditEvents_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • CyberArk 审核服务平台:访问在 CyberArk 审核平台中执行所需配置

设置说明:

连接到 CyberArk 审核 API 以开始收集Microsoft Sentinel中的事件日志

按照以下步骤将 Microsoft Sentinel 与 CyberArk Audit 集成,并启用对Microsoft Sentinel内的系统和用户活动的集中监视。 还可以参阅 CyberArk 审核文档 ,直到步骤 5。

步骤 1:创建新的 SIEM 集成

  1. 在 CyberArk 门户中,转到 Administration
  2. 选择 My environment>>IntegrationsExport to SIEM
  3. 在 SIEM 集成页中,选择 Create>Create SIEM integration
  4. Create a SIEM integration 页面中,选择 Identity Administration 链接以在标识管理中创建 OAuth 服务器 Web。 步骤 2:在标识管理中创建 OAuth2 服务器 Web 应用
  5. Identity Administration 页面上,从左侧菜单中选择 Apps & Widgets>Web 应用
  6. Custom选项卡中选择Add Web 应用并创建一个OAuth2 server类型 Web 应用。
  7. ApplicationIDName 字段中输入 CyberArkAuditforMicrosoftSentinel
  8. Tokens 选项卡中,确保字段中的值 Token TypejwtR256 ,并且仅 Client Creds 选择了授权方法。
  9. 单击 Add 选项卡, Scope 然后输入 isp.audit.events:read
  10. Advanced 选项卡中,复制并粘贴以下脚本,然后单击“保存”。
		setClaim('tenant_id', TenantData.Get("CybrTenantID"));
		setClaim('aud', 'cyberark.isp.audit');
  1. 单击Save。 步骤 3:在标识管理中创建服务用户
  2. 转到 ,Core Services>Users选择 。Add User
  3. Account 部分中,输入 Login nameDisplay name 作为 MicrosoftSentinel。 添加新密码或自动生成密码。
  4. 选择 OAuth confidential client
  5. Application Settings 选项卡中,单击 Add
  6. 选择 CyberArkAuditforMicrosoftSentinel 应用程序。 这是在 Web 服务中创建的名称。 步骤 4:向服务用户授予 Web 应用权限
  7. 转到 CyberArkAuditforMicrosoftSentinel 创建的 Web 应用。
  8. Permissions 选项卡中,单击 Add 以查找用户 MicrosoftSentinel ,然后单击 Add
  9. 为用户设置以下权限:
    • 授予
    • 查看
    • 运行
    • 自动部署步骤 5:定义集成说明
  10. 转到 Administration
  11. 选择 My environment>>IntegrationsExport to SIEM
  12. 选择 Create>Create SIEM integration
  13. 输入名称作为 Microsoft Sentinel Integration ,并选择性地添加说明。
  14. 单击Apply。 步骤 6:使用Microsoft Sentinel数据连接器连接 CyberArk 审核服务

注意: 复制在前面的步骤中捕获的所有详细信息,并连接到 CyberArk 审核服务。

  • OAuth2 服务器应用名称: (例如 AuditforMicrosoftSentinel)
  • 审核 API 密钥: (可以从审核服务检索 API 密钥)
  • 标识终结点: (例如 kln9281.id.cyberark.cloud)
  • 审核 API 基 URL: (例如 org-test.audit.cyberark.cloud)
  • Audit Query Filter Action (Optional) : (例如 {“op”:“include”,“params”:[“cloud.core.login”,“cloud.core.mfasummary”]]})
  • Audit Query Filter Application Code (Optional) : (例如 {“op”:“include”,“params”:[“IDP”,“CMS”]]})
  • Audit Query Filter Audit Type (Optional) : (例如 {“op”:“include”,“params”:[“Failure”]})



使用 Azure Functions) 的 CyberArkAudit (

支持者:CyberArk 支持

CyberArk 审核数据连接器提供检索 CyberArk 审核服务的安全事件日志以及通过 REST API 将更多事件检索到Microsoft Sentinel的功能。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CyberArk_AuditEvents_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • 审核 REST API 连接详细信息和凭据:进行 API 调用需要 OauthUsernameOauthPasswordWebAppIDAuditApiKeyIdentityEndpointAuditApiBaseUrl

设置说明:

注意:此连接器使用 Azure Functions 连接到 Azure Blob 存储 API,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本,以及将数据存储在Azure Blob 存储成本中。 有关详细信息,请查看Azure Functions定价页Azure Blob 存储定价页

注意:API 授权密钥 () 或令牌 () 安全地存储在 Azure 密钥保管库 中。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。

步骤 1 - CyberArk 审核 SIEM 集成的配置步骤

按照 说明 获取连接详细信息和凭据。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 CyberArk 审核数据连接器之前,请从以下) 复制工作区名称和工作区位置 (。

  • 工作区名称: <在安装时提供的变量值>
  • 工作区位置: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM 模板自动部署 CyberArk Audit 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3.输入 CyberArkAuditUsername、CyberArkAuditPassword、CyberArkAuditServerURL 并部署。 4.将标记为 “我同意上述条款和条件”的复选框。 5.单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 CyberArk 审核数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 CyberArkXXXXX) 。

    e. 选择运行时: 选择“Python 3.10”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :CyberArkAuditUsername CyberArkAuditPassword CyberArkAuditServerURL WorkspaceID WorkspaceID WorkspaceID WorkspaceKey logAnalyticsUri (可选)

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



使用 Azure Functions) (Cybersixgill 可操作警报

支持者:Cybersixgill

可操作警报基于配置的资产提供自定义警报

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CyberSixgill_Alerts_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:进行 API 调用需要 Client_IDClient_Secret

设置说明:

注意:此连接器使用 Azure Functions 连接到 Cybersixgill API,将警报拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本,以及将数据存储在Azure Blob 存储成本中。 有关详细信息,请查看Azure Functions定价页Azure Blob 存储定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署 Cybersixgill 可操作警报数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID、工作区密钥、客户端 ID、客户端密码、TimeInterval 和部署。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Cybersixgill 可操作警报数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 CybersixgillAlertsXXX) 。

    e. 选择运行时: 选择“Python 3.11”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft sentinel 所在的 同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :ClientID ClientSecret 轮询 WorkspaceID WorkspaceKey logAnalyticsUri (可选)

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



Cyble 视觉警报

支持者:Cyble 支持

使用 Cyble 视觉警报 CCF 数据连接器,可以使用无代码连接器框架连接器将威胁警报从 Cyble Vision 引入到Microsoft Sentinel。 它通过 API 收集警报数据,将其规范化,并将其存储在自定义表中,以便进行高级检测、关联和响应。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CybleVisionAlerts_CL

数据收集规则支持: 当前不支持

先决条件:

  • Cyble 视觉 API 令牌:需要来自 Cyble 视觉平台的 API 令牌。

设置说明:

步骤 1 - 从 Cyble 平台生成 API 令牌

导航到 Cyble 平台 并使用 Cyble Vision 凭据登录。

登录后,转到左侧面板并向下滚动到“实用工具”。单击“访问 API”。在页面右上角,单击“+ (添加) 图标以生成新的 API 密钥。为密钥) 提供别名 (友好名称,然后单击“生成”。 复制生成的 API 令牌并安全存储。

步骤 2 - 配置数据连接器

返回到Microsoft Sentinel并打开 Cyble 视觉警报数据连接器配置页。将 Cyble API 令牌粘贴到“API 详细信息”下的“API 令牌”字段中。

  • API 令牌: (输入 API 令牌)
  • 查询间隔 (分钟) : (以分钟 (输入时间,例如 10) )
  • 启用/禁用连接



Cyborg Security HUNTER 搜寻包

支持者:Cyborg Security

Cyborg Security 是高级威胁搜寻解决方案的领先提供商,其使命是使组织能够使用尖端技术和协作工具主动检测和响应网络威胁。 Cyborg Security 的旗舰产品 HUNTER 平台结合了强大的分析、精心策划的威胁搜寻内容和全面的搜寻管理功能,为有效的威胁搜寻操作创建动态生态系统。

按照步骤访问 Cyborg Security 社区并在 HUNTER 平台中设置“打开工具”功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityEvent

数据收集规则支持:工作区转换 DCR

设置说明:

注意:使用以下链接查找Azure Tentant ID 如何查找Azure Active Directory 租户 ID

  • ResourceGroupName & WorkspaceName: <在安装时提供的变量值>
  • WorkspaceID: <在安装时提供的变量值>

1. 注册 Cyborg Security 的 HUNTER 社区帐户

Cyborg Security 为社区 Memeber 提供对新兴威胁集合和搜寻包子集的访问权限。

创建一个免费的 Commuinity 帐户来访问 Cyborg Security 的搜寻包: 立即注册!

2.配置“在工具中打开”功能

  1. 导航到 HUNTER 平台的“ 环境 ”部分。

  2. 标记为“Microsoft Sentinel”部分填写环境的根 URI。 将 <粗体项> 替换为订阅、资源组和工作区的 ID 和名称。

    https[]()://portal.azure.com#@**AzureTenantID**/blade/Microsoft_OperationsManagementSuite_Workspace/Logs.ReactView/resourceId/%2Fsubscriptions%2F**AzureSubscriptionID**%2Fresourcegroups%2F**ResourceGroupName**%2Fproviders%2Fmicrosoft.operationalinsights%2Fworkspaces%2F<**WorkspaceName**>/

  3. 单击保存

3. 在 Microsoft Sentinel 中执行猎人狩猎步

确定要部署的 Cyborg Security HUNTER 搜寻包,并使用“打开工具”按钮快速打开Microsoft Sentinel并暂存搜寻内容。



Cyera DSPM Microsoft Sentinel 数据连接器

支持者:Cyera Inc

使用 Cyera DSPM 数据连接器,可以连接到 Cyera 的DSPM租户,并将分类、资产、问题和标识资源/定义引入Microsoft Sentinel。 数据连接器基于 Microsoft Sentinel 的无代码连接器框架构建,使用 Cyera 的 API 获取 Cyera 的DSPM遥测一旦收到,可以与创建自定义列的安全事件相关联,因此查询无需再次分析,从而获得更好的性能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CyeraClassifications_CL
CyeraAssets_CL
CyeraAssets_MS_CL
CyeraIssues_CL
CyeraIdentities_CL

数据收集规则支持: 当前不支持

设置说明:

Cyera DSPM 身份验证

通过个人访问令牌连接到 Cyera DSPM租户

  • Cyera 个人访问令牌客户端 ID: (client_id)
  • Cyera 个人访问令牌密钥: (secret_key)
  • 启用/禁用连接



CYFIRMA 攻击面

支持者:CYFIRMA

不适用

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CyfirmaASCertificatesAlerts_CL
CyfirmaASConfigurationAlerts_CL
CyfirmaASDomainIPReputationAlerts_CL
CyfirmaASOpenPortsAlerts_CL
CyfirmaASCloudWeaknessAlerts_CL
CyfirmaASDomainIPVulnerabilityAlerts_CL

数据收集规则支持:工作区转换 DCR

设置说明:

CYFIRMA 攻击面

连接到 CYFIRMA 攻击图面,将警报引入Microsoft Sentinel。 此连接器使用 DeCYFIR/DeTCT API 检索日志并支持基于 DCR 的引入时间转换,在引入期间将安全数据分析为自定义表。 这样就无需进行查询时分析,提高了性能和效率。

  • CYFIRMA API URL: (https://decyfir.cyfirma.com)
  • CYFIRMA API 密钥: (CYFIRMA API 密钥)
  • API 增量: (API 增量)
  • 启用/禁用连接



CYFIRMA 品牌智能

支持者:CYFIRMA

不适用

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CyfirmaBIDomainITAssetAlerts_CL
CyfirmaBIExecutivePeopleAlerts_CL
CyfirmaBIProductSolutionAlerts_CL
CyfirmaBISocialHandlersAlerts_CL
CyfirmaBIMaliciousMobileAppsAlerts_CL

数据收集规则支持:工作区转换 DCR

设置说明:

CYFIRMA 品牌智能

连接到 CYFIRMA 品牌智能,将警报数据引入Microsoft Sentinel。 此连接器使用 DeCYFIR/DeTCT 警报 API 检索日志并支持基于 DCR 的引入时间转换,在引入期间将安全数据分析为自定义表。 这消除了查询时分析的需要,从而提高了性能和效率。

  • CYFIRMA API URL: (https://decyfir.cyfirma.com)
  • CYFIRMA API 密钥: (CYFIRMA API 密钥)
  • API 增量: (API 增量)
  • 启用/禁用连接



CYFIRMA 泄露的帐户

支持者:CYFIRMA

使用 CYFIRMA 泄露的帐户数据连接器可将日志从 DeCYFIR/DeTCT API 无缝引入到Microsoft Sentinel。 它基于Microsoft Sentinel无代码连接器框架构建,利用 DeCYFIR/DeTCT API 检索日志。 此外,它还支持基于 DCR 的引入时间转换,该转换在引入期间将安全数据分析为自定义表。 这样就无需进行查询时分析,提高了性能和效率。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CyfirmaCompromisedAccounts_CL

数据收集规则支持:工作区转换 DCR

设置说明:

CYFIRMA 泄露的帐户

CYFIRMA 泄露的帐户数据连接器支持将日志从 DeCYFIR/DeTCT API 无缝引入到Microsoft Sentinel。 它基于Microsoft Sentinel无代码连接器框架构建,利用 DeCYFIR/DeTCT API 检索日志。 此外,它还支持基于 DCR 的引入时间转换,该转换在引入期间将安全数据分析为自定义表。 这样就无需进行查询时分析,提高了性能和效率。

  • CYFIRMA API URL: (https://decyfir.cyfirma.com)
  • CYFIRMA API 密钥: (CYFIRMA API 密钥)
  • API 增量: (API 增量)
  • 启用/禁用连接



CYFIRMA 网络智能

支持者:CYFIRMA

CYFIRMA 网络智能数据连接器支持将日志从 DeCYFIR API 无缝引入到Microsoft Sentinel。 它基于Microsoft Sentinel无代码连接器框架构建,利用 DeCYFIR 警报 API 检索日志。 此外,它还支持基于 DCR 的引入时间转换,该转换在引入期间将安全数据分析为自定义表。 这样就无需进行查询时分析,提高了性能和效率。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CyfirmaIndicators_CL
CyfirmaThreatActors_CL
CyfirmaCampaigns_CL
CyfirmaMalware_CL

数据收集规则支持:工作区转换 DCR

设置说明:

CYFIRMA 网络智能

此连接器提供 CYFIRMA 网络智能中的指标、威胁参与者、恶意软件和活动日志。 连接器使用 DeCYFIR API 检索日志并支持基于 DCR 的引入时间转换,在引入期间将安全数据分析到自定义表中。 这样就无需进行查询时分析,提高了性能和效率。

  • CYFIRMA API URL: (https://decyfir.cyfirma.com)
  • CYFIRMA API 密钥: (CYFIRMA API 密钥)
  • 拉取所有 IoC 或定制 IoC: (所有 IoC 或定制 IoC 的)
  • API 增量: (API 增量)
  • 建议的操作: (建议的操作可以是以下任一操作:All/Monitor/Block)
  • 关联威胁参与者: (与 IoC) 关联的任何威胁参与者
  • 启用/禁用连接



CYFIRMA 数字风险

支持者:CYFIRMA

使用 CYFIRMA 数字风险警报数据连接器可将日志从 DeCYFIR/DeTCT API 无缝引入到Microsoft Sentinel。 它基于Microsoft Sentinel无代码连接器框架构建,利用 DeCYFIR 警报 API 检索日志。 此外,它还支持基于 DCR 的引入时间转换,该转换在引入期间将安全数据分析为自定义表。 这样就无需进行查询时分析,提高了性能和效率。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CyfirmaDBWMPhishingAlerts_CL
CyfirmaDBWMRansomwareAlerts_CL
CyfirmaDBWMDarkWebAlerts_CL
CyfirmaSPESourceCodeAlerts_CL
CyfirmaSPEConfidentialFilesAlerts_CL
CyfirmaSPEPIIAndCIIAlerts_CL
CyfirmaSPESocialThreatAlerts_CL

数据收集规则支持:工作区转换 DCR

设置说明:

CYFIRMA 数字风险

连接到 CYFIRMA 数字风险警报,将日志引入Microsoft Sentinel。 此连接器使用 DeCYFIR/DeTCT API 检索警报,并支持基于 DCR 的引入时间转换,以便进行高效的日志分析。

  • CYFIRMA API URL: (https://decyfir.cyfirma.com)
  • CYFIRMA API 密钥: (CYFIRMA API 密钥)
  • API 增量: (API 增量)
  • 启用/禁用连接



CYFIRMA 漏洞智能

支持者:CYFIRMA

CYFIRMA 漏洞智能数据连接器支持将日志从 DeCYFIR API 无缝引入到Microsoft Sentinel。 它基于Microsoft Sentinel无代码连接器框架构建,利用 CYFIRMA API 来检索日志。 此外,它还支持基于 DCR 的引入时间转换,该转换在引入期间将安全数据分析为自定义表。 这样就无需进行查询时分析,提高了性能和效率。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CyfirmaVulnerabilities_CL

数据收集规则支持:工作区转换 DCR

设置说明:

CYFIRMA 漏洞智能

此连接器提供来自 CYFIRMA 漏洞智能的漏洞日志。 连接器使用 DeCYFIR API 检索日志并支持基于 DCR 的引入时间转换,在引入期间将安全数据分析到自定义表中。 这样就无需进行查询时分析,提高了性能和效率。

  • CYFIRMA API URL: (https://decyfir.cyfirma.com)
  • CYFIRMA API 密钥: (CYFIRMA API 密钥)
  • API 增量: (API 增量)
  • 与供应商关联的漏洞
  • 与产品相关的漏洞
  • 具有 Version-Associated 漏洞的产品
  • 启用/禁用连接



Cynerio 安全事件

支持者:Cynerio

使用 Cynerio 连接器,可以轻松地将 Cynerio 安全事件与Microsoft Sentinel连接,以查看 IDS 事件。 这使你可以更深入地了解组织网络安全状况,并改进安全操作功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CynerioEvent_CL

数据收集规则支持: 当前不支持

设置说明:

配置和连接 Cynerio

Cynerio 可与 事件集成,并通过 Azure Server 直接将事件导出到 Microsoft Sentinel。 按照以下步骤建立集成:

  1. 在 Cynerio 控制台中,转到“设置 > 集成”选项卡, (默认) ,然后单击右上角的“ +添加集成 ”按钮。

  2. 向下滚动到 SIEM 部分。

  3. 在Microsoft Sentinel 卡,单击“连接”按钮。

  4. “集成详细信息”窗口随即打开。 使用以下参数填写表单并设置连接。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



Cyren 威胁情报

支持者:Data443 Risk Mitigation, Inc.

使用通用连接器框架 (CCF) 从 Cyren 引入 IP 信誉和恶意软件 URL 指示器。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Cyren_Indicators_CL

数据收集规则支持: 当前不支持

先决条件:

  • Cyren JWT 令牌:存储在Azure 密钥保管库或在部署时提供的 JWT 令牌。

设置说明:

连接 Cyren 威胁情报

若要启用 Cyren 威胁情报连接器,请在下方提供 JWT 令牌,然后单击“连接”。

注意: 可以根据订阅使用源或同时使用这两种源。 对于未购买的任何源,请将令牌字段留空 - 仅部署提供令牌的连接器。

为了增强安全性,可以启用密钥保管库集成来存储和检索 JWT 令牌。

  • IP 信誉 JWT 令牌 (可选) :如果未购买, (留空)
  • 恶意软件 URL JWT 令牌 (可选) :如果未购买, (留空)
  • 启用/禁用连接



D3 智能 SOAR 事件

受支持:D3 安全性

D3 Smart SOAR 数据连接器使用 D3 无代码 REST API 命令终结点将事件从 D3 Smart SOAR 提取到Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
D3SOARIncidents_CL

数据收集规则支持: 当前不支持

设置说明:

将 D3 Smart SOAR 连接到 Microsoft Sentinel

先决条件:在 D3 Smart SOAR 中,导航到“组织管理→站点”,选择要连接的站点,并将其时区设置为 (UTC+00:00) 协调世界时。 这可确保事件时间戳与Microsoft Sentinel正确对齐。

在下面输入 D3 Smart SOAR 连接详细信息。 事件将每 5 分钟轮询一次,并写入 D3SOARIncidents_CL表。服务器 URL - D3 Smart SOAR 部署的基 URL,包括站点路径。不要包含 API 路径。用户名 — D3 Smart SOAR 帐户用户名 (门户登录名) 相同。站点 — 你的帐户属于 (的 D3 Smart SOAR 站点名称,例如 Security Operations) 。D3 JWT - D3 Smart SOAR 颁发的用于 API 身份验证的 JSON Web 令牌。



用于Microsoft Sentinel REST API 的 Darktrace 连接器

支持者:Darktrace

Darktrace REST API 连接器将实时事件从 Darktrace 推送到Microsoft Sentinel,旨在与用于Sentinel的 Darktrace 解决方案一起使用。 连接器将日志写入标题为“darktrace_model_alerts_CL”的自定义日志表;可以引入模型违规、AI 分析师事件、系统警报和Email警报 - 可以在 Darktrace 系统配置页上设置其他筛选器。 数据从 Darktrace 主机推送到Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
darktrace_model_alerts_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Darktrace 先决条件:若要使用此数据连接器,需要运行 v5.2+ 的 Darktrace 主节点。 数据通过来自 Darktrace 主机的 HTTPs 发送到 Azure Monitor HTTP 数据收集器 API,因此需要从 Darktrace 主数据库到Microsoft Sentinel REST API 的出站连接。
  • 筛选深色跟踪数据:在配置期间,可以在“Darktrace 系统配置”页上设置其他筛选,以限制发送的数据量或类型。
  • 试用 Darktrace Sentinel 解决方案:可以通过安装用于Microsoft Sentinel的 Darktrace 解决方案来充分利用此连接器。 这将提供工作簿来可视化警报数据和分析规则,以自动创建来自 Darktrace 模型违规和 AI 分析师事件的警报和事件。

设置说明:

  1. 可以在 Darktrace 客户门户上找到详细的设置说明: https://customerportal.darktrace.com/product-guides/main/microsoft-sentinel-introduction
  2. 记下工作区 ID 和主键。 需要在 Darktrace 系统配置页上输入这些详细信息。
  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

Darktrace 配置

  1. 在“Darktrace 系统配置”页上执行以下步骤:
  2. 导航到主菜单 > (“系统配置”页,管理员>“系统配置”)
  3. 转到“模块配置”,然后单击“Microsoft Sentinel”配置卡
  4. 选择“HTTPS (JSON) ”,然后点击“新建”
  5. 填写所需详细信息并选择适当的筛选器
  6. 单击“验证警报设置”以尝试身份验证并发送测试警报
  7. 运行“查找测试警报”示例查询以验证是否已收到测试警报



DataBahn

支持者:Datalake

DataDevelopment 连接器提供使用无代码连接器框架 (CCF) 推送模式将实时平台遥测数据从 Data Telemetr 环境直接推送到Microsoft Sentinel的功能。 此连接器将审核日志、操作警报和设备清单引入到自定义 Log Analytics 表中,以便进行分析、警报和可视化。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
databahn_audit_logs_CL
databahn_alerts_CL
databahn_device_inventory_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。 通常需要Entra ID 应用程序开发人员角色或更高版本。
  • Microsoft Azure:对数据收集规则 (DCR) 分配监视指标发布者角色的权限。 通常需要Azure RBAC 所有者或用户访问管理员角色。

设置说明:

1. 创建 ARM 资源并提供所需权限

此连接器使 Data 准平台能够通过Azure Monitor 引入 API 直接将审核日志、警报和设备清单推送到Microsoft Sentinel。

自动配置和安全数据引入,Entra应用程序单击“部署”将触发创建 Log Analytics 表和数据收集规则 (DCR) 。 然后,它将创建一个Entra应用程序,将 DCR 链接到该应用程序,并在应用程序中设置输入的机密。 此设置允许使用Entra令牌将数据安全地发送到 DCR。

2. 配置Data平台

使用以下参数配置 Data Highway 目标,以将数据推送到工作区。

  • 租户 ID (目录 ID) : <在安装时提供的变量值>
  • Entra应用注册应用程序 ID:<在安装时提供的变量值>
  • Entra应用注册机密:<在安装时提供的变量值>
  • 数据收集终结点 URI: <在安装时提供的变量值>
  • 数据收集规则不可变 ID: <在安装时提供的变量值>
  • 审核日志Stream名称:<在安装时提供的变量值>
  • 警报Stream名称:<在安装时提供的变量值>
  • 设备清单Stream名称:<在安装时提供的变量值>



Datalake2Sentinel

支持者:Orange Cyberdefense

此解决方案安装 Datalake2Sentinel 连接器,该连接器使用无代码连接器框架构建,并允许你通过上传指示器 REST API 将威胁情报指标从 Datalake Orange Cyberdefense 的 CTI 平台自动引入到Microsoft Sentinel。 安装解决方案后,按照管理解决方案视图中的指南配置并启用此数据连接器。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ThreatIntelligenceIndicator

数据收集规则支持:工作区转换 DCR

设置说明:

安装和设置说明

使用此 Github 存储库中的文档安装和配置 Datalake 以Microsoft Sentinel连接器。

https://github.com/cert-orangecyberdefense/datalake2sentinel



使用 Azure Functions) (Dataminr Pulse Alerts 数据连接器

支持者:Dataminr 支持

Dataminr Pulse Alerts 数据连接器将 AI 支持的实时智能引入Microsoft Sentinel,以便更快地检测和响应威胁。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DataminrPulse_Alerts_CL

数据收集规则支持: 当前不支持

先决条件:

  • Azure订阅:需要具有所有者角色的Azure订阅才能在 Microsoft Entra ID 中注册应用程序,并将参与者角色分配给资源组中的应用。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • 所需的 Dataminr 凭据/权限

a. 用户必须具有有效的 Dataminr Pulse API 客户端 ID机密 才能使用此数据连接器。

b. 必须在 Dataminr Pulse 网站中配置一个或多个 Dataminr Pulse 监视列表。

设置说明:

注意:此连接器使用 Azure Functions 连接到 DataminrPulse,其中日志通过 Dataminr RTAP 推送,并将日志引入Microsoft Sentinel。 此外,连接器将从自定义日志表中提取引入的数据,并将威胁情报指示器创建到Microsoft Sentinel威胁情报中。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - Dataminr Pulse 客户端 ID 和客户端密码的凭据

  • 从 Dataminr Customer Success Manager (CSM) 获取 Dataminr Pulse 用户 ID/密码和 API 客户端 ID/机密。

步骤 2 - 在 Dataminr Pulse 门户中配置监视列表。

按照本部分中的步骤在门户中配置监视列表:

  1. 登录到 Dataminr Pulse 网站

  2. 单击设置齿轮图标,然后选择 “管理列表”。

  3. 选择要 (网络、主题、公司等 ) 创建的监视列表类型,然后单击“ 新建列表 ”按钮。

  4. 为新的监视列表提供 一个名称 ,并为其选择突出显示颜色,或保留默认颜色。

  5. 配置完监视列表后,单击“ 保存 ”进行保存。

步骤 3 - Microsoft Entra ID中应用程序的应用注册步骤

此集成需要在 Azure 门户 中注册应用。 按照本部分中的步骤在 Microsoft Entra ID 中创建新应用程序:

  1. 登录 Azure 门户
  2. 搜索并选择“Microsoft Entra ID”。
  3. “管理”下,选择“应用注册>新注册”。
  4. 输入应用程序的显示 名称
  5. 选择“ 注册 ”以完成初始应用注册。
  6. 注册完成后,Azure 门户将显示应用注册的“概述”窗格。 会看到 应用程序 (客户端) ID 和租户 ID。 需要客户端 ID 和租户 ID 作为 DataminrPulse 数据连接器执行的配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app

步骤 4 - 在 Microsoft Entra ID 中添加应用程序的客户端密码

有时称为应用程序密码,客户端密码是执行 DataminrPulse 数据连接器所需的字符串值。 按照本部分中的步骤创建新的客户端密码:

  1. 在“Azure 门户”中,在“应用注册”中选择应用程序。
  2. 选择 “证书”& 机密 > “”客户端机密 > “”新建客户端密码”。
  3. 添加客户端密码的说明。
  4. 选择机密的过期时间或指定自定义生存期。 限制为 24 个月。
  5. 选择“添加”。
  6. 记录要在客户端应用程序代码中使用的机密值。 离开此页面后,永远不会再次显示此机密值。 机密值作为执行 DataminrPulse 数据连接器的配置参数是必需的。

参考链接:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步骤 5 - 在 Microsoft Entra ID 中为应用程序分配参与者角色

按照本部分中的步骤分配角色:

  1. 在Azure 门户转到“资源组”,然后选择资源组。
  2. 从左侧面板转到 访问控制 (IAM)
  3. 单击“ 添加”,然后选择“添加角色分配”。
  4. 选择 “参与者” 作为角色,然后单击“下一步”。
  5. “分配访问权限”中,选择 。User, group, or service principal
  6. 单击“ 添加成员”,然后键入已创建的应用名称 并选择它。
  7. 现在,单击“ 审阅 + 分配”,然后再次单击“审阅 + 分配”。

参考链接:/azure/role-based-access-control/role-assignments-portal

步骤 6 - 从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数

重要:在部署 Dataminr Pulse Microsoft Sentinel 数据连接器之前,请准备好工作区 ID 和工作区主密钥 (可从以下随时可用的) 复制。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 DataminrPulse 连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入以下信息:函数名称工作区 ID 工作区密钥警报TableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过Visual Studio Code) 通过Azure Functions (部署手动部署 Dataminr Pulse Microsoft Sentinel 数据连接器。

1) 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 DmPulseXXXXX) 。

    e. 选择运行时: 选择 Python 3.8 或更高版本。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

2) 配置函数应用

  1. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。
  2. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  3. 单独添加以下每个应用程序设置,其各自的值 (区分大小写) :函数名称工作区 ID 工作区密钥警报TableName BaseURL ClientId ClientSecret AzureClientId AzureClientSecret AzureTenantId AzureResourceGroupName AzureWorkspaceName AzureSubscriptionId Schedule LogLevel logAnalyticsUri (可选的)
  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。

步骤 7 - 部署后步骤

1) 获取函数应用终结点

  1. 转到Azure函数概述页,然后单击左侧边栏选项卡中的“函数”。
  2. 单击名为 “DataminrPulseAlertsHttpStarter”的函数。
  3. 转到 “GetFunctionurl” 并复制函数 URL。
  4. {functionname} 替换为复制的函数 URL 中的“DataminrPulseAlertsSentinelOrchestrator”。

2) 使用函数 URL 在 Dataminr RTAP 中添加集成设置

  1. 打开任何 API 请求工具(如 Postman)。
  2. 单击“+”创建新请求。
  3. 选择“HTTP 请求方法”作为“POST”。
  4. 在请求 URL 部分输入第 1 点) 的 URL。
  5. 在“正文”中,选择原始 JSON 并提供请求正文,如下所示 (区分大小写) : { “integration-settings”: “ADD”, “url”: “(URL part from copied Function-url)”, “token”: “(value of code parameter from copied Function-url)” }
  6. 提供所有所需详细信息后,单击“ 发送”。
  7. 你将在 HTTP 响应中收到一个集成设置 ID,状态代码为 200。
  8. 保存 集成 ID 以供将来参考。

现在,我们完成了为 Dataminr RTAP 添加集成设置。 Dataminr RTAP 发送警报数据后,将触发函数应用,你应该能够看到警报数据从 Dataminr Pulse 到名为“DataminrPulse_Alerts_CL”的 LogAnalytics 工作区表。



Datawiza DAP

支持者:Datawiza Technology Inc.

通过 REST API 接口将 Datawiza DAP 日志连接到 Azure Log Analytics

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
datawizaserveraccess_CL

数据收集规则支持: 当前不支持

设置说明:

步骤 1:阅读详细文档

集成Microsoft Sentinel文档站点中详细介绍了安装过程。 用户应咨询我们的支持 (support@datawiza.com) 进一步了解集成的安装和调试。

步骤 2:安装 Datawiza Sentinel 连接器

下一步是安装 Datawiza 日志转发器,将日志发送到Microsoft Sentinel。 具体安装取决于你的环境,请参阅Microsoft Sentinel集成了解完整详细信息。

步骤 3:测试数据引入

大约 20 分钟后,访问安装Microsoft Sentinel上的 Log Analytics 工作区,并找到“自定义日志”部分,验证是否存在datawizaserveraccess_CL表。 使用示例查询检查数据。



Derdack SIGNL4

支持者:Derdack

当关键系统发生故障或发生安全事件时,SIGNL4 会将“最后一英里”与现场的员工、工程师、IT 管理员和工作人员连接起来。 它将实时移动警报添加到服务、系统和进程。 SIGNL4 通过持续移动推送、短信和语音呼叫发出通知,并提供确认、跟踪和升级。 集成的值班和轮班安排可确保在正确的时间向正确的人员发出警报。

了解更多信息 >

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityIncident

数据收集规则支持:工作区转换 DCR

设置说明:

注意: 此数据连接器主要在 SIGNL4 端配置。 可在此处找到说明视频:将 SIGNL4 与 Microsoft Sentinel 集成

SIGNL4 连接器:适用于 Microsoft Sentinel、Azure 安全中心 和其他 Azure Graph 安全性 API 提供商的 SIGNL4 连接器提供与Azure安全解决方案的无缝双向集成。 添加到 SIGNL4 团队后,连接器将从 Azure Graph 安全性 API 读取安全警报,并自动向值班的团队成员触发警报通知。 它还会将警报状态从 SIGNL4 同步到 Graph 安全性 API,以便在确认或关闭警报时,还会在根据 Azure Graph 安全性 API警报或相应的安全提供程序更新此状态。 如上所述,连接器主要使用 Azure Graph 安全性 API,但对于某些安全提供程序(例如Microsoft Sentinel),它还使用来自Azure解决方案的专用 REST API。

Microsoft Sentinel功能

Microsoft Sentinel是来自 Microsoft 的云原生 SIEM 解决方案,也是 Azure Graph 安全性 API 中的安全警报提供程序。 但是,Graph 安全性 API提供的警报详细信息级别限制为Microsoft Sentinel。 因此,连接器可以从基础 Microsoft Sentinel Log Analytics 工作区 (见解规则搜索结果) 进一步增强警报。 为此,连接器会与 log Analytics REST API Azure 通信,并根据权限 (下面的) 。 此外,当所有相关安全警报(例如正在进行或解决)时,应用还可以更新Microsoft Sentinel事件的状态。 为了能够执行此操作,连接器必须是Azure订阅中“Microsoft Sentinel参与者”组的成员。 Azure 中的自动部署 访问前面提到的 API 所需的凭据由可在下面下载的小型 PowerShell 脚本生成。 该脚本将为你执行以下任务:

  • 登录到Azure订阅 (请使用管理员帐户登录)
  • 在 Azure AD 中为此连接器创建新的企业应用程序,也称为服务主体
  • 在 Azure IAM 中创建一个新角色,该角色仅向 log Analytics 工作区Azure授予读取/查询权限。
  • 将企业应用程序加入到该用户角色
  • 将企业应用程序加入“Microsoft Sentinel参与者”角色
  • 输出配置应用所需的一些数据 (如下所示)

部署过程

  1. 此处下载 PowerShell 部署脚本。
  2. 查看脚本及其为新应用注册部署的角色和权限范围。 如果不想将连接器与 Microsoft Sentinel 一起使用,可以删除所有角色创建和角色分配代码,仅使用它在 Azure Active Directory 中创建应用注册 (SPN) 。
  3. 运行脚本。 最后,它会输出需要在连接器应用配置中输入的信息。
  4. 在 Azure AD 中,单击“应用注册”。 找到名为“SIGNL4AzureSecurity”的应用并打开其详细信息
  5. 在左侧菜单边栏选项卡中,单击“API 权限”。 然后单击“添加权限”。
  6. 在加载的边栏选项卡上,在“Microsoft API”下,单击“Microsoft Graph”磁贴,然后单击“应用权限”。
  7. 在显示的表中,展开“SecurityEvents”,检查“SecurityEvents.Read.All”和“SecurityEvents.ReadWrite.All”。
  8. 单击“添加权限”。

配置 SIGNL4 连接器应用

最后,输入脚本在连接器配置中输出的 ID:

  • Azure租户 ID
  • Azure 订阅 ID
  • 企业应用程序) 的客户端 ID (
  • 企业应用程序的客户端机密 () 启用应用后,它将开始读取Azure Graph 安全性 API警报。

注意: 它最初仅读取过去 24 小时内发生的警报。

  • 工作区 ID: <在安装时提供的变量值>



使用 Azure Functions) 的数字阴影探照灯 (

支持者:数字阴影

数字阴影数据连接器使用 REST API 将事件和警报从数字阴影探照灯引入到Microsoft Sentinel。 连接器将提供事件和警报信息,以便帮助检查、诊断和分析潜在的安全风险和威胁。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DigitalShadows_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限需要数字阴影帐户 ID、机密和密钥 。 请参阅文档,了解有关 上的 https://portal-digitalshadows.com/learn/searchlight-api/overview/descriptionAPI 的详细信息。

设置说明:

注意:此连接器使用Azure Functions连接到“数字阴影探照灯”,将其日志拉入Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - “数字阴影探照灯”API 的配置步骤

提供程序应提供或链接到配置“数字阴影探照灯”API 终结点的详细步骤,以便Azure函数可以成功向其进行身份验证,获取其授权密钥或令牌,并将设备的日志拉入Microsoft Sentinel。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署“数字阴影探照灯”连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的“数字阴影探照灯”API 授权密钥 () 或令牌。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署“数字阴影探照灯”连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID、工作区密钥、API 用户名、API 密码、“和/或其他必填字段”。

注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。 4.将标记为 “我同意上述条款和条件”的复选框。 5.单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过Azure Functions手动部署“数字阴影探照灯”连接器。

1. 创建函数应用

  1. 在Azure门户中,导航到“函数应用”。
  2. 单击顶部的“ + 创建 ”。
  3. “基本信息”选项卡中,确保“运行时堆栈”设置为 python 3.8
  4. “托管”选项卡中,确保“计划类型”设置为“消耗 (无服务器) ”。 5.选择存储帐户
  5. “添加其他必需配置”。
  6. “进行其他首选的配置更改”(如果需要),然后单击“ 创建”。

2. (Zip 部署) 导入函数应用代码

  1. 安装 Azure CLI
  2. 从终端键入 az functionapp deployment source config-zip -g <ResourceGroup> -n <FunctionApp> --src <Zip 文件> 并按 Enter。 将 ResourceGroup 值设置为:资源组名称。 将 FunctionApp 值设置为:新创建的函数应用名称。 将 Zip File 值设置为: digitalshadowsConnector.zip (zip 文件) 的路径。 注意:- 从链接下载 zip 文件 - 函数应用代码

3.配置函数应用

  1. 在“函数应用”屏幕中,单击“函数应用名称”,然后选择“ 配置”。
  2. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  3. 单独添加以下每个“x (个) 数”应用程序设置, 在“名称”下,其各自的字符串值 (“值”下区分大小写的) :DigitalShadowsAccountID WorkspaceID WorkspaceKey DigitalShadowsKey DigitalShadowsSecret HistoricalDays DigitalShadowsURL ClassificationFilterOperation HighVariabilityClassifications FUNCTION_NAME logAnalyticsUri (可选) (添加函数应用所需的任何其他设置) 将 DigitalShadowsURL 值设置为: https://api.searchlight.app/v1 设置 HighVariabilityClassifications value 设置为: exposed-credential,marked-documentClassificationFilterOperation 值设置为: exclude 对于 exclude 函数应用,或 include 对于 include 函数应用

注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅Azure 密钥保管库参考文档

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://< CustomerId.ods.opinsights.azure.us>。
  1. 输入所有应用程序设置后,单击“ 保存”。



Dns

支持者:Microsoft Corporation

使用 DNS 日志连接器,可以轻松地将 DNS 分析和审核日志与Microsoft Sentinel和其他相关数据连接起来,以改进调查。

启用 DNS 日志收集后,可以:

  • 识别尝试解析恶意域名的客户端。
  • 识别过时的资源记录。
  • 识别经常查询的域名和谈话 DNS 客户端。
  • 查看 DNS 服务器上的请求负载。
  • 查看动态 DNS 注册失败。

有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DnsEvents
DnsInventory

数据收集规则支持:工作区转换 DCR

Doppel 数据连接器

支持者:Doppel

数据连接器基于 doppel 事件和警报的 Microsoft Sentinel 构建,并支持基于 DCR 的引入时间转换,该转换将接收的安全事件数据分析为自定义列,以便查询无需再次分析它,从而获得更好的性能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DoppelTable_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft Entra租户 ID、客户端 ID 和客户端密码:Microsoft Entra ID需要客户端 ID 和客户端密码才能对应用程序进行身份验证。 此外,需要全局管理员/所有者级别访问权限,才能为Entra注册的应用程序分配资源组监视指标发布者角色。
  • 需要工作区 ID、DCE-URI、DCR-ID:需要获取配置的 Log Analytics 工作区 ID、DCE 日志引入 URI 和 DCR 不可变 ID。

设置说明:

配置 Doppel Webhook

在 Doppel 和 Endpoint 中配置 Webhook,并在 Microsoft Sentinel 中配置发送数据的权限。

在 Microsoft Entra ID 中注册应用程序

  1. 打开Microsoft Entra ID页

    • 单击提供的链接以在新选项卡中打开Microsoft Entra ID注册页。
    • 确保使用具有管理员级别权限的帐户登录。

  2. 创建新应用程序

    • Microsoft Entra ID门户中,选择左侧选项卡上提到的应用注册。
    • 单击“ + 新建注册”。
    • 填写以下字段:
  • 名称:输入应用 (的名称,例如“Doppel App”) 。
  • 支持的帐户类型:选择此组织目录中的帐户仅 (默认目录 - 单租户) 。
  • 重定向 URI:除非另有要求,否则保留此为空。
    • 单击“ 注册 ”以创建应用程序。

  1. 复制应用程序和租户 ID

    • 注册应用后,请从“概述”页记下 “应用程序 (客户端) ID”和“目录 (租户) ID ”。 集成需要这些。

  2. 创建客户端密码

    • “证书 & 机密”部分中,单击“+ 新建客户端密码”。
    • 添加描述 (,例如“Doppel Secret”) ,并设置过期 (例如 1 年) 。
    • 单击“添加”
    • 立即复制客户端机密值,因为它不会再次显示。

将“监视指标发布者”角色分配给应用

  1. 在 Azure 门户中打开资源组

    • 导航到 包含 Log Analytics 工作区和数据收集规则的资源组, (DCR) 希望应用在其中推送数据。

  2. 分配角色

    • “资源组”菜单中,单击“访问控制” (“IAM”) 在左侧选项卡提及。
    • 单击“ + 添加”,然后选择“添加角色分配”。
    • “角色”下拉列表中,搜索并选择“监视指标发布者 ”角色。
    • “分配访问权限”下,选择“Azure AD 用户、组或服务主体”。
    • “选择”字段中,按名称或客户端 ID 搜索已注册的应用
    • 单击“ 保存 ”将角色分配给应用程序。

部署 ARM 模板

  1. 检索工作区 ID

    • 分配角色后,需要 工作区 ID
    • 导航到 资源组中的 Log Analytics 工作区
    • “概述”部分中,找到“工作区详细信息”下的“工作区 ID”字段
    • 复制工作区 ID ,使其方便后续步骤使用。

  2. 单击“部署到Azure”按钮

  3. 查看和自定义参数

    • 在自定义部署页上,确保部署到正确的 订阅和资源组
    • 填写 工作区名称、工作区 ID 和工作区位置等参数。

  4. 单击“查看 + 创建”,然后单击“创建” 部署资源。

验证 DCE、DCR 和 Log Analytics 表设置

  1. 检查数据收集终结点 (DCE)

    • 部署后,转到Azure门户>数据收集终结点
    • 验证是否已成功创建 DoppelDCE 终结点。
    • 复制 DCE 日志引入 URI,因为生成 Webhook URL 需要此 URI。

  2. 确认数据收集规则 (DCR) 安装程序

    • 转到Azure门户>数据收集规则
    • 确保存在 DoppelDCR 规则。
    • 从“概述”页复制 DCR 的不可变 ID,因为 Webhook URL 需要它。

  3. 验证 Log Analytics 表

    • 导航到 Log Analytics 工作区 (链接到Microsoft Sentinel) 。
    • “表”部分下,验证DoppelTable_CL 表是否已成功创建并准备好接收数据。

将 Doppel 警报与 Microsoft Sentinel 集成

  1. 收集必要信息
    • 收集集成所需的以下详细信息:
  • 数据收集终结点 ID (DCE-ID)
  • 数据收集规则 ID (DCR-ID)
  • Microsoft Entra凭据:租户 ID、客户端 ID 和客户端密码。

  1. 与 Doppel 支持人员协调

    • 在 Doppel 支持下共享收集的 DCE-ID、DCR-ID 和Microsoft Entra凭据。
    • 请求有关在 Doppel 租户中配置这些详细信息以启用 Webhook 设置的帮助。

  2. Doppel 的 Webhook 安装程序

    • Doppel 将使用提供的资源 ID 和凭据来配置 Webhook。
    • 此 Webhook 有助于将警报从 Doppel 转发到Microsoft Sentinel。

  3. 在 Microsoft Sentinel 中验证警报传递

    • 检查来自 Doppel 的警报是否已成功转发到Microsoft Sentinel。
    • 验证Microsoft Sentinel中的工作簿是否已使用警报统计信息更新,确保无缝数据集成。



通过云站点存储的 Dragos 通知

支持者:Dragos Inc

Dragos 平台是领先的工业网络安全平台,它提供全面的运营技术 (OT) 网络威胁检测,由无与伦比的工业网络安全专业知识构建。 此解决方案允许在 Microsoft Sentinel中查看 Dragos 平台通知数据,以便安全分析师能够对在其工业环境中发生的潜在网络安全事件进行会审。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DragosAlerts_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Dragos Sitestore API 访问权限:具有 权限的 notification:read Sitestore 用户帐户。 此帐户还需要具有可以提供给Sentinel的 API 密钥。

设置说明:

请提供以下信息,以允许Microsoft Sentinel连接到 Dragos Sitestore。

  • Dragos Sitestore 主机名: (dragossitestore.example.com)
  • Dragos Sitestore API 密钥 ID: (输入 API 密钥 ID.)
  • Dragos Sitestore API 密钥机密: (输入 API 密钥机密)
  • 最低通知严重性。 有效值为 0-5(含 0-5)。 确保小于或等于最大严重性。: (为所有通知输入最小严重性 (建议为 0) )
  • 最大通知严重性。 有效值为 0-5(含 0-5)。 确保大于或等于最低严重性。: (为所有通知输入最大严重性 (建议 5) )
  • 启用/禁用连接



Druva 事件连接器

支持者:Druva Inc

提供从 Druva API 引入 Druva 事件的功能

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DruvaSecurityEvents_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Druva API 访问:Druva API 需要客户端 ID 和客户端密码才能进行身份验证

设置说明:

注意:用于连接到 Druva Rest API 的配置

步骤 1:从 Druva 控制台创建凭据。 有关步骤,请参阅此文档: https://help.druva.com/en/articles/8580838-create-and-manage-api-credentials

步骤 2:输入主机名。 对于公有云,其 apis.druva.com

步骤 3:输入客户端 ID 和客户端密钥

连接到 Druva API 以开始收集Microsoft Sentinel中的日志

提供所需的值:

  • 主机名: (示例:apis.druva.com)



Dynamics 365 Finance和操作

支持者:Microsoft Corporation

财务和运营Dynamics 365是一个全面的企业资源规划 (ERP) 解决方案,它结合了财务和运营功能,以帮助企业管理其日常运营。 它提供了一系列功能,使企业能够简化工作流、自动执行任务并深入了解运营性能。

Dynamics 365 Finance和运营数据连接器将Dynamics 365 Finance和运营管理活动、审核日志以及用户业务流程和应用程序活动引入Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
FinanceOperationsActivity_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft Entra应用注册:用于访问Dynamics 365 Finance和操作的应用程序客户端 ID 和机密。

设置说明:

连接到财务和运营需要Microsoft Entra应用注册 (客户端 ID 和机密) 。 还需要Microsoft Entra租户 ID 和财务运营组织 URL。

若要启用数据收集,请在Dynamics 365 Finance和操作中创建一个有权查看数据库日志实体的角色。 将此角色分配给映射到Microsoft Entra应用注册的客户端 ID 的专用财务和运营用户。 请按照以下步骤完成此过程:

步骤 1 - Microsoft Entra应用注册

  1. 导航到Microsoft Entra门户
  2. 在“应用程序”下,单击“ 应用注册 ”,并创建新的应用注册 (保留所有默认值) 。
  3. 打开新的应用注册并创建新的机密。
  4. 保留 租户 ID、应用程序 (客户端) ID 和客户端密码 供以后使用。

步骤 2 - 在财务和运营中创建数据收集角色

  1. 在“财务和运营”门户中,导航到 “工作区 > ”“系统管理”,然后单击“安全配置”
  2. “角色”下,单击“新建” ,并为新角色指定一个名称,例如“数据库日志查看器”。
  3. 在角色列表中选择新角色,然后单击 “特权”和“添加引用”。
  4. 从权限列表中选择“ 数据库日志实体视图 ”。
  5. 单击“ 未发布的对象”,然后单击“全部发布” 以发布角色。

步骤 3 - 在财务和运营中创建数据收集用户

  1. 在“财务和运营”门户中,导航到 “模块 > ”“系统管理”,然后单击“用户”
  2. 创建新用户,并将在上一步中创建的角色分配给该用户。

步骤 4 - 在 Finance and Operations 中注册Microsoft Entra应用

  1. 在 F&O 门户中,导航到“系统管理>设置>”Microsoft Entra应用程序 (Azure Active Directory 应用程序)
  2. 在表中创建新条目。 在 “客户端 ID ”字段中,输入在步骤 1 中注册的应用的应用程序 ID。
  3. “名称” 字段中,输入应用程序的名称。
  4. 在“ 用户 ID ”字段中,选择在上一步中创建的用户 ID。

将 Dyanmics 365 Finance and Operations 中的事件连接到Microsoft Sentinel

使用客户端凭据进行连接

组织

每行表示财务和运营连接

  • 数据连接器网格 (门户中配置)



Dynamics365

支持者:Microsoft Corporation

Dynamics 365 Common Data Service (CDS) 活动连接器提供对管理员、用户和支持活动以及Microsoft Social Engagement 日志记录事件的见解。 通过将Dynamics 365 CRM 日志连接到Microsoft Sentinel,可以在工作簿中查看此数据,使用它创建自定义警报并改进调查过程。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Dynamics365Activity

数据收集规则支持:工作区转换 DCR

Dynatrace 攻击 V1

支持者:Dynatrace

此连接器使用 Dynatrace 攻击 REST API 将检测到的攻击引入 Microsoft Sentinel Log Analytics

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DynatraceAttacks_CL

数据收集规则支持: 当前不支持

先决条件:

  • Dynatrace 租户 (例如 xyz.dynatrace.com) :需要一个启用了 Application Security 的有效 Dynatrace 租户,详细了解 Dynatrace 平台
  • Dynatrace 访问令牌:需要 Dynatrace 访问令牌,该令牌应具有 read 攻击 (attacks.read) 范围。

设置说明:

要Microsoft Sentinel的 Dynatrace 攻击事件

配置并启用 Dynatrace 应用程序安全性。 按照 这些说明 生成访问令牌。



Dynatrace 攻击 V2

支持者:Dynatrace

此连接器使用 Dynatrace 攻击 REST API 将检测到的攻击引入 Microsoft Sentinel Log Analytics

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DynatraceAttacksV2_CL

数据收集规则支持: 当前不支持

先决条件:

  • Dynatrace 租户 (例如 xyz.dynatrace.com) :需要一个启用了 Application Security 的有效 Dynatrace 租户,详细了解 Dynatrace 平台
  • Dynatrace 访问令牌:需要 Dynatrace 访问令牌,该令牌应具有 read 攻击 (attacks.read) 范围。

设置说明:

要Microsoft Sentinel的 Dynatrace 攻击事件

配置并启用 Dynatrace 应用程序安全性。 按照 这些说明 生成访问令牌。

  • Dynatrace 租户 (例如 xyz.dynatrace.com) : ({{dynatraceEnvironmentUrl}})
  • Dynatrace 访问令牌: ({dynatraceAccessToken}})
  • 启用/禁用连接



Dynatrace 审核日志 V1

支持者:Dynatrace

此连接器使用 Dynatrace 审核日志 REST API 将租户审核日志引入 Microsoft Sentinel Log Analytics

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DynatraceAuditLogs_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Dynatrace 租户 (例如 xyz.dynatrace.com) :需要有效的 Dynatrace 租户,才能详细了解 Dynatrace 平台 “启动免费试用版”。
  • Dynatrace 访问令牌:需要 Dynatrace 访问令牌,该令牌应具有 “读取审核日志 ” (auditLogs.read) 范围。

设置说明:

Dynatrace 审核日志事件Microsoft Sentinel

启用 Dynatrace 审核 日志记录。 按照 这些说明 生成访问令牌。



Dynatrace 审核日志 V2

支持者:Dynatrace

此连接器使用 Dynatrace 审核日志 REST API 将租户审核日志引入 Microsoft Sentinel Log Analytics

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DynatraceAuditLogsV2_CL

数据收集规则支持: 当前不支持

先决条件:

  • Dynatrace 租户 (例如 xyz.dynatrace.com) :需要有效的 Dynatrace 租户,才能详细了解 Dynatrace 平台 “启动免费试用版”。
  • Dynatrace 访问令牌:需要 Dynatrace 访问令牌,该令牌应具有 “读取审核日志 ” (auditLogs.read) 范围。

设置说明:

Dynatrace 审核日志事件Microsoft Sentinel

启用 Dynatrace 审核 日志记录。 按照 这些说明 生成访问令牌。

  • Dynatrace 租户 (例如 xyz.dynatrace.com) : ({{dynatraceEnvironmentUrl}})
  • Dynatrace 访问令牌: ({dynatraceAccessToken}})
  • 启用/禁用连接



Dynatrace 问题 V1

支持者:Dynatrace

此连接器使用 Dynatrace 问题 REST API 将问题事件引入 Microsoft Sentinel Log Analytics

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DynatraceProblems_CL

数据收集规则支持: 当前不支持

先决条件:

  • Dynatrace 租户 (例如 xyz.dynatrace.com) :需要有效的 Dynatrace 租户,才能详细了解 Dynatrace 平台 “启动免费试用版”。
  • Dynatrace 访问令牌:需要 Dynatrace 访问令牌,该令牌应具有 读取问题 (problems.read) 范围。

设置说明:

要Microsoft Sentinel的 Dynatrace 问题事件

按照 这些说明 生成访问令牌。



Dynatrace 问题 V2

支持者:Dynatrace

此连接器使用 Dynatrace 问题 REST API 将问题事件引入 Microsoft Sentinel Log Analytics

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DynatraceProblemsV2_CL

数据收集规则支持: 当前不支持

先决条件:

  • Dynatrace 租户 (例如 xyz.dynatrace.com) :需要有效的 Dynatrace 租户,才能详细了解 Dynatrace 平台 “启动免费试用版”。
  • Dynatrace 访问令牌:需要 Dynatrace 访问令牌,该令牌应具有 读取问题 (problems.read) 范围。

设置说明:

要Microsoft Sentinel的 Dynatrace 问题事件

按照 这些说明 生成访问令牌。

  • Dynatrace 租户 (例如 xyz.dynatrace.com) : ({{dynatraceEnvironmentUrl}})
  • Dynatrace 访问令牌: ({dynatraceAccessToken}})
  • 启用/禁用连接



Dynatrace 运行时漏洞 V1

支持者:Dynatrace

此连接器使用 Dynatrace 安全问题 REST API 将检测到的运行时漏洞引入到 Microsoft Sentinel Log Analytics 中。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DynatraceSecurityProblems_CL

数据收集规则支持: 当前不支持

先决条件:

  • Dynatrace 租户 (例如 xyz.dynatrace.com) :需要一个启用了 Application Security 的有效 Dynatrace 租户,详细了解 Dynatrace 平台
  • Dynatrace 访问令牌:需要 Dynatrace 访问令牌,该令牌应具有 读取安全问题 (securityProblems.read) 范围。

设置说明:

动态跟踪漏洞事件到Microsoft Sentinel

配置并启用 Dynatrace 应用程序安全性。 按照 这些说明 生成访问令牌。



Dynatrace 运行时漏洞 V2

支持者:Dynatrace

此连接器使用 Dynatrace 安全问题 REST API 将检测到的运行时漏洞引入到 Microsoft Sentinel Log Analytics 中。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DynatraceSecurityProblemsV2_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Dynatrace 租户 (例如 xyz.dynatrace.com) :需要一个启用了 Application Security 的有效 Dynatrace 租户,详细了解 Dynatrace 平台
  • Dynatrace 访问令牌:需要 Dynatrace 访问令牌,该令牌应具有 读取安全问题 (securityProblems.read) 范围。

设置说明:

动态跟踪漏洞事件到Microsoft Sentinel

配置并启用 Dynatrace 应用程序安全性。 按照 这些说明 生成访问令牌。

  • Dynatrace 租户 (例如 xyz.dynatrace.com) : ({{dynatraceEnvironmentUrl}})
  • Dynatrace 访问令牌: ({dynatraceAccessToken}})
  • 启用/禁用连接



弹性代理

支持者:Microsoft Corporation

弹性代理数据连接器提供将弹性代理日志、指标和安全数据引入Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ElasticAgentEvent

数据收集规则支持: 当前不支持

先决条件:

  • 如果连接需要,请包括自定义先决条件 - 否则删除海关:任何自定义先决条件的说明

设置说明:

注意:此数据连接器依赖于基于 Kusto 函数的分析程序,以按预期方式使用 Microsoft Sentinel 解决方案部署的 ElasticAgentEvent

注意:此数据连接器是使用 Elastic Agent 7.14 开发的

1.安装并载入 Linux 或 Windows 的代理

在转发弹性代理日志的服务器上安装代理。

Linux或 Windows 服务器上部署的弹性代理的日志由 Linux 或 Windows 代理收集。

选择安装Linux代理的位置:

在 Azure Linux 虚拟机上安装代理

选择要安装代理的计算机,然后单击“ 连接”。

  • 安装代理: <在安装时提供的变量值>

在非Azure Linux计算机上安装代理

在相关计算机上下载代理,并按照说明进行操作。

  • 安装代理: <在安装时提供的变量值>

选择 Windows 代理的安装位置:

在 Azure Windows 虚拟机上安装代理

选择要安装代理的计算机,然后单击“ 连接”。

  • 安装代理: <在安装时提供的变量值>

在非Azure Windows 计算机上安装代理

在相关计算机上下载代理,并按照说明进行操作。

  • 安装代理: <在安装时提供的变量值>

2. 配置弹性代理 (独立)

按照说明 将 Elastic Agent 配置为输出到 Logstash

3. 将 Logstash 配置为使用 Microsoft Logstash 输出插件

按照步骤将 Logstash 配置为使用 microsoft-logstash-output-azure-loganalytics 插件:

3.1) 检查是否已安装插件:./logstash-plugin 列表 |grep “azure-loganalytics” (如果已安装插件,请转到步骤 3.3)

3.2) 安装插件:./logstash-plugin install microsoft-logstash-output-azure-loganalytics

3.3) 配置 Logstash 以使用插件

4.验证日志引入

按照说明验证连接性:

打开 Log Analytics 以检查是否使用步骤 3.3 (中指定的自定义表(例如ElasticAgentLogs_CL) )接收日志。

连接可能需要大约 30 分钟才能将数据流式传输到工作区。



通过无代码连接器框架) 弹性代理 (

支持者:Microsoft Corporation

使用弹性代理数据连接器,可将 Elastic Agent 从 Elasticsearch 收集的系统指标、日志和遥测数据引入Microsoft Sentinel。 此连接器使用 Elasticsearch 搜索 API 和 API 密钥身份验证来查询多个数据流, (CPU、内存、进程、文件系统、网络、负载、运行时间、代理指标和日志) 。 它支持基于 DCR 的引入时间转换,以便高效执行查询。 有关详细信息,请参阅 API 文档: https://www.elastic.co/docs/api/doc/elasticsearch/operation/operation-search

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ElasticAgentLogsV2_CL

数据收集规则支持: 当前不支持

设置说明:

1. 先决条件

确保具有所需的访问权限和配置。

先决条件

  • Elasticsearch 部署 (自我管理或 Elastic Cloud)
  • 部署的弹性代理启用了系统集成
  • 为日志和指标启用代理监视
  • 对所有索引具有读取权限的 Elasticsearch API 密钥
  • 从 Microsoft Sentinel 到 Elasticsearch 终结点的网络连接

必需索引

连接器查询以下 Elasticsearch 索引:

指标:

  • metrics-system.cpu-* - CPU 指标
  • metrics-system.memory-* - 内存指标
  • metrics-system.process-* - 进程指标
  • metrics-system.filesystem-* - 文件系统指标
  • metrics-system.network-* - 网络指标
  • metrics-system.load-*- 仅) (Linux 系统负载
  • metrics-system.uptime-* - 系统运行时间
  • metrics-elastic_agent.* - 代理遥测

日志:

  • logs-elastic_agent-* - 代理日志

2.配置 Elasticsearch 连接

添加一个或多个 Elasticsearch 连接以从中收集数据。

Elasticsearch Connections

可以添加多个连接,以从不同的 Elasticsearch 部署收集数据。 每个连接都需要自己的 Elasticsearch URL 和 API 密钥。

创建 API 密钥

  1. 在 Kibana 中,转到 堆栈管理 > API 密钥
  2. 单击“创建 API 密钥
  3. 设置名称并配置权限:
    • 读取访问权限 metrics-system.*
    • 读取访问权限 metrics-elastic_agent.*
    • 读取访问权限 logs-elastic_agent-*
  4. 复制 Base64 编码的 API 密钥值
  • 数据连接器网格 (门户中配置)



Ermes 浏览器安全事件

支持者:Ermes Cyber Security S.p.A.

Ermes 浏览器安全事件

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ErmesBrowserSecurityEvents_CL

数据收集规则支持:工作区转换 DCR

先决条件:

设置说明:

将 Ermes Browser 安全事件连接到Microsoft Sentinel

使用 OAuth2 凭据进行连接



使用 Azure Functions) 的 ESET 保护平台 (

支持者:ESET Enterprise Integrations

ESET 保护平台数据连接器使用户能够使用提供的集成 REST APIESET 保护平台注入检测数据。 集成 REST API 按计划Azure函数应用运行。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
IntegrationTable_CL
IntegrationTableIncidents_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • 在 Microsoft Entra ID 中注册应用程序的权限:需要足够的权限才能向Microsoft Entra租户注册应用程序。
  • 向已注册的应用程序分配角色的权限:需要向Microsoft Entra ID中注册的应用程序分配监视指标发布者角色的权限。

设置说明:

注意:ESET 保护平台数据连接器使用 Azure Functions 通过 Eset Connect API 连接到 ESET 保护平台,将检测日志拉取到Microsoft Sentinel。 此过程可能会导致额外的数据引入成本。 请参阅Azure Functions定价页上的详细信息。

注意:最新版本的 ESET PROTECT 平台和Microsoft Sentinel集成不仅会拉取检测日志,还会拉取新创建的事件。 如果集成是在 20.06.2025 之前设置的,请 按照以下步骤 进行更新。

步骤 1 - 创建 API 用户

使用此 说明 创建具有 登录名和密码的 ESET Connect API 用户帐户。

步骤 2 - 创建已注册的应用程序

按照注册新应用程序说明中的步骤创建Microsoft Entra ID注册的应用程序。

步骤 3 - 使用 Azure 资源管理器 (ARM) 模板部署 ESET 保护平台数据连接器

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择与Microsoft Sentinel关联的 Log Analytics 工作区的名称。选择与 Log Analytics 工作区的资源组相同的资源组。

  3. 在 Microsoft Entra ID 中键入已注册应用程序的参数:Azure客户端 ID、Azure客户端密码、Azure租户 ID、对象 ID。可以在 Azure 门户上按照此路径Microsoft Entra ID -> 管理 (在左侧菜单) - 企业应用程序 ->> 对象 ID 列 () 注册的应用程序名称旁边的值。

  4. 提供在 步骤 1 中获取的 ESET Connect API 用户帐户登录名和密码。

  5. (ESET PROTECT、ESET 检查、ESET Cloud Office Security) 从中检索检测,选择一个或多个 ESET 产品。



Exchange Security Insights 本地收集器

支持者:Community

用于推送 Exchange 本地安全性配置的连接器,用于Microsoft Sentinel分析

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ESIExchangeConfig_CL

数据收集规则支持: 当前不支持

先决条件:

  • 具有组织管理角色的服务帐户:作为计划任务启动脚本的服务帐户必须是组织管理才能检索所有所需的安全信息。
  • 详细文档:>注意:在此处找到有关安装过程和使用情况的详细文档

设置说明:

1.使用 Exchange 管理员 PowerShell 控制台在服务器上安装 ESI 收集器脚本

此脚本将收集 Exchange Information 以推送Microsoft Sentinel中的内容。

脚本部署

下载最新版本的 ESI 收集器

可在此处找到最新版本: https://aka.ms/ESI-ExchangeCollector-Script。 要下载的文件 CollectExchSecIns.zip

复制脚本文件夹

解压缩内容,并在存在 Exchange PowerShell Cmdlet 的服务器上复制脚本文件夹。

取消阻止 PS1 脚本

在每个 PS1 脚本上右键单击,然后转到“属性”选项卡。如果脚本标记为“已阻止”,请取消阻止它。 还可以使用 PowerShell 在解压缩的文件夹中使用 Cmdlet“Unblock-File ”。

**配置网络访问 **

确保脚本可以联系 Azure Analytics (*.ods.opinsights.azure.com) 。

2.配置 ESI 收集器脚本

请确保是服务器的本地管理员。 在“以管理员身份运行”模式下,启动“setup.ps1”脚本以配置收集器。 填写 Log Analytics (Microsoft Sentinel) 工作区信息。 填写环境名称或留空。 默认情况下,选择“Def”作为“默认分析”。 其他选项适用于特定用途。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

3. 计划 ESI 收集器脚本 (如果安装脚本由于缺少权限或安装过程中被忽略)

需要计划脚本以将 Exchange 配置发送到Microsoft Sentinel。 建议每天计划一次脚本。 用于启动脚本的帐户必须是组组织管理的成员

注意: 此数据连接器依赖于基于 Kusto 函数分析程序才能按预期工作。 分析程序随解决方案一起自动部署。 按照步骤创建 Kusto Functions 别名: ExchangeAdminAuditLogs

分析程序在解决方案部署期间自动部署。 如果要手动部署,请执行以下步骤

手动分析程序部署

1. 下载分析器文件

最新版本的文件 ExchangeAdminAuditLogs

2. 创建分析器 ExchangeAdminAuditLogs 函数

在Microsoft Sentinel日志分析的“日志”资源管理器中,将文件的内容复制到日志资源管理器

3. 保存分析器 ExchangeAdminAuditLogs 函数

单击“保存”按钮。 此分析程序不需要参数。 再次单击“保存”。



使用 Azure Functions) 的 Exchange Security Insights Online 收集器 (

支持者:Community

用于推送Microsoft Sentinel分析Exchange Online安全性配置的连接器

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ESIExchangeOnlineConfig_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • microsoft.automation/automationaccounts 权限:需要读取和写入权限才能使用 Runbook 创建Azure 自动化。 有关详细信息,请参阅 自动化帐户
  • Microsoft.Graph 权限:Groups.Read、Users.Read 和 Auditing.Read 权限是检索链接到Exchange Online分配的用户/组信息所必需的。 有关详细信息,请参阅文档
  • Exchange Online权限:需要 Exchange.ManageAsApp 权限和全局读取者安全读取者角色才能检索Exchange Online安全配置。有关详细信息,请参阅文档
  • (可选) 日志存储权限:存储链接到自动化帐户托管标识或应用程序 ID 的存储帐户的存储 Blob 数据参与者是必须的。有关详细信息,请参阅文档

设置说明:

注意 - 更新

注意:

注意 - 更新:

建议将收集器更新到版本 7.6.0.0 或更高版本。 可在此处找到收集器脚本更新过程: ESI Online 收集器更新

注意: 此数据连接器依赖于基于 Kusto 函数分析程序才能按预期工作。 按照每个分析程序的步骤创建 Kusto Functions 别名: ExchangeConfiguration**ExchangeEnvironmentList 步骤 1 - 分析器部署**

分析程序部署 (使用 Microsoft Exchange 安全解决方案时,分析程序会自动部署)

1. 下载分析器文件

最新版本的 2 个文件 ExchangeConfiguration.yamlExchangeEnvironmentList.yaml

2. 创建分析器 ExchangeConfiguration 函数

在Microsoft Sentinel日志分析的“日志”资源管理器中,将文件的内容复制到日志资源管理器

3. 保存分析器 ExchangeConfiguration 函数

单击“保存”按钮。 在分析程序文件的标头上按要求定义参数。 再次单击“保存”。

4. 为分析器 ExchangeEnvironmentList 重现相同的步骤

使用“ExchangeEnvironmentList.yaml”文件的内容重现步骤 2 和 3

注意:此连接器使用Azure 自动化连接到“Exchange Online”,将其安全分析拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure 自动化定价页

步骤 2 - 从以下两个部署选项中选择一个来部署连接器和关联的Azure 自动化

重要:在部署“ESI Exchange Online安全配置”连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及Exchange Online租户名称 (contoso.onmicrosoft.com) 随时可用。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署“ESI Exchange Online安全配置”连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID、工作区密钥、租户名称、“和/或其他必填字段”。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure 自动化

使用以下分步说明通过Azure 自动化手动部署“ESI Exchange Online安全配置”连接器。

A. 创建Azure 自动化帐户

  1. 在Azure门户中,导航到“Azure 自动化帐户”。
  2. 单击顶部的“ + 添加 ”。
  3. 在“基本信息”选项卡中,填写必填字段,并为Azure 自动化指定名称。
  4. “高级”和“网络”和“标记 ”选项卡中,如果不需要自定义字段,请将字段保留为默认值。
  5. “进行其他首选的配置更改”(如果需要),然后单击“ 创建”。

B. 添加 Exchange Online 管理模块、Microsoft Graph (身份验证、用户和组) 模块

  1. 在“自动化帐户”页上,选择“ 模块”。
  2. 单击“ 浏览库”并搜索 ExchangeOnlineManagement 模块。
  3. 选择它,然后单击 “选择”。
  4. 在“运行时版本”字段中选择“ 版本 5.1 ”,然后单击“导入”按钮。 对以下模块重复此步骤:“Microsoft.Graph.Authentication”、“Microsoft.Graph.Users”和“Microsoft.Graph.Groups”。 请注意,在处理下一个模块之前,需要等待 Microsoft.Graph.Authentication 安装

C. 下载 Runbook 内容

  1. 下载最新版本的 ESI 收集器。 可在此处找到最新版本: https://aka.ms/ESI-ExchangeCollector-Script
  2. 解压缩该文件以查找 JSON 文件和 PS1 文件,以便执行下一步。

D. 创建 Runbook

  1. 在“自动化帐户”页上,选择“ Runbook” 按钮。
  2. 单击“ 创建 Runbook”,将其命名为“ESI-Collector”,其 Runbook 类型为 PowerShell,运行时版本 5.1, 然后单击“创建”。
  3. 在 Runbook 窗口中导入上一步的 PS1 文件的内容。
  4. 单击“发布

E. 创建 GlobalConfiguration 变量

  1. 在“自动化帐户”页上,选择“ 变量” 按钮。
  2. 单击“添加变量”,并将其命名为类型为“String”的“GlobalConfiguration”。
  3. 在“值”字段上,复制上一步的 JSON 文件的内容。
  4. 在内容中,替换 WorkspaceID 和 WorkspaceKey 的值。
  5. 单击“创建”按钮。

F。 创建 TenantName 变量

  1. 在“自动化帐户”页上,选择“ 变量” 按钮。
  2. 单击“ 添加变量”,并将其命名为“TenantName”,类型为 String
  3. 在“值”字段中,写入Exchange Online的租户名称。
  4. 单击“创建”按钮。

G。 创建 LastDateTracking 变量

  1. 在“自动化帐户”页上,选择“ 变量” 按钮。
  2. 单击“ 添加变量”,并将其命名为“LastDateTracking”,类型为 String
  3. 在“值”字段上,写入“从不”。
  4. 单击“创建”按钮。

H。 创建 Runbook 计划

  1. 在“自动化帐户”页上,选择“ Runbook ”按钮,并单击创建的 Runbook。
  2. 单击“ 计划”和“添加计划 ”按钮。
  3. 单击“ 计划”、“添加计划”并将其命名。选择“定期 值”,每 1 天重复一次,单击“创建”。
  4. 单击“配置参数并运行设置”。 将所有内容留空,然后再次单击“ 确定”和“确定 ”。

步骤 3 - 向托管标识帐户分配Microsoft Graph 权限和Exchange Online权限

为了能够收集Exchange Online信息并能够检索用户信息和管理员组的成员列表,自动化帐户需要多个权限。

按脚本分配权限

A. 下载权限脚本

权限更新脚本

B. 检索Azure 自动化托管标识 GUID 并将其插入下载的脚本中

  1. 转到“ 标识 ”部分中的自动化帐户。 可以找到托管标识的 Guid。
  2. 将 $MI_ID = “XXXXXXXXXXXXXX” 中的 GUID 替换为托管标识的 GUID。

C. 使用 全局管理员 帐户启动脚本

请注意,此脚本需要 MSGraph 模块和管理员同意才能使用 Microsoft Graph 访问租户。 该脚本将向托管标识添加 3 个权限:1.Exchange Online ManageAsApp 权限 2。Microsoft 图形 API 3 上的 User.Read.All。Microsoft 图形 API 上的 Group.Read.All

D. Exchange Online角色分配

  1. 作为 全局管理员,请转到“角色和管理员”。
  2. 选择 “全局读取者角色”或“安全读取者 ”,然后单击“添加分配”。
  3. 单击“未选择成员”,搜索托管标识帐户名称,以 自动化帐户名称开头, 例如“ESI-Collector”。 选择它,然后单击“选择”。
  4. 单击“ 下一步”,并通过单击“分配”来验证分配



ExtraHop 检测数据连接器

支持者:ExtraHop 支持

使用 ExtraHop 检测数据连接器,可以从 ExtraHop RevealX 导入检测数据,以通过 Webhook 有效负载Microsoft Sentinel。 通过数据收集规则 (DCR) ,使用 Azure Monitor 日志引入 API 引入数据。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ExtraHop_Detections_CL

数据收集规则支持: 当前不支持

先决条件:

  • Azure订阅:需要具有所有者角色的Azure订阅才能在 Microsoft Entra ID 中注册应用程序、创建数据收集终结点和数据收集规则,并分配所需的角色。
  • Microsoft Entra应用注册:需要使用客户端密码Microsoft Entra ID应用注册 (服务主体) 。 必须提供应用的对象 ID,以便部署可以为其分配通过日志引入 API 发布日志所需的角色。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • ExtraHop RevealX 权限:在 ExtraHop RevealX 系统上需要满足以下条件:
  1. RevealX 系统必须运行固件版本 9.9.2 或更高版本。
  2. RevealX 系统必须连接到 ExtraHop 云服务。
  3. 你的用户帐户必须具有 RevealX 360 的系统管理权限或对 RevealX Enterprise 的完全写入权限。

设置说明:

注意:此连接器使用 Azure Functions 接收 ExtraHop Webhook 有效负载,并使用 Azure Monitor 日志引入 API (基于 DCR 的引入) 将它们引入到 Microsoft Sentinel。 这将替换旧版 Log Analytics HTTP 数据收集器 API。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 安全地将 API 凭据存储在 Azure 密钥保管库 中。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意:此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该分析程序部署为解决方案的一部分。 若要查看 Log Analytics 中的函数代码,请打开 Log Analytics/Microsoft Sentinel“日志”边栏选项卡,单击“函数”并搜索别名 ExtraHopDetections 并加载函数代码或 单击此处。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。

配置:

步骤 1 - Microsoft Entra ID 中应用程序的应用注册步骤

此集成需要在 Azure 门户 中注册应用。 按照本部分中的步骤在 Microsoft Entra ID 中创建新应用程序:

  1. 登录 Azure 门户
  2. 搜索并选择“Microsoft Entra ID”。
  3. “管理”下,选择“应用注册>新注册”。
  4. 输入应用程序的显示 名称 (例如, ExtraHopSentinelConnector) 。
  5. 选择“ 注册 ”以完成初始应用注册。
  6. 注册完成后,Azure 门户将显示应用注册的“概述”窗格。 会看到 应用程序 (客户端) ID 和租户 ID。 执行 ExtraHop 数据连接器时,需要将客户端 ID 和租户 ID 作为配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app

步骤 2 - 在 Microsoft Entra ID 中添加应用程序的客户端密码

有时称为应用程序密码,客户端密码是执行 ExtraHop 数据连接器所需的字符串值。 按照本部分中的步骤创建新的客户端密码:

  1. 在“Azure 门户”中,在“应用注册”中选择应用程序。
  2. 选择 “证书”& 机密 > “”客户端机密 > “”新建客户端密码”。
  3. 添加客户端密码的说明。
  4. 选择机密的过期时间或指定自定义生存期。 限制为 24 个月。
  5. 选择“添加”。
  6. 记录要在客户端应用程序代码中使用的机密值。 离开此页面后,永远不会再次显示此机密值。 机密值作为 ExtraHop 数据连接器执行的配置参数是必需的。

参考链接:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步骤 3 - 在 Microsoft Entra ID 中获取应用程序的对象 ID

创建应用注册后,请按照此部分中的步骤获取对象 ID:

  1. 转到Microsoft Entra ID
  2. 从左侧菜单中选择“ 企业应用程序 ”。
  3. 在列表中查找新创建的应用程序, (可以按) 提供的名称进行搜索。
  4. 单击应用程序。
  5. 在“概述”页上,复制 “对象 ID”。这是 ARM 模板角色分配所需的 AzureEntraObjectID

步骤 4 - 部署 ExtraHop 数据连接器

重要:在部署 ExtraHop 数据连接器之前,Microsoft Entra ID应用注册详细信息 (客户端 ID、客户端密码、租户 ID 和对象 ID) 随时可用。

部署 ExtraHop 检测数据连接器:

使用此方法自动部署 ExtraHop 检测数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“区域”。

  3. 输入以下信息:

    a. FunctionName - 输入用于命名所有相关资源的函数应用名称 () 。 必须为 1-11 个字符。 默认值:ExtraHop

    b. 位置 - 应在其中部署数据收集规则和数据收集终结点的位置

    c. WorkspaceName - 输入 Log Analytics 工作区Microsoft Sentinel工作区名称

    d. AzureClientId - 输入在应用注册期间创建的Azure客户端 ID

    e. AzureClientSecret - 输入在创建客户端密码时创建的Azure客户端密码

    f. AzureEntraObjectID - 输入Microsoft Entra应用的对象 ID

    g. TenantId - 输入Microsoft Entra ID的租户 ID

    h. DetectionsTableName - 输入用于存储 ExtraHop 检测日志的表的名称。 默认值为“ExtraHop_Detections”

    i. LogLevel - 从“调试”、“信息”、“错误”、“警告”中选择日志级别或日志严重性值。 默认情况下,它设置为“信息”

    j. AppInsightsWorkspaceResourceID - 将经典 Application Insights 迁移到 Log Analytic 工作区,该工作区将于 2024 年 2 月 29 日停用。 使用具有“资源 ID”属性值的“Log Analytic 工作区-->属性”边栏选项卡。 这是格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”的完全限定 resourceId

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

步骤 5 - 部署后

成功部署后,将来自 ExtraHop RevealX 的 Webhook 连接配置为Microsoft Sentinel。

1) 获取函数应用终结点

  1. 转到“Azure函数概述”页,然后单击“函数”选项卡。
  2. 单击名为 ExtraHopHttpStarter 的函数。
  3. 转到 “获取函数 URL”,复制默认 (函数密钥) 下可用的函数 URL
  4. {functionname} 替换为复制的函数 URL 中的 ExtraHopDetectionsOrchestrator

2) 配置与Microsoft Sentinel的连接,并从 RevealX 指定 Webhook 有效负载条件

在 ExtraHop 系统中,配置Microsoft Sentinel集成,以在 Microsoft Sentinel 与 ExtraHop RevealX 之间建立连接,并创建检测通知规则,将 Webhook 数据发送到Microsoft Sentinel。 有关详细说明,请参阅将 ExtraHop RevealX 与 Microsoft Sentinel SIEM 集成

配置通知规则并Microsoft Sentinel接收 Webhook 数据后,将触发函数应用,你可以从 Log Analytics 工作区自定义表查看 ExtraHop 检测。 对数据的规范化视图使用 ExtraHopDetections 分析器函数。



F5 BIG-IP

受支持:F5 Networks

借助 F5 防火墙连接器,可以轻松地将 F5 日志与Microsoft Sentinel连接、查看仪表板、创建自定义警报和改进调查。 这使你可以更深入地了解组织的网络,并改进安全操作功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
F5Telemetry_LTM_CL
F5Telemetry_system_CL
F5Telemetry_ASM_CL

数据收集规则支持:工作区转换 DCR

设置说明:

配置和连接 F5 BIGIP

若要连接 F5 BIGIP,必须向系统的 API 终结点发布 JSON 声明。 有关如何执行此操作的说明,请参阅将 F5 BGIP 与Microsoft Sentinel集成

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



Feedly IoC

支持者:Feedly Inc

Feedly IoC 数据连接器提供将入侵指标 (IoC) 从 Feedly API 引入到Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
feedly_indicators_CL

数据收集规则支持: 当前不支持

先决条件:

  • 源 API 访问:需要访问 Feedly API。 需要一个源 API 令牌,该令牌可以访问要引入的 IoC 流。 在 生成 API 令牌 https://feedly.com/i/team/api

设置说明:

连接到 Feedly 以开始收集Microsoft Sentinel中的 IoC

  1. 转到 https://feedly.com/i/team/api 并为连接器生成新的 API 令牌。
  2. 在 Sentinel 的连接器页中,提供源 API 密钥和Stream ID。 然后单击“连接”。
  • Feedly API 密钥: (输入源 API 令牌)
  • 源Stream ID: (streamId1、streamId2、streamId3)
  • 启用/禁用连接



Flare 推送连接器

支持者:Flare

Flare 连接器提供将威胁情报和暴露数据从 Flare 引入到Microsoft Sentinel的功能。 Flare 可识别因人为错误或恶意攻击(包括凭据泄露、公开的云存储桶、暗网提及等)而公开提供的公司的数字资产。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
FireworkV2_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。
  • Microsoft Azure:对数据收集规则 (DCR) 分配监视指标发布者角色的权限。
  • Flare:在 Flare 中配置Microsoft Sentinel集成的权限。

设置说明:

1. 创建 ARM 资源并提供所需权限

此连接器使 Flare 能够将威胁暴露数据发送到Microsoft Sentinel。 在 Flare 中启用数据转发后,原始事件数据会安全地发送到 Microsoft Sentinel 引入 API。

自动配置和安全数据引入,Entra应用程序单击“部署”将创建 Log Analytics 表和数据收集规则 (DCR) 。 然后,它将创建一个Entra应用程序,将 DCR 链接到该应用程序,并在应用程序中设置输入的机密。 此设置允许使用Entra令牌将数据安全地发送到 DCR。

2.配置 Flare 以将日志发送到Microsoft Sentinel

使用以下参数将 Flare 配置为将日志发送到工作区。

  • Entra应用程序 (客户端) ID:<在安装时提供的变量值>
  • Entra Directory (租户) ID:<在安装时提供的变量值>
  • Entra应用注册机密:<在安装时提供的变量值>
  • 日志引入 URL: <在安装时提供的变量值>

3.在 Flare 中配置警报通道

作为组织管理员,可以在 Flare 中配置警报通道,将数据发送到Sentinel。

  1. Flare 上进行身份验证
  2. 访问 警报页 以创建新的警报通道。
  3. 选择“Microsoft Sentinel”,并在窗体中复制上述字段。

有关更多详细信息,请参阅 Flare 文档



Forcepoint DLP

支持者:Community

借助 Forcepoint DLP (数据丢失防护) 连接器,你可以自动将 DLP 事件数据从 Forcepoint DLP 实时导出到Microsoft Sentinel。 这可以丰富用户活动和数据丢失事件的可见性,进一步关联来自Azure工作负载和其他源的数据,并改进了Microsoft Sentinel内工作簿的监视功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ForcepointDLPEvents_CL

数据收集规则支持: 当前不支持

设置说明:

按照适用于Microsoft Sentinel的 Forcepoint DLP 文档中的分步说明配置此连接器。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



Forescout

支持者:Microsoft Corporation

Forescout 数据连接器提供将 Forescout 事件引入Microsoft Sentinel的功能。 有关详细信息,请参阅 Forescout 文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ForescoutEvent

数据收集规则支持: 当前不支持

设置说明:

注意:此数据连接器依赖于基于 Kusto 函数分析程序才能按预期使用 Microsoft Sentinel 解决方案部署的 ForescoutEvent 工作。

注意: 此数据连接器是使用 Forescout Syslog 插件版本开发的:v3.6

1.安装并载入 Linux 或 Windows 的代理

在转发 Forescout 日志的服务器上安装代理。

部署在 Linux 或 Windows 服务器上的 Forescout 服务器的日志由 Linux 或 Windows 代理收集。

选择安装Linux代理的位置:

在 Azure Linux 虚拟机上安装代理

选择要安装代理的计算机,然后单击“ 连接”。

  • 安装代理: <在安装时提供的变量值>

在非Azure Linux计算机上安装代理

在相关计算机上下载代理,并按照说明进行操作。

  • 安装代理: <在安装时提供的变量值>

选择 Windows 代理的安装位置:

在 Azure Windows 虚拟机上安装代理

选择要安装代理的计算机,然后单击“ 连接”。

  • 安装代理: <在安装时提供的变量值>

在非Azure Windows 计算机上安装代理

在相关计算机上下载代理,并按照说明进行操作。

  • 安装代理: <在安装时提供的变量值>

2.配置要收集的日志

配置要收集的设施及其严重性。

  1. 在“工作区高级设置 配置”下,选择“数据”,然后选择“Syslog”。
  2. 选择“ 将以下配置应用于我的计算机 ”,然后选择设施和严重性。
  3. 单击保存
  • 安装代理: <在安装时提供的变量值>

3.配置 Forescout 事件转发

按照下面的配置步骤将 Forescout 日志导入Microsoft Sentinel。

  1. 选择要配置的设备。
  2. 按照这些说明 将警报从 Forescout 平台转发到 syslog 服务器。
  3. “Syslog 触发器”选项卡中配置设置。



Forescout 主机属性监视器

支持者:Microsoft Corporation

使用 Forescout 主机属性监视器连接器,可以使用Microsoft Sentinel从 Forescout 平台连接主机属性,以查看、创建自定义事件并改进调查。 这使你可以更深入地了解组织网络,并改进安全操作功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ForescoutHostProperties_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Forescout 插件要求:请确保 Forescout Microsoft Sentinel插件在 Forescout 平台上运行

设置说明:

有关如何配置 Forescout Microsoft Sentinel 插件的说明,请参阅 Forescout 文档门户 (https://docs.forescout.com/bundle/sentinel-1-0-h)

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



Fortinet FortiNDR Cloud

支持者:Fortinet

Fortinet FortiNDR 云数据连接器提供使用 FortinDR 云 API 将 Fortinet FortiNDR Cloud 数据引入到Microsoft Sentinel的功能

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
FncEventsSuricata_CL
FncEventsObservation_CL
FncEventsDetections_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • MetaStream 凭据:需要 AWS 访问密钥 IDAWS 机密访问密钥FortiNDR 云帐户代码 才能检索事件数据。
  • API 凭据需要 FortiNDR 云 API 令牌FortiNDR 云帐户 UUID 才能检索检测数据。

设置说明:

注意:此连接器使用 Azure Functions 连接到 FortiNDR 云 API,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意:此连接器使用基于 Kusto 函数分析程序来规范化字段。 按照以下步骤 创建 Kusto 函数别名Fortinet_FortiNDR_Cloud。

步骤 1 - Fortinet FortiNDR 云日志集合的配置步骤

提供程序应提供或链接到配置“提供程序名称应用程序名称”API 终结点的详细步骤,以便Azure函数可以向其成功进行身份验证,获取其授权密钥或令牌,并将设备的日志拉入Microsoft Sentinel。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 Fortinet FortiNDR 云连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及 FortiNDR 云 API 凭据 (FortiNDR 云帐户管理) 随时可用。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

Azure 资源管理器 (ARM) 模板

使用此方法自动部署 Fortinet Fortinet FortiNDR 云连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置 ” (确保使用与资源组相同的位置,并且该位置支持弹性消耗。

  3. 输入 工作区 ID、工作区密钥、AwsAccessKeyId、AwsSecretAccessKey 和/或其他必填字段。

  4. 单击“ 创建 ”进行部署。



Fortra Agari 数据连接器通过无代码连接器框架 ()

支持者:Microsoft Corporation

Fortra Agari 数据连接器允许将日志从 Fortra Agari API 引入Microsoft Sentinel。 此连接器与 Agari 品牌保护 (BP) 、钓鱼防御 (APD) 和钓鱼响应 (APR) 产品集成。 它支持基于 DCR 的引入时间转换,以便高效执行查询。 有关详细信息,请参阅 Agari API 文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AgariBPAlertsLog_CL

数据收集规则支持: 当前不支持

设置说明:

Agari API 的配置步骤

按照以下说明获取 Agari API 凭据。

  1. 检索 API URL 登录到 Agari 控制台并导航到 API 部分。 默认 API URL 为 https://api.agari.com

  2. 检索客户端凭据 从 Agari 帐户中的 API 凭据部分获取客户端 ID 和客户端密码。 请注意, (品牌防护、网络钓鱼防御、网络钓鱼响应) 的不同 Agari 产品可能需要单独的 API 凭据。

  3. 选择“数据流”选择要收集的 Agari 数据流。 可以根据订阅和要求选择一个或多个流。

  • 基本 API URL: (https://api.agari.com)
  • 客户端 ID: (客户端 ID)
  • 客户端密码: (客户端机密)
  • 启用/禁用连接



使用 Azure Functions) 的 Garrison ULTRA 远程日志 (

支持者:Garrison

使用 Garrison ULTRA 远程日志连接器可将 Garrison ULTRA 远程日志引入Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Garrison_ULTRARemoteLogs_CL

数据收集规则支持: 当前不支持

先决条件:

  • Garrison ULTRA:若要使用此数据连接器,必须具有有效的 Garrison ULTRA 许可证。

设置说明:

部署 - Azure 资源管理器 (ARM) 模板

这些步骤概述了使用 ARM Tempate 自动部署 Garrison ULTRA 远程日志数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    portal.azure.com

  2. 提供所需的详细信息,例如资源组、Microsoft Sentinel工作区和引入配置

注意: 建议创建新的资源组来部署这些资源。 3.将标记为 “我同意上述条款和条件”的复选框。 4.单击“ 购买 ”进行部署。



GCP Cloud Run (通过无代码连接器框架)

支持者:Microsoft Corporation

GCP Cloud Run 数据连接器提供使用 Pub/Sub 将 Cloud Run 请求日志引入Microsoft Sentinel的功能。 有关更多详细信息,请参阅 云运行概述

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GCPCloudRun

数据收集规则支持:工作区转换 DCR

设置说明:

**将 GCP Cloud Run 连接到 Microsoft Sentinel **

  • 租户 ID:在 GCP 环境中用作 Terraform 配置输入的唯一标识符。: <在安装时提供的变量值>
  1. 启用云运行日志 在 Google Cloud Console 中,启用云日志记录(如果以前未启用),并保存更改。部署或更新启用了日志记录的云运行服务。

参考链接: 文档链接

  1. 连接新收集器 若要为Microsoft Sentinel启用 GCP 云运行请求日志,请单击“添加新收集器”按钮,在弹出窗口中提供所需信息,然后单击“连接”。



通过无代码连接器框架) 的 GCP 云 SQL (

支持者:Microsoft Corporation

GCP 云 SQL 数据连接器提供使用 GCP 云 SQL API 将审核日志引入Microsoft Sentinel的功能。 有关详细信息,请参阅 GCP 云 SQL 审核日志 文档。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GCPCloudSQL

数据收集规则支持:工作区转换 DCR

设置说明:

将 GCP Cloud SQL 连接到 Microsoft Sentinel

  • 租户 ID:在 GCP 环境中用作 terraform 配置输入的唯一标识符。: <在安装时提供的变量值>

  1. 在 Google Cloud Console 中,启用云 SQL API(如果以前未启用),并保存更改。

  2. 连接新收集器 若要为Microsoft Sentinel启用 GCP Cloud SQL 日志,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。



GCP 发布/订阅审核日志

支持者:Microsoft Corporation

Google Cloud Platform (GCP) 审核日志(从 Microsoft Sentinel 的连接器引入)使你能够捕获三种类型的审核日志:管理员活动日志、数据访问日志和访问透明度日志。 Google 云审核日志记录了一条线索,从业者可以使用该跟踪来监视 Google Cloud Platform (GCP) 资源中的潜在威胁。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GCPAuditLogs

数据收集规则支持:工作区转换 DCR

设置说明:

  • 租户 ID:在 GCP 环境中用作 Terraform 配置输入的唯一标识符。: <在安装时提供的变量值>
  1. 连接新收集器 若要为Microsoft Sentinel启用 GCP 审核日志,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。



GCP 发布/订阅负载均衡器日志通过无代码连接器框架) (。

支持者:Microsoft Corporation

Google Cloud Platform (GCP) 负载均衡器 日志提供有关网络流量的详细见解,捕获入站和出站活动。 这些日志用于监视访问模式和识别跨 GCP 资源的潜在安全威胁。 此外,这些日志还包括 GCP Web 应用程序防火墙 (WAF) 日志,增强了有效检测和缓解风险的能力。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GCPLoadBalancerLogs_CL

数据收集规则支持:工作区转换 DCR

设置说明:

  • 租户 ID:在 GCP 环境中用作 Terraform 配置输入的唯一标识符。: <在安装时提供的变量值>
  1. 启用负载均衡器日志 在 GCP 帐户中,导航到“负载均衡器”部分。 在此处,可以否定为 [后端服务] -> [编辑],一旦处于 [日志记录] 部分中的 [后端服务] ,请启用 [启用日志] 复选框。打开规则后,将“日志”部分下的切换按钮切换为“开”,然后保存更改。

有关详细信息,请参阅 文档链接

  1. 连接新收集器 若要为Microsoft Sentinel启用 GCP 负载均衡器日志,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。



通过无代码连接器框架) (GCP 发布/订阅 VPC 流日志

支持者:Microsoft Corporation

借助 Google Cloud Platform (GCP) VP 流日志,可以在专有网络级别捕获网络流量活动,从而监视访问模式、分析网络性能以及检测跨 GCP 资源的潜在威胁。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GCPVPCFlow

数据收集规则支持:工作区转换 DCR

设置说明:

  • 租户 ID:在 GCP 环境中用作 Terraform 配置输入的唯一标识符。: <在安装时提供的变量值>
  1. 启用专有网络流日志 在 GCP 帐户中,导航到“专有网络”部分。 选择要监视的子网,并在“日志记录”部分下启用流日志。

有关详细信息,请参阅 Google Cloud 文档

  1. 连接新收集器 若要为Microsoft Sentinel启用 GCP VPC 流日志,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。



Gigamon AMX 连接器

支持者:Gigamon

Gigamon 连接器提供从 Microsoft Sentinel 中的 Gigamon 读取原始事件数据的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GigamonV2_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。 通常需要Entra ID 应用程序开发人员角色或更高版本。
  • Microsoft Azure:对数据收集规则 (DCR) 分配监视指标发布者角色的权限。 通常需要Azure RBAC 所有者或用户访问管理员角色

设置说明:

1. 创建 ARM 资源并提供所需权限

此连接器从 Gigamon CCF 在Microsoft分析工作区中所使用的表读取数据,如果在 Gigamon CCF 中启用了数据转发选项,则原始事件数据将发送到 Microsoft Sentinel 引入 API。

自动配置和安全数据引入,Entra应用程序单击“部署”将触发创建 Log Analytics 表和数据收集规则 (DCR) 。 然后,它将创建一个Entra应用程序,将 DCR 链接到该应用程序,并在应用程序中设置输入的机密。 此设置允许使用Entra令牌将数据安全地发送到 DCR。

2. 将日志推送到工作区

使用以下参数将计算机配置为将日志发送到工作区。

  • 租户 ID (目录 ID) : <在安装时提供的变量值>
  • Entra应用注册应用程序 ID:<在安装时提供的变量值>
  • Entra应用注册机密:<在安装时提供的变量值>
  • 数据收集终结点 URI: <在安装时提供的变量值>
  • 数据收集规则不可变 ID: <在安装时提供的变量值>
  • 活动Stream名称:<在安装时提供的变量值>
  • 威胁Stream名称:<在安装时提供的变量值>



使用 Webhook 的 GitHub ()

支持者:Microsoft Corporation

GitHub Webhook 数据连接器提供使用 GitHub Webhook 事件将 GitHub 订阅的事件引入Microsoft Sentinel的功能。 连接器提供将事件引入Microsoft Sentinel有助于检查潜在的安全风险、分析团队协作使用情况、诊断配置问题等。

注意: 如果打算引入 Github 审核日志,请参阅“数据连接器”库中的 GitHub 企业审核日志连接器。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
githubscanaudit_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions

设置说明:

注意:此连接器基于 http 触发器Azure函数构建。 它还提供了一个终结点,github 将通过它的 Webhook 功能连接到该终结点,并将订阅的事件发布到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

从以下两个部署选项中选择一个,以部署连接器和关联的 Azure 函数

重要: 在部署 Github Webhook 连接器之前,请从以下) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署 GitHub 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用并部署。 3.将标记为 “我同意上述条款和条件”的复选框。 5.单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 GitHub Webhook 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。
  2. 按照函数应用手动部署说明使用 VSCode 部署 Azure Functions 应用。
  3. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。
  3. “应用程序设置”选项卡中,选择“新建应用程序设置”。
  4. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :WorkspaceID WorkspaceKey logAnalyticsUri (可选) - 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  5. 输入所有应用程序设置后,单击“ 保存”。

部署后步骤

步骤 1 - 获取Azure函数 URL

  1. 转到Azure函数概述页,然后单击左侧边栏选项卡中的“函数”。
  2. 单击名为“GithubwebhookConnector”的函数。
  3. 转到“GetFunctionurl”并复制函数 URL。

步骤 2 - 将 Webhook 配置为 Github 组织

  1. 转到 GitHub 并打开帐户,然后单击“你的组织”。
  2. 单击“设置”。
  3. 单击“Webhook”,然后在“有效负载 URL”文本框中输入从上述步骤 1 复制的函数应用 URL。
  4. 选择内容类型作为“application/json”。
  5. 订阅事件并单击“添加 Webhook”

现在,我们完成了 github Webhook 配置。 触发 github 事件后,在延迟 20 到 30 分钟后 (LogAnalytics 将首次) 启动资源,因此你应该能够看到所有事务事件从 Github 到 LogAnalytics 工作区表,称为“githubscanaudit_CL”。

有关更多详细信息,请 单击此处



通过无代码连接器框架 (GitHub Enterprise Audit Log)

支持者:Microsoft Corporation

GitHub 审核日志连接器提供将 GitHub 日志引入Microsoft Sentinel的功能。 通过将 GitHub 审核日志连接到Microsoft Sentinel,可以在工作簿中查看此数据,使用它创建自定义警报并改进调查过程。

注意:如果打算将 GitHub 订阅的事件引入Microsoft Sentinel,请参阅使用“数据连接器”库中的 Webhook) 连接器的 GitHub (。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GitHubAuditLogsV2_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • GitHub API 个人访问令牌:若要为企业审核日志启用轮询,请确保经过身份验证的用户是企业管理员,并且具有 GitHub 个人访问令牌 (具有作用域的经典) read:audit_log
  • GitHub Enterprise 类型:此连接器仅适用于 GitHub Enterprise Cloud;它不支持 GitHub Enterprise Server。

设置说明:

将 GitHub 企业级审核日志连接到Microsoft Sentinel

启用 GitHub 审核日志。 按照 本指南 创建或查找个人访问令牌。

  • 数据连接器网格 (门户中配置)



通过无代码连接器框架 (Google ApigeeX)

支持者:Microsoft Corporation

Google ApigeeX 数据连接器提供使用 Google Apigee API 将审核日志引入Microsoft Sentinel的功能。 有关详细信息,请参阅 Google Apigee API 文档。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GCPApigee

数据收集规则支持:工作区转换 DCR

设置说明:

**将 Google ApigeeX 连接到 Microsoft Sentinel **

  • 租户 ID:在 GCP 环境中用作 Terraform 配置输入的唯一标识符。: <在安装时提供的变量值>

  1. 启用 ApigeeX 日志 在 Google Cloud Console 中,启用 Apigee API(如果以前未启用),并保存更改。

  2. 连接新收集器 若要为Microsoft Sentinel启用 ApigeeX 日志,请单击“添加新收集器”按钮,在弹出窗口中提供所需的信息,然后单击“连接”。



通过无代码连接器框架 (Google Cloud Platform CDN)

支持者:Microsoft Corporation

Google Cloud Platform CDN 数据连接器提供使用计算引擎 API 将云 CDN 审核日志和云 CDN 流量日志引入Microsoft Sentinel的功能。 有关更多详细信息,请参阅 产品概述 文档。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GCPCDN

数据收集规则支持:工作区转换 DCR

设置说明:

**将 GCP CDN 连接到 Microsoft Sentinel **

  • 租户 ID:在 GCP 环境中用作 Terraform 配置输入的唯一标识符。: <在安装时提供的变量值>
  1. 启用 CDN 日志 在 Google Cloud Console 中,启用云日志记录(如果以前未启用),并保存更改。 导航到“云 CDN”部分,然后单击“添加源”,根据下面提供的链接创建后端。

参考链接: 文档链接

  1. 连接新收集器 若要为Microsoft Sentinel启用 GCP 云 CDN 日志,请单击“添加新收集器”按钮,在弹出窗口中提供所需的信息,然后单击“连接”。



Google Cloud Platform Cloud IDS 通过无代码连接器框架 ()

支持者:Microsoft Corporation

Google Cloud Platform IDS 数据连接器提供使用 Google Cloud IDS API 将云 IDS 流量日志、威胁日志和审核日志引入Microsoft Sentinel的功能。 有关详细信息,请参阅 Cloud IDS API 文档。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GCPIDS

数据收集规则支持:工作区转换 DCR

设置说明:

**将 GCP Cloud IDS 连接到 Microsoft Sentinel **

  • 租户 ID:在 GCP 环境中用作 Terraform 配置输入的唯一标识符。: <在安装时提供的变量值>
  1. 启用 IDS 日志 在 Google Cloud Console 中,启用云 IDS API(如果以前未启用)。 创建 IDS 终结点并保存更改。

有关如何创建和配置 IDS 终结点的详细信息: 文档链接

  1. 连接新收集器 若要为Microsoft Sentinel启用 GCP IDS 日志,请单击“添加新收集器”按钮,在弹出窗口中提供所需信息,然后单击“连接”。



通过无代码连接器框架 (Google Cloud Platform 云监视)

支持者:Microsoft Corporation

Google Cloud Platform Cloud Monitoring 数据连接器使用 Google Cloud Monitoring API 将监视日志从 Google Cloud 引入到 Microsoft Sentinel。 有关更多详细信息,请参阅 云监视 API 文档。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GCPMonitoring

数据收集规则支持:工作区转换 DCR

设置说明:

将 Google Cloud Platform Cloud Monitoring 连接到 Microsoft Sentinel

  1. 设置 GCP 监视集成 若要将日志从 GCP 云监视提取到Sentinel Google 云的项目 ID 是必需的。

  2. 选择 “指标类型 ”,从 Google Cloud Monitoring 收集日志,提供所需的指标类型。

有关更多详细信息,请参阅 Google Cloud Metrics

  1. 获取 Oauth 客户端 ID 和客户端密码的 OAuth 凭据请参阅 本文档

  2. 连接到Sentinel单击“连接”,开始将监视日志从 Google Cloud 拉取到Microsoft Sentinel。

  • GCP 项目 ID
  • 指标类型
  • 数据连接器网格 (门户中配置)



通过无代码连接器框架 (Google Cloud Platform Compute Engine)

支持者:Microsoft Corporation

借助 Google Cloud Platform Compute Engine 数据连接器,可以使用 Google Cloud Compute Engine API 将计算引擎审核日志引入Microsoft Sentinel。 有关详细信息,请参阅 云计算引擎 API 文档。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GCPComputeEngine

数据收集规则支持:工作区转换 DCR

设置说明:

**将 GCP 计算引擎连接到 Microsoft Sentinel **

  • 租户 ID:在 GCP 环境中用作 Terraform 配置输入的唯一标识符。: <在安装时提供的变量值>

  1. 启用计算引擎日志 在 Google Cloud Console 中,启用计算引擎 API(如果以前未启用),并保存更改。

  2. 连接新收集器 若要为Microsoft Sentinel启用计算引擎日志,请单击“添加新收集器”按钮,在弹出窗口中提供所需的信息,然后单击“连接”。



通过无代码连接器框架 (Google Cloud Platform DNS)

支持者:Microsoft Corporation

Google Cloud Platform DNS 数据连接器提供使用 Google Cloud DNS API 将云 DNS 查询日志和云 DNS 审核日志引入Microsoft Sentinel的功能。 有关详细信息,请参阅 云 DNS API 文档。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GCPDNS

数据收集规则支持:工作区转换 DCR

设置说明:

**将 GCP DNS 连接到 Microsoft Sentinel **

注意:如果 Azure 函数和 CCF 连接器同时运行,则会在表中填充重复数据。

  • 租户 ID:在 GCP 环境中用作 Terraform 配置输入的唯一标识符。: <在安装时提供的变量值>
  1. 启用 DNS 日志 在 Google Cloud 控制台中,导航到“云 DNS”部分。 启用云日志记录(如果以前未启用),并保存更改。 在这里,可以管理现有区域,或者为要监视的区域创建新区域并创建策略。

有关详细信息,请参阅 文档链接

  1. 连接新收集器 若要为Microsoft Sentinel启用 GCP DNS 日志,请单击“添加新收集器”按钮,在弹出窗口中提供所需的信息,然后单击“连接”。



通过无代码连接器框架) 的 Google Cloud Platform IAM (

支持者:Microsoft Corporation

借助 Google Cloud Platform IAM 数据连接器,可以使用 Google IAM API 将 Google Cloud 中与标识和访问管理相关的审核日志 (IAM) 活动引入Microsoft Sentinel。 有关详细信息,请参阅 GCP IAM API 文档。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GCPIAM

数据收集规则支持:工作区转换 DCR

设置说明:

将 GCP IAM 连接到Microsoft Sentinel

注意:如果 Azure Function 和 CCF 连接器并行运行,则会在表中填充重复数据。

  • 租户 ID:在 GCP 环境中用作 Terraform 配置输入的唯一标识符。: <在安装时提供的变量值>
  1. 若要在 GCP 帐户中启用 IAM 日志,请导航到 IAM 部分。 在此处,可以创建新用户或修改要监视的现有用户的角色。 请务必保存更改。

有关详细信息,请参阅 文档链接

  1. 连接新收集器 若要为Microsoft Sentinel启用 GCPIAM 日志,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。



通过无代码连接器框架) 的 Google Cloud Platform NAT (

支持者:Microsoft Corporation

借助 Google Cloud Platform NAT 数据连接器,可以使用计算引擎 API 将云 NAT 审核日志和云 NAT 流量日志引入Microsoft Sentinel。 有关更多详细信息,请参阅 产品概述 文档。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GCPNATAudit
GCPNAT

数据收集规则支持:工作区转换 DCR

设置说明:

**将 GCP NAT 连接到 Microsoft Sentinel **

  • 租户 ID:在 GCP 环境中用作 Terraform 配置输入的唯一标识符。: <在安装时提供的变量值>
  1. 启用 NAT 日志 在 Google Cloud Console 中,启用云日志记录(如果以前未启用),并保存更改。 导航到“云 NAT”部分,单击“添加源”,根据下面提供的链接创建后端。

参考链接: 文档链接

  1. 连接新收集器 若要为Microsoft Sentinel启用 GCP 云 NAT 日志,请单击“添加新收集器”按钮,在弹出窗口中提供所需的信息,然后单击“连接”。



通过无代码连接器框架资源管理器 (Google Cloud Platform)

支持者:Microsoft Corporation

借助 Google Cloud Platform 资源管理器 数据连接器,可以使用云资源管理器 API 将资源管理器管理员活动和数据访问审核日志引入Microsoft Sentinel。 有关更多详细信息,请参阅 产品概述 文档。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GCPResourceManager

数据收集规则支持:工作区转换 DCR

设置说明:

**将 GCP 资源管理器连接到 Microsoft Sentinel **

  • 租户 ID:在 GCP 环境中用作 Terraform 配置输入的唯一标识符。: <在安装时提供的变量值>

  1. 启用资源管理器日志 在 Google Cloud Console 中,启用云资源管理器 API(如果以前未启用),并保存更改。 请确保对帐户具有组织级别的 IAM 权限,以查看资源层次结构中的所有日志。 可以在此链接中提供的每个级别引用不同 IAM 权限的文档链接,以便通过 IAM 进行访问控制

  2. 连接新收集器 若要为Microsoft Sentinel启用 GCP 资源管理器日志,请单击“添加新收集器”按钮,在弹出窗口中提供所需信息,然后单击“连接”。



通过无代码连接器框架) 的 Google Kubernetes 引擎 (

支持者:Microsoft Corporation

借助 Google Kubernetes 引擎 (GKE) 日志,可以捕获群集活动、工作负载行为和安全事件,从而监视 Kubernetes 工作负载、分析性能以及检测跨 GKE 群集的潜在威胁。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GKEAudit

数据收集规则支持:工作区转换 DCR

设置说明:

  • 租户 ID:在 GCP 环境中用作 Terraform 配置输入的唯一标识符。: <在安装时提供的变量值>

  1. 启用 Kubernetes 引擎日志记录 在 GCP 帐户中,导航到“Kubernetes 引擎”部分。 为群集启用云日志记录。 在云日志记录中,确保启用要引入的特定日志(例如 API 服务器、计划程序、控制器管理器、HPA 决策和应用程序日志),以便进行有效的监视和安全分析。

  2. 连接新收集器 若要为Microsoft Sentinel启用 GKE 日志,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。



Google 安全命令中心

支持者:Microsoft Corporation

Google Cloud Platform (GCP) 安全命令中心是 Google Cloud 的综合安全和风险管理平台,从 Sentinel 的连接器引入。 它提供资产清单和发现、漏洞和威胁检测以及风险缓解和修正等功能,帮助你深入了解组织的安全和数据攻击面。 通过此集成,可以更有效地执行与结果和资产相关的任务。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GoogleCloudSCC

数据收集规则支持:工作区转换 DCR

设置说明:

  1. 设置 GCP 环境 必须定义和配置以下 GCP 资源:主题、主题订阅、工作负载标识池、工作负载标识提供者以及有权从订阅获取和使用的服务帐户。 Terraform 为创建资源的 IAM 提供 API。 链接到 Terraform 脚本
  • 租户 ID:在 GCP 环境中用作 Terraform 配置输入的唯一标识符。: <在安装时提供的变量值>
  1. 连接新收集器 若要为Microsoft Sentinel启用 GCP SCC,请单击“添加新收集器”按钮,在上下文窗格中填写所需信息,然后单击“连接”。



通过无代码连接器框架) (Google 工作区活动

支持者:Microsoft Corporation

Google 工作区活动数据连接器提供将活动事件从 Google 工作区 API 引入到Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GoogleWorkspaceReports

数据收集规则支持:工作区转换 DCR

先决条件:

  • Google 工作区 API 访问权限:需要通过 Oauth 访问 Google 工作区活动 API。

设置说明:

连接到 Google Workspace,开始将用户活动日志收集到 Microsoft Sentinel

Google 报告 API 的配置步骤

  1. 使用工作区管理员凭据https://console.cloud.google.com登录到 Google 云控制台。
  2. 使用顶部中间) 提供的搜索选项 (搜索 API & 服务
  3. API & 服务 ->已启用的 API & 服务中,为此项目启用 管理员 SDK API
  4. 转到“ API & 服务 ->OAuth 同意屏幕”。 如果尚未配置,请使用以下步骤创建 OAuth 同意屏幕:
    1. 提供应用名称和其他必需信息。
    2. 为访问群体选择“外部”作为“用户类型”。
  5. 转到 API & 服务 ->凭据 并创建 OAuth 2.0 客户端 ID
    1. 单击顶部的“创建凭据”,然后选择“Oauth 客户端 ID”。
    2. 从“应用程序类型”下拉列表中选择“Web 应用程序”。
    3. 为 Web 应用提供适当的名称,并在以下表单中添加重定向 URI 作为授权的重定向 URI。
    4. 单击“创建”后,将为你提供客户端 ID 和客户端密码。 复制这些值,并在下面的配置步骤中使用它们。
  6. 转到 Google 身份验证平台 ->数据访问:添加管理员 SDK API 范围

配置 Google 报告 API oauth 访问的步骤。 然后,在下面提供所需的信息,然后单击“连接”。

  • 数据连接器网格 (门户中配置)



GravityZone 数据连接器

支持者:Bitdefender SRL

此连接器通过事件推送服务 APIBitdefender GravityZoneMicrosoft Sentinel 之间实现集成。 配置后,它会将所有 GravityZone 事件类型直接流式传输到Microsoft Sentinel工作区,这些类型将作为日志GzSecurityEvents_CL存储在表中。

关键事件类别(如 EDR、XDR、勒索软件缓解、网络沙盒和 Exchange 恶意软件事件 )可以自动关联,并通过 NRT GravityZone 事件警报 分析规则生成事件。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GzSecurityEvents_CL

数据收集规则支持: 当前不支持

先决条件:

  • Azure 应用注册:Microsoft Entra应用注册,并保留以下详细信息的目录 (租户) ID、应用程序 (客户端) ID、托管服务主体对象 ID (从应用) 的企业应用程序条目、在证书 & 机密) 下生成的客户端机密 (。
  • GravityZone 云帐户:具有事件推送服务终结点生成的 API 密钥的 GravityZone 云帐户。
  • 阅读我们的指南:按照此分步文章设置集成。 客户 | 合作 伙伴

设置说明:

  1. 单击下面的“部署到Azure”按钮,并填写所需的参数。

aka.ms

  1. gz-sentinel-dce数据收集终结点收集日志引入 URL

  2. gz-sentinel-dcr数据收集规则收集不可变 ID

  3. 转到 GravityZone Cloud 帐户并导航到 “我的帐户”。创建具有事件推送服务权限的 API 密钥

  4. 使用本文配置事件推送服务设置。客户 | 合作伙伴。请注意,在成功部署数据连接器 & 成功设置 GravityZone 的事件推送服务后,系统将近乎实时地接收活动日志数据。数据传输与其在“Microsoft Sentinel日志”部分中的外观之间可能会发生短暂的延迟。



灰色威胁情报

支持者:GreyNoise

此数据连接器安装 Azure Function 应用,每天下载一次 GreyNoise 指标,并将其插入到 Microsoft Sentinel 中的 ThreatIntelIndicators 表中。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ThreatIntelIndicators

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • GreyNoise API 密钥在此处检索 GreyNoise API 密钥。

设置说明:

**可以按照以下步骤将 GreyNoise 威胁情报连接到Microsoft Sentinel: **

以下步骤创建Azure AAD 应用程序,检索 GreyNoise API 密钥,并将值保存在Azure函数应用程序配置中。

1. 从 GreyNoise 可视化工具检索 API 密钥。

从 GreyNoise 可视化工具生成 API 密钥 https://docs.greynoise.io/docs/using-the-greynoise-api

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory,并获取租户 ID 和客户端 ID。 此外,获取与 Microsoft Sentinel 实例关联的 Log Analytics 工作区 ID, (它应显示在) 下方。

按照此处的说明创建Azure AAD 应用并保存客户端 ID 和租户 ID:/azure/sentinel/connect-threat-intelligence-upload-api#说明注意:等待步骤 5 生成客户端密码。

  • 工作区 ID: <在安装时提供的变量值>

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

按照此处的说明添加Microsoft Sentinel参与者角色:/azure/sentinel/connect-threat-intelligence-upload-api#assign-a-role-to-the-application

4. 指定 AAD 权限以启用 MS 图形 API对上传指示器 API 的访问。

按照此处的此部分操作,将 “ThreatIndicators.ReadWrite.OwnedBy” 权限添加到 AAD 应用:/azure/sentinel/connect-threat-intelligence-tip#specify-the-permissions-required-by-the-application。 返回到 AAD 应用,确保授予管理员同意刚刚添加的权限。 最后,在“令牌和 API”部分中,生成并保存客户端密码。 步骤 6 中将需要它。

5.部署威胁情报 (新的) 解决方案, (v3.0.14 或更高版本) 其中包括威胁情报上传指示器 API (预览版)

请参阅此解决方案Microsoft Sentinel内容中心,并将其安装在 Microsoft Sentinel 实例中。 请注意,不需要在此步骤中执行任何配置。

6.部署 Azure 函数

单击“部署到Azure”按钮。

aka.ms

为每个参数填写相应的值。 请注意,GREYNOISE_CLASSIFICATIONS参数的唯一有效值是良性、恶意和/或未知值,这些值必须以逗号分隔。

7. 将指示器发送到Sentinel

步骤 6 中安装的函数应用每天查询一次 GreyNoise GNQL API,并将 STIX 2.1 格式中找到的每个指标提交到 Microsoft上传威胁情报指标 API。 除非在第二天的查询中找到,否则每个指示器在创建后的大约 24 小时内过期。 在这种情况下,TI 指示器的有效时间将再延长 24 小时,使其在Microsoft Sentinel保持活动状态。

有关 GreyNoise API 和 GreyNoise 查询语言 (GNQL) 的详细信息, 请单击此处



Halcyon 连接器

支持者:Halcyon

Halcyon 连接器提供将数据从 Halcyon 发送到Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
HalcyonEvents_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft Entra创建权限:在 Microsoft Entra ID 中创建应用注册的权限。 通常需要Entra ID 应用程序开发人员角色或更高版本。
  • 角色分配权限:将监视指标发布者角色分配给数据收集规则所需的权限 (DCR) 。 通常需要资源组级别的“所有者”或“用户访问管理员”角色。

设置说明:

1. 创建 ARM 资源和预配所需权限

如果正在转发数据,此连接器从 Halcyon 在 Microsoft Analytics 工作区中所使用的表读取数据

自动配置和安全数据引入,Entra应用程序单击“部署”将触发创建 Log Analytics 表和数据收集规则 (DCR) 。 然后,它将创建一个Entra应用程序,将 DCR 链接到该应用程序,并在应用程序中设置输入的机密。 此设置允许使用Entra令牌将数据安全地发送到 DCR。

2. 在 Halcyon 平台中配置集成

使用以下参数在 Halcyon 平台中配置集成。

  • 目录 ID (租户 ID) : <在安装时提供的变量值>
  • Entra应用注册应用程序 ID (客户端 ID) :<在安装时提供的变量值>
  • Entra应用注册机密 (凭据机密) (此机密在离开此页面后将不可见) :<在安装时提供的变量值>
  • 数据收集终结点 (URL) : <在安装时提供的变量值>
  • 数据收集规则 ID (规则 ID) : <在安装时提供的变量值>



使用 Azure Functions) 的 Holm 安全资产数据 (

支持者:Holm Security

连接器提供将数据从 Holm 安全中心轮询到Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
net_assets_CL
web_assets_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Holm 安全性 API 令牌:需要 Holm 安全性 API 令牌。 Holm 安全性 API 令牌

设置说明:

注意:此连接器使用Azure Functions连接到 Holm 安全资产,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - Holm 安全性 API的配置步骤

按照这些说明 创建 API 身份验证令牌。

步骤 2 - 使用以下部署选项部署连接器和关联的 Azure 函数

重要:在部署 Holm 安全连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的 Holm 安全性 API授权令牌。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

Azure 资源管理器 (ARM) 模板部署

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 Holm 安全连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID、工作区密钥、API 用户名、API 密码、“和/或其他必填字段”。

注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。 4.将标记为 “我同意上述条款和条件”的复选框。 5.单击“ 购买 ”进行部署。



Microsoft Exchange 服务器的 IIS 日志

支持者:Community

[选项 5] - 使用 Azure Monitor 代理 - 可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有 IIS 日志。 通过此连接,可以创建自定义警报并改进调查。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
W3CIISLog

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure Log Analytics 将被弃用,若要从非Azure VM 收集数据,建议Azure Arc。 了解更多
  • 详细文档:>注意:在此处找到有关安装过程和使用情况的详细文档

设置说明:

注意: 此解决方案基于选项。 这允许你选择将引入哪些数据,因为某些选项可能会生成非常大的数据量。 根据要收集的内容,在工作簿、分析规则、搜寻功能中跟踪,你将选择 () 部署的选项。 每个选项对一个选项相互独立。 若要详细了解每个选项,请参阅 “Microsoft Exchange Security”wiki

此数据连接器是 Wiki 的选项 5

1. 下载并安装收集Microsoft Sentinel日志所需的代理

(Exchange Server、链接到 Exchange Server 的域控制器或所有域控制器) 的服务器类型取决于要部署的选项。

部署 Monitor 代理

仅当这是你第一次加入 Exchange Server/域控制器时,才需要执行此步骤 部署Azure Arc 代理 了解详细信息

[选项 5]Exchange Server 的 IIS 日志

选择 Exchange 服务器的 IIS 日志流式传输方式

启用数据收集规则

IIS 日志仅从 Windows 代理收集。

选项 1 - Azure 资源管理器 (ARM) 模板 (首选方法)

使用此方法自动部署 DCE 和 DCR。

A. 创建 DCE ((如果尚未为 Exchange Server) 创建)

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 可以更改建议的 DCE 名称。

  4. 单击“ 创建 ”进行部署。

B. 部署数据连接规则

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID “和/或其他必填字段”。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure 自动化

使用以下分步说明手动部署数据收集规则。

A. 创建 DCE ((如果尚未为 Exchange Server) 创建)

  1. 在Azure门户中,导航到“Azure数据收集终结点”。
  2. 单击顶部的“ + 创建 ”。
  3. 在“ 基本信息 ”选项卡中,填写必填字段,并为 DCE 指定名称。
  4. “进行其他首选的配置更改”(如果需要),然后单击“ 创建”。

B. 创建 DCR,键入 IIS 日志

  1. 在Azure门户中,导航到Azure数据收集规则
  2. 单击顶部的“ + 创建 ”。
  3. 在“ 基本信息 ”选项卡中,填写必填字段,选择“Windows”作为平台类型,并为 DCR 指定名称。 选择创建的 DCE。
  4. 在“ 资源 ”选项卡中,输入 Exchange Server。
  5. 在“收集和传递”中,添加数据源类型“IIS 日志” (如果默认配置了 IIS 日志路径,则不要输入路径) 。 单击“添加数据源”
  6. “进行其他首选的配置更改”(如果需要),然后单击“ 创建”。

将 DCR 分配给所有 Exchange 服务器

将所有 Exchange 服务器添加到 DCR



Illumio Insights

支持者:Illumio

Illumio Insights 数据连接器允许将日志从 Illumio API 引入到Microsoft Sentinel。 数据连接器基于无代码连接器框架Microsoft Sentinel构建。 它使用 Illumio API 提取日志,并支持基于 DCR 的引入时间转换,该转换将收到的安全数据分析为自定义表,以便查询无需再次分析它,从而获得更好的性能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
IlumioInsights

数据收集规则支持:工作区转换 DCR

设置说明:

Illumio Insights API 的配置步骤

先决条件

  • 使用有效凭据注册并登录到 Illumio 控制台
  • 客户端凭据需要存储在租户Microsoft Sentinel帐户中

步骤 1:注册服务帐户

  1. 转到 Illumio 控制台→访问→服务帐户
  2. 为租户创建服务帐户
  3. 创建服务帐户后,将收到客户端凭据
  4. 复制用户名 (API 密钥) 和机密步骤 2:将客户端凭据添加到Sentinel帐户
  • 将 API 密钥和机密添加到 Sentinel 帐户进行租户身份验证
  • 这些凭据将用于对对 Illumio SaaS API 的调用进行身份验证

步骤 3:API 用法 连接器将使用这些凭据来调用 Illumio SaaS API:

  • 终结点GET https://gw.console.illum.io/api/v1/resource-insights
  • 必需的标头
    • x-illumio-tenant-id:你的 Illumio 租户 ID
    • x-auth-key:从步骤 1 获取的 API 密钥
    • x-auth-X-api-secret:从步骤 1 获取的密钥

身份验证验证 Illumio 针对以下情况验证请求:

  • 针对Entra ID 的公钥签名
  • 受众 (aud) 与 API 的应用 ID URI 匹配
  • 颁发者验证

请使用从 Illumio 控制台获取的凭据填写以下必填字段:

  • Illumio Insights Api 密钥: (api_XXXXXX)
  • Api 机密: (API 机密)
  • Illumio 租户 ID: ({illumioTenantId})
  • 启用/禁用连接



Illumio Insights 摘要

支持者:Illumio

借助 Illumio Insights 摘要数据连接器,可以通过 REST API 将 Illumio 安全见解和威胁分析报告引入Microsoft Sentinel。 有关详细信息,请参阅 Illumio API 文档 。 连接器提供从 Illumio 获取每日和每周摘要报告的功能,并在Microsoft Sentinel中将其可视化。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
IllumioInsightsSummary_CL

数据收集规则支持: 当前不支持

先决条件:

  • Illumio API 访问Illumio Insights 摘要 API 需要 Illumio API 访问权限。

设置说明:

1.配置

配置 Illumio Insights 摘要连接器。

[!注意] 此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该分析程序部署为解决方案的一部分。

  • Illumio Insights Api 密钥: (api_XXXXXX)
  • Api 机密: (API 机密)
  • Illumio 租户 ID: ({illumioTenantId})

2. 连接

启用 Illumio Insights 摘要连接器。

  • 启用/禁用连接



使用 Azure Functions) 的 Illumio SaaS (

支持者:Illumio

Illumio 连接器提供将事件引入Microsoft Sentinel的功能。 连接器提供从 AWS S3 存储桶引入可审核和流事件的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Illumio_Auditable_Events_CL
Illumio_Flow_Events_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • SQS 和 AWS S3 帐户凭据/权限需要AWS_SECRETAWS_REGION_NAMEAWS_KEYQUEUE_URL 。 如果使用 Illumio 提供的 s3 存储桶,请联系 Illumio 支持人员。 根据你的请求,他们将为你提供 AWS S3 存储桶名称、AWS SQS URL 和 AWS 凭据来访问它们。
  • Illumio API 密钥和机密工作簿需要 ILLUMIO_API_KEY、ILLUMIO_API_SECRET 才能连接到 SaaS PCE 并提取 API 响应。

设置说明:

注意:此连接器使用 Azure Functions 连接到 AWS SQS/S3,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 将 API 授权密钥 () 或令牌 () 安全地存储在 Azure 密钥保管库 中。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

先决条件

  1. 确保为要从中拉取流和可审核事件日志的 s3 存储桶配置 AWS SQS。 如果 Illumio 提供存储桶,请联系 Illumio 支持部门获取 sqs url、s3 存储桶名称和 aws 凭据。
  2. 注册 AAD 应用程序 - 对于 DCR (数据收集规则) 身份验证以将数据引入日志分析,必须使用 Entra 应用程序。 1. 按照此处的说明 (步骤 1-5) 获取 AAD 租户 ID、AAD 客户端 ID 和 AAD 客户端密码
  3. 确保已创建 Log Analytics 工作区。 请记下部署它的名称和区域。

部署

从以下选项中选择一种方法。 使用以下 ARM 模板部署 Azure 资源或手动部署函数应用。

1. Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署Azure资源。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 提供所需的详细信息,例如Microsoft Sentinel工作区、AWS 凭据Azure AD 应用程序详细信息和引入配置

注意: 建议创建新的资源组,用于部署函数应用和关联资源。 3.将标记为 “我同意上述条款和条件”的复选框。 4.单击“ 购买 ”进行部署。

2. 部署其他函数应用以处理规模

使用此方法使用 ARM Tempate 自动部署其他函数应用。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

3. 手动部署Azure Functions

通过 Visual Studio Code 进行部署。

  1. 部署函数应用

  2. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  3. 按照函数应用手动部署说明使用 VSCode 部署 Azure Functions 应用。

  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

  5. 配置函数应用

  6. 按照文档 <插入链接> 设置所有必需的环境变量,然后单击“ 保存”。 请确保在保存设置后重启函数应用。



Imperva Cloud WAF (使用 Azure Functions)

支持者:Microsoft Corporation

Imperva Cloud WAF 数据连接器提供通过 REST API 将Web 应用程序防火墙事件集成和引入到Microsoft Sentinel的功能。 有关详细信息,请参阅日志集成 文档 。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ImpervaWAFCloud_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限API 需要 ImpervaAPIIDImpervaAPIKeyImpervaLogServerURI 。 有关详细信息,请参阅 设置日志集成过程。 检查所有 要求,并按照获取凭据的说明 进行操作。 请注意,此连接器使用 CEF 日志事件格式。 有关 日志格式的详细信息。

设置说明:

注意:此连接器使用 Azure Functions 连接到 Imperva 云 API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure Functions 应用配合使用。

**注意:**此数据连接器依赖于基于 Kusto 函数分析程序才能按预期方式使用 Microsoft Sentinel 解决方案部署的 ImpervaWAFCloud

步骤 1 - 日志集成的配置步骤

按照说明 获取凭据。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的Azure Functions

重要: 在部署工作区数据连接器之前,请从以下) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM 模板自动部署 Imperva Cloud WAF 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3.输入 ImpervaAPIID、ImpervaAPIKey、ImpervaLogServerURI 并部署。 4.将标记为 “我同意上述条款和条件”的复选框。 5.单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Imperva Cloud WAF 数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载Azure Functions应用文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 ImpervaCloudXXXXX) 。

    e. 选择运行时: 选择“Python 3.11”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :ImpervaAPIID ImpervaAPIKey ImpervaLogServerURI WorkspaceID WorkspaceID WorkspaceIDKey logAnalyticsUri (可选)

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



Imperva Cloud WAF 通过无代码连接器框架 ()

支持者:Microsoft Corporation

Imperva WAF 云数据连接器提供通过 AWS S3 和 SQS 通知使用 Imperva 日志集成将日志引入Microsoft Sentinel的功能。 连接器分析 CEF 格式的 WAF 事件,包括用于威胁检测和调查的访问日志和安全警报。有关详细信息,请参阅 Imperva WAF Cloud Log Integration

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ImpervaWAFCloud

数据收集规则支持: 当前不支持

设置说明:

**将 Imperva WAF Cloud 连接到 Microsoft Sentinel

**

注意: 此连接器从 AWS S3 存储桶提取 Imperva Cloud WAF 日志

若要从 Imperva 收集数据,需要配置以下资源

  1. AWS 角色 ARN 若要从 Imperva 收集数据,需要 AWS 角色 ARN。

  2. AWS SQS 队列 URL 若要从 Imperva 收集数据,需要 AWS SQS 队列 URL。

有关检索 AWS 角色 ARN、SQS 队列 URL 以及配置 Imperva 日志转发到 Amazon S3 存储桶的详细步骤,请参阅 连接器设置指南

  • 数据连接器网格 (门户中配置)



通过 AMA 的 Infoblox 云数据连接器

支持者:Infoblox

利用 Infoblox 云数据连接器,可以轻松地将 Infoblox 数据与Microsoft Sentinel连接。 通过将日志连接到Microsoft Sentinel,可以针对每个日志利用搜索 & 关联、警报和威胁情报扩充。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CommonSecurityLog

数据收集规则支持:工作区转换 DCR

设置说明:

重要:此Microsoft Sentinel数据连接器假定已在 Infoblox 云服务 门户中创建并配置 Infoblox 数据连接器主机, (CSP) 。 由于 Infoblox 数据连接器 是威胁防御的一项功能,因此需要访问相应的威胁防御订阅。 有关详细信息和许可要求,请参阅此 快速入门指南

1. Linux Syslog 代理配置

安装和配置 Linux 代理,以收集 CEF) Syslog 消息 (通用事件格式,并将其转发到 Microsoft Sentinel。

请注意,来自所有区域的数据将存储在所选工作区中

1.1 选择或创建Linux计算机

选择或创建Linux计算机,Microsoft Sentinel将用作安全解决方案之间的代理,Microsoft Sentinel此计算机可以位于本地环境、Azure或其他云中。

1.2 在Linux计算机上安装 CEF 收集器

在 Linux 计算机上安装 Microsoft Monitoring Agent,并将计算机配置为侦听必要的端口并将消息转发到 Microsoft Sentinel 工作区。 CEF 收集器在端口 514 TCP 上收集 CEF 消息。

  1. 使用以下命令确保计算机上具有 Python:python -version。

  2. 必须在计算机上具有提升的权限 (sudo) 。

  • 运行以下命令以安装和应用 CEF 收集器:: <在安装时提供的变量值>

2. 配置 Infoblox 以将 Syslog 数据发送到 Infoblox 云数据连接器以转发到 Syslog 代理

按照以下步骤配置 Infoblox CDC,以便通过 Linux Syslog 代理将数据发送到Microsoft Sentinel。

  1. 导航到 “管理 > 数据连接器”。
  2. 单击顶部的“ 目标配置 ”选项卡。
  3. 单击“ 创建 > Syslog”。
  • 名称:为新目标指定一个有意义的名称,例如 Microsoft-Sentinel-Destination
  • 说明:(可选)为其提供有意义的说明
  • 状态:将状态设置为“已启用”。
  • 格式:将格式设置为 CEF
  • FQDN/IP:输入安装Linux代理的Linux设备的 IP 地址。
  • 端口:将端口号保留为 514
  • 协议:选择所需的协议和 CA 证书(如果适用)。
  • 单击“保存并关闭”
  1. 单击顶部的“ 流量流配置 ”选项卡。
  2. 单击“创建”。
  • 名称:为新的流量流指定一个有意义的名称,例如 Microsoft-Sentinel-Flow
  • 说明:(可选)为其提供有意义的说明
  • 状态:将状态设置为“已启用”。
  • 展开“ 服务实例” 部分。
  • 服务实例:选择为其启用了数据连接器服务的所需服务实例。
  • 展开“ 源配置” 部分。
  • 源:选择“BloxOne 云源”。
  • 选择要收集的所有所需 日志类型 。 当前支持的日志类型包括:
  • 威胁防御查询/响应日志
  • 威胁防御威胁源命中日志
  • DDI 查询/响应日志
  • DDI DHCP 租约日志
  • 展开“ 目标配置” 部分。
  • 选择刚刚创建 的目标
  • 单击“保存并关闭”
  1. 让配置有一段时间激活。

3.验证连接

按照说明验证连接性:

打开 Log Analytics 以检查是否使用 CommonSecurityLog 架构收到日志。

连接可能需要大约 20 分钟才能将数据流式传输到工作区。

如果未收到日志,请运行以下连接验证脚本:

  1. 使用以下命令确保计算机上具有 Python:python -version

  2. 必须在计算机上具有提升的权限 (sudo)

  • 运行以下命令以验证连接性:: <在安装时提供的变量值>

**4. 保护计算机 **

确保根据组织的安全策略配置计算机的安全性

了解更多信息 >



通过 REST API 的 Infoblox 数据连接器

支持者:Infoblox

利用 Infoblox 数据连接器,可以轻松地将 Infoblox TIDE 数据和 Dossier 数据与Microsoft Sentinel连接起来。 通过将数据连接到Microsoft Sentinel,可以针对每个日志利用搜索 & 关联、警报和威胁情报扩充。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Failed_Range_To_Ingest_CL
Infoblox_Failed_Indicators_CL
dossier_whois_CL
dossier_whitelist_CL
dossier_tld_risk_CL
dossier_threat_actor_CL
dossier_rpz_feeds_records_CL
dossier_rpz_feeds_CL
dossier_nameserver_matches_CL
dossier_nameserver_CL
dossier_malware_analysis_v3_CL
dossier_inforank_CL
dossier_infoblox_web_cat_CL
dossier_geo_CL
dossier_dns_CL
dossier_atp_threat_CL
dossier_atp_CL
dossier_ptr_CL

数据收集规则支持: 当前不支持

先决条件:

  • Azure订阅:需要具有所有者角色的Azure订阅才能在 Microsoft Entra ID 中注册应用程序,并将参与者角色分配给资源组中的应用。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:需要 Infoblox API 密钥 。 请参阅文档,详细了解 REST API 参考中的 API

设置说明:

注意:此连接器使用 Azure Functions 连接到 Infoblox API,为 TIDE 创建威胁指标,并将 Dossier 数据拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - Microsoft Entra ID 中应用程序的应用注册步骤

此集成需要在 Azure 门户 中注册应用。 按照本部分中的步骤在 Microsoft Entra ID 中创建新应用程序:

  1. 登录 Azure 门户
  2. 搜索并选择“Microsoft Entra ID”。
  3. “管理”下,选择“应用注册>新注册”。
  4. 输入应用程序的显示 名称
  5. 选择“ 注册 ”以完成初始应用注册。
  6. 注册完成后,Azure 门户将显示应用注册的“概述”窗格。 会看到 应用程序 (客户端) ID 和租户 ID。 执行 TriggersSync playbook 时,需要将客户端 ID 和租户 ID 作为配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app

步骤 2 - 在 Microsoft Entra ID 中添加应用程序的客户端密码

客户端密码有时称为应用程序密码,是执行 TriggersSync playbook 所需的字符串值。 按照本部分中的步骤创建新的客户端密码:

  1. 在“Azure 门户”中,在“应用注册”中选择应用程序。
  2. 选择 “证书”& 机密 > “”客户端机密 > “”新建客户端密码”。
  3. 添加客户端密码的说明。
  4. 选择机密的过期时间或指定自定义生存期。 限制为 24 个月。
  5. 选择“添加”。
  6. 记录要在客户端应用程序代码中使用的机密值。 离开此页面后,永远不会再次显示此机密值。 机密值作为执行 TriggersSync playbook 的配置参数是必需的。

参考链接:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步骤 3 - 在 Microsoft Entra ID 中向应用程序分配参与者角色

按照本部分中的步骤分配角色:

  1. 在Azure 门户转到“资源组”,然后选择资源组。
  2. 从左侧面板转到 访问控制 (IAM)
  3. 单击“ 添加”,然后选择“添加角色分配”。
  4. 选择 “参与者” 作为角色,然后单击“下一步”。
  5. “分配访问权限”中,选择 。User, group, or service principal
  6. 单击“ 添加成员”,然后键入已创建的应用名称 并选择它。
  7. 现在,单击“ 审阅 + 分配”,然后再次单击“审阅 + 分配”。

参考链接:/azure/role-based-access-control/role-assignments-portal

步骤 4 - 生成 Infoblox API 凭据的步骤

按照这些说明生成 Infoblox API 密钥。 在 Infoblox 云服务门户中,生成 API 密钥并将其复制到安全的地方,以便在下一步中使用。 可 在此处找到有关如何创建 API 密钥的说明。

步骤 5 - 部署连接器和关联的Azure函数的步骤

重要: 在部署 Infoblox 数据连接器之前,请准备好工作区 ID 和工作区主密钥 (,以便从以下) 随时可用。.,以及 Infoblox API 授权凭据

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

Azure 资源管理器 (ARM) 模板

使用此方法自动部署 Infoblox 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入以下信息:Azure租户 ID Azure客户端 ID Azure客户端机密信息blox API 令牌信息blox 基 URL 工作区 ID 工作区密钥日志级别 (默认值:INFO) 置信度威胁级别应用见解工作区资源 ID

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。



通过 AMA 的 Infoblox SOC Insight 数据连接器

支持者:Infoblox

利用 Infoblox SOC Insight 数据连接器,可以轻松地将 Infoblox BloxOne SOC Insight 数据与Microsoft Sentinel连接。 通过将日志连接到Microsoft Sentinel,可以针对每个日志利用搜索 & 关联、警报和威胁情报扩充。

此数据连接器使用新的 Azure Monitor 代理将 Infoblox SOC Insight CDC 日志引入 Log Analytics 工作区。 在此处详细了解如何使用新的 Azure Monitor 代理进行引入。 Microsoft建议使用此数据连接器。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CommonSecurityLog

数据收集规则支持:工作区转换 DCR

先决条件:

  • 若要从非Azure VM 收集数据,必须安装并启用 Azure Arc。 了解更多
  • 必须安装常见事件格式 (CEF) ,以及通过 AMA 数据连接器的 Syslog。 了解更多

设置说明:

工作区密钥

若要将 playbook 用作此解决方案的一部分,请在下面找到 工作区 ID 和工作区主密钥 ,以便方便使用。

  • 工作区 ID: <在安装时提供的变量值>
  • 工作区键: <在安装时提供的变量值>

解析 器

此数据连接器依赖于基于 Kusto 函数分析程序才能按预期工作,称为 InfobloxCDC_SOCInsights,该Microsoft Sentinel解决方案部署。

SOC 见解

此数据连接器假定你有权访问 Infoblox BloxOne 威胁防御 SOC 见解。 可 在此处找到有关 SOC 见解的详细信息。

Infoblox 云数据连接器

此数据连接器假定已在 Infoblox 云服务 门户中 (CSP) 中创建并配置 Infoblox 数据连接器主机。 由于 Infoblox 数据连接器 是 BloxOne 威胁防御的一项功能,因此需要访问相应的 BloxOne 威胁防御订阅。 有关详细信息和许可要求,请参阅此 快速入门指南

按照以下步骤配置此数据连接器

A. 通过 AMA 数据连接器配置通用事件格式 (CEF)

注意:CEF 日志仅从 Linux 代理收集

  1. 导航到Microsoft Sentinel工作区>“数据连接器”边栏选项卡。

  2. 通过 AMA 数据连接器搜索常见事件格式 (CEF) 并将其打开。

  3. 确保没有将现有 DCR 配置为收集所需的日志设施,因为这可能会导致日志重复。 ) 创建新的 DCR (数据收集规则

    注意:建议至少安装 AMA 代理 v1.27。 了解详细信息 并确保没有重复的 DCR,因为它可能会导致日志重复。

  4. 通过 AMA 数据连接器运行“通用事件格式 (CEF) ”中提供的命令,在计算机上配置 CEF 收集器。

B. 在 Infoblox 云服务门户中,配置 Infoblox BloxOne 以将 CEF Syslog 数据发送到 Infoblox 云数据连接器以转发到 Syslog 代理

按照以下步骤配置 Infoblox CDC,以便通过 Linux Syslog 代理将 BloxOne 数据发送到 Microsoft Sentinel。

  1. 导航到 “管理 > 数据连接器”。
  2. 单击顶部的“ 目标配置 ”选项卡。
  3. 单击“ 创建 > Syslog”。
  • 名称:为新目标指定一个有意义的名称,例如 Microsoft-Sentinel-Destination
  • 说明:(可选)为其提供有意义的说明
  • 状态:将状态设置为“已启用”。
  • 格式:将格式设置为 CEF
  • FQDN/IP:输入安装Linux代理的Linux设备的 IP 地址。
  • 端口:将端口号保留为 514
  • 协议:选择所需的协议和 CA 证书(如果适用)。
  • 单击“保存并关闭”
  1. 单击顶部的“ 流量流配置 ”选项卡。
  2. 单击“创建”。
  • 名称:为新的流量流指定一个有意义的名称,例如 Microsoft-Sentinel-Flow
  • 说明:(可选)为其提供有意义的说明
  • 状态:将状态设置为“已启用”。
  • 展开“ 服务实例” 部分。
  • 服务实例:选择为其启用了数据连接器服务的所需服务实例。
  • 展开“ 源配置” 部分。
  • 源:选择“BloxOne 云源”。
  • 选择“ 内部通知 日志类型”。
  • 展开“ 目标配置” 部分。
  • 选择刚刚创建 的目标
  • 单击“保存并关闭”
  1. 让配置有一段时间激活。

C. 验证连接

按照说明验证连接性:

打开 Log Analytics 以检查是否使用 CommonSecurityLog 架构收到日志。

连接可能需要大约 20 分钟才能将数据流式传输到工作区。

如果未收到日志,请运行以下连接验证脚本:

  1. 使用以下命令确保计算机上具有 Python:python -version

  2. 必须在计算机上具有提升的权限 (sudo)

  • 运行以下命令以验证连接性:: <在安装时提供的变量值>

**2. 保护计算机 **

确保根据组织的安全策略配置计算机的安全性

了解更多信息 >



通过 REST API 的 Infoblox SOC Insight 数据连接器

支持者:Infoblox

利用 Infoblox SOC Insight 数据连接器,可以轻松地将 Infoblox BloxOne SOC Insight 数据与Microsoft Sentinel连接。 通过将日志连接到Microsoft Sentinel,可以针对每个日志利用搜索 & 关联、警报和威胁情报扩充。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
InfobloxInsight_CL

数据收集规则支持: 当前不支持

设置说明:

工作区密钥

若要将 playbook 用作此解决方案的一部分,请在下面找到 工作区 ID 和工作区主密钥 ,以便方便使用。

  • 工作区 ID: <在安装时提供的变量值>
  • 工作区键: <在安装时提供的变量值>

解析 器

此数据连接器依赖于基于 Kusto 函数的分析程序,以按预期工作,称为 InfobloxInsight,它随 Microsoft Sentinel 解决方案一起部署。

SOC 见解

此数据连接器假定你有权访问 Infoblox BloxOne 威胁防御 SOC 见解。 可 在此处找到有关 SOC 见解的详细信息。

按照以下步骤配置此数据连接器

1. 生成 Infoblox API 密钥并将其复制到安全的地方

Infoblox 云服务门户中,生成 API 密钥并将其复制到安全的地方,以便在下一步中使用。 可 在此处找到有关如何创建 API 密钥的说明。

2.配置 Infoblox-SOC-Get-Open-Insights-API playbook

创建并配置随此解决方案一起部署的 Infoblox-SOC-Get-Open-Insights-API playbook。 出现提示时,在相应的参数中输入 Infoblox API 密钥。



InfoSecGlobal 数据连接器

支持者:InfoSecGlobal

使用此数据连接器与 InfoSec Crypto Analytics 集成,并获取直接发送到Microsoft Sentinel的数据。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
InfoSecAnalytics_CL

数据收集规则支持: 当前不支持

设置说明:

InfoSecGlobal Crypto Analytics 数据连接器

  1. 数据通过 Logstash 发送到Microsoft Sentinel
  2. 加密分析安装中包含必需的 Logstash 配置
  3. 与 Crypto Analytics 安装一起提供的文档介绍了如何启用将数据发送到 Microsoft Sentinel
  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



通过无代码连接器框架) (IONIX 安全日志

支持者:IONIX

IONIX 连接器允许使用无代码连接器框架 (CCF) 将 IONIX 攻击面管理平台中的操作项引入到Microsoft Sentinel。 操作项表示需要修正的安全发现和漏洞。

此连接器会自动轮询 IONIX API 并将数据写入CyberpionActionItems_CL表。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CyberpionActionItems_CL

数据收集规则支持: 当前不支持

先决条件:

  • IONIX API 令牌:需要 IONIX 门户中的 API 令牌。 在 IONIX 门户中的“设置 API”>中创建一个。

设置说明:

将 IONIX 连接到Microsoft Sentinel

此连接器使用 IONIX API 自动轮询操作项并将其引入Microsoft Sentinel。 需要 IONIX 门户中的 API 令牌。

  • IONIX API 令牌: (从 IONIX 设置 > API) 输入 JWT API 令牌
  • IONIX 帐户名称: (网络)
  • 启用/禁用连接



IPinfo Abuse 数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载standard_abuse数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_Abuse_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo ASN 数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载standard_ASN数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_ASN_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo Carrier 数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载standard_carrier数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_Carrier_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo 公司数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载standard_company数据集并将其插入自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_Company_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo Core 数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用来下载核心数据集并将其插入到 Microsoft Sentinel 中的自定义日志表中

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_CORE_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo Country ASN 数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载country_asn数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_Country_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo 域数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载standard_domain数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_Domain_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo Iplocation 数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载standard_location数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_Location_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo Iplocation 扩展数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载standard_location_extended数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_Location_extended_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo Plus 数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载 Plus 数据集并将其插入到 Microsoft Sentinel 中的自定义日志表中

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_PLUS_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo 隐私数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载standard_privacy数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_Privacy_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo 隐私扩展数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载standard_privacy数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_Privacy_extended_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo ResProxy 数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用来下载 ResProxy 数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_RESIDENTIAL_PROXY_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo RIRWHOIS 数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载 RIRWHOIS 数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_RIRWHOIS_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo RWHOIS 数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装 Azure 函数应用来下载 RWHOIS 数据集并将其插入到 Microsoft Sentinel 中的自定义日志表中

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_RWHOIS_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo WHOIS ASN 数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载WHOIS_ASN数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_WHOIS_ASN_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo WHOIS MNT 数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载WHOIS_MNT数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_WHOIS_MNT_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo WHOIS NET 数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载WHOIS_NET数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_WHOIS_NET_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo WHOIS 组织数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载WHOIS_ORG数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_WHOIS_ORG_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



IPinfo WHOIS POC 数据连接器

支持者:IPinfo

此 IPinfo 数据连接器安装Azure函数应用,以下载WHOIS_POC数据集并将其插入到自定义日志表中Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ipinfo_WHOIS_POC_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • IPinfo API 令牌在此处检索 IPinfo API 令牌。

设置说明:

1.检索 API 令牌

在此处检索 IPinfo API 令牌。

2. 在 Azure AD 租户中, (AAD) 应用程序创建Azure Active Directory

在 Azure AD 租户中, (AAD) 应用程序创建一个Azure Active Directory,并获取租户 ID、客户端 ID 和客户端密码:使用此链接。

3. 为 AAD 应用程序分配Microsoft Sentinel参与者角色。

将刚刚创建的 AAD 应用程序分配给参与者 (特权管理员角色) 和监视指标发布者 (作业功能角色) 用于添加“Microsoft Sentinel”的“Log Analytic 工作区”的同一“资源组”中:使用此链接。

4.获取工作区资源 ID

使用具有“资源 ID”属性值的 Log Analytic 工作区 -> 属性边栏选项卡。 这是一个完全限定的 resourceId,格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”

5.部署 Azure 函数

使用 ARM Tempate 自动部署 IPinfo 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 RESOURCE_ID、IPINFO_TOKEN、TENANT_ID、CLIENT_ID CLIENT_SECRET

手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 IPinfo 数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机Azure Function App
  2. 使用 VSCode 使用高级选项使用托管 Functions Premium 或应用服务计划创建函数应用。
  3. 按照函数应用手动部署说明使用 VSCode 部署Azure Functions应用。
  4. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择 “设置 -> 配置”或“环境变量”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:RESOURCE_ID IPINFO_TOKEN TENANT_ID CLIENT_ID CLIENT_SECRET RETENTION_IN_DAYS TOTAL_RETENTION_IN_DAYS SCHEDULE LOCATION
  5. 输入所有应用程序设置后,单击“ 保存”。



岛企业浏览器 V2

支持者:Island

Island Enterprise Browser V2 数据连接器允许引入用户事件、管理员事件和系统事件,所有这些事件都在单个连接器中。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Island_UserEvents_V2_CL

数据收集规则支持: 当前不支持

先决条件:

  • 岛 API 密钥:需要岛 API 密钥。 通过岛管理控制台生成 API 密钥。 有关进一步的说明,请参阅 官方的 Island 文档

设置说明:

将岛连接到Microsoft Sentinel

API URL 和 API 密钥可通过 Island 管理控制台获得。 有关进一步的说明,请参阅 官方的 Island 文档

  • API URL: (API URL)
  • API 密钥: (密钥)
  • 启用/禁用连接



Jamf 保护推送连接器

支持者:Jamf Software, LLC

Jamf Protect 连接器提供从 Microsoft Sentinel 中的 Jamf Protect 读取原始事件数据的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
jamfprotecttelemetryv2_CL
jamfprotectunifiedlogs_CL
jamfprotectalerts_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。 通常需要Entra ID 应用程序开发人员角色或更高版本。
  • Microsoft Azure:对数据收集规则 (DCR) 分配监视指标发布者角色的权限。 通常需要Azure RBAC 所有者或用户访问管理员角色

设置说明:

1. 创建 ARM 资源并提供所需权限

此连接器从 Jamf Protect 在 Microsoft Analytics 工作区中所使用的表读取数据,如果在 Jamf Protect 中启用了数据转发选项,则原始事件数据将发送到 Microsoft Sentinel 引入 API。

自动配置和安全数据引入,Entra应用程序单击“部署”将触发创建 Log Analytics 表和数据收集规则 (DCR) 。 然后,它将创建一个Entra应用程序,将 DCR 链接到该应用程序,并在应用程序中设置输入的机密。 此设置允许使用Entra令牌将数据安全地发送到 DCR。

2. 将日志推送到工作区

使用以下参数将计算机配置为将日志发送到工作区。

  • 租户 ID (目录 ID) : <在安装时提供的变量值>
  • Entra应用注册应用程序 ID:<在安装时提供的变量值>
  • Entra应用注册机密:<在安装时提供的变量值>
  • 数据收集终结点 URI: <在安装时提供的变量值>
  • 数据收集规则不可变 ID: <在安装时提供的变量值>
  • 统一日志Stream名称:<在安装时提供的变量值>
  • 遥测Stream名称:<在安装时提供的变量值>
  • 警报Stream名称:<在安装时提供的变量值>



使用 Azure Functions) 的 JoeSandboxThreatIntelligence (

支持者:Stefan Bühlmann

JoeSandboxThreatIntelligence 连接器自动生成所有提交到 JoeSandbox 的威胁情报并将其馈送,从而在Sentinel改进威胁检测和事件响应。 这种无缝集成使团队能够主动应对新出现的威胁。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ThreatIntelligenceIndicator

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure订阅:需要具有所有者角色的Azure订阅才能在 azure Active Directory () 中注册应用程序,并将参与者的角色分配给资源组中的应用。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:需要 JoeSandbox API 密钥

设置说明:

注意:此连接器使用 Azure Functions 连接到 JoeSandbox API,将 JoeSandbox 威胁 IOC 拉入Microsoft Sentinel。 这可能会导致额外的数据引入成本,以及将数据存储在Azure Blob 存储成本中。 有关详细信息,请查看Azure Functions定价页Azure Blob 存储定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - 为弹性消耗计划Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM 模板自动部署数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 应用程序 ID、租户 ID客户端密码、JoeSandbox API 密钥、JoeSandbox 初始提取日期、TimeInterval 和部署。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - Azure 资源管理器 (高级计划的 ARM) 模板

使用此方法使用 ARM 模板自动部署数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 应用程序 ID、租户 ID客户端密码、JoeSandbox API 密钥、JoeSandbox 初始提取日期、TimeInterval 和部署。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。



Keeper Security Push Connector

支持者:Keeper Security

Keeper Security 连接器提供从 Microsoft Sentinel 中的 Keeper Security 读取原始事件数据的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
KeeperSecurityEventNewLogs_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。 通常需要Entra ID 应用程序开发人员角色或更高版本。
  • Microsoft Azure:对数据收集规则 (DCR) 分配监视指标发布者角色的权限。 通常需要Azure RBAC 所有者或用户访问管理员角色

设置说明:

1. 创建 ARM 资源并提供所需权限

此连接器从 Keeper Security 在 Microsoft Analytics 工作区中所使用的表读取数据,如果在 Keeper Security 中启用了数据转发选项,则原始事件数据将发送到 Microsoft Sentinel 引入 API。

自动配置和安全数据引入,Entra应用程序单击“部署”将触发创建 Log Analytics 表和数据收集规则 (DCR) 。 然后,它将创建一个Entra应用程序,将 DCR 链接到该应用程序,并在应用程序中设置输入的机密。 此设置允许使用Entra令牌将数据安全地发送到 DCR。

2. 将日志推送到工作区

使用以下参数将计算机配置为将日志发送到工作区。

  • 租户 ID (目录 ID) : <在安装时提供的变量值>
  • Entra应用注册应用程序 ID:<在安装时提供的变量值>
  • Entra应用注册机密:<在安装时提供的变量值>
  • 数据收集终结点 URI: <在安装时提供的变量值>
  • 数据收集规则不可变 ID: <在安装时提供的变量值>
  • 事件日志Stream名称:<在安装时提供的变量值>

3. 更新 Keeper 管理员控制台

使用Azure连接详细信息配置 Keeper 管理员 控制台,以便将数据转发到Microsoft Sentinel。

在 Keeper 管理员 控制台中配置Azure监视日志

Keeper 管理员 控制台中,以 Keeper 管理员身份登录。 然后转到“报告 & 警报”,然后选择“Azure监视日志”。

在 管理员 控制台中提供上述步骤 2 中的以下信息:

  • Azure租户 ID:可以从Azure的“订阅”区域找到此 ID。
  • 应用程序 (客户端) ID:它位于“应用注册 (KeeperLogging) 概述”屏幕
  • 客户端密码值:这是应用注册机密中的客户端密码值。
  • 终结点 URL:这是按以下特定格式创建的 URL: https://<collection_url>/dataCollectionRules/<dcr_id>/streams/<table>?api-version=2023-01-01

若要组合终结点 URL,请执行以下操作:

  • <集合 URL> 这来自上面的步骤 2
  • < >DCR_ID从数据收集器规则复制“不可变 ID”值,例如dcr-xxxxxxx
  • 这是由Azure创建的表名称,例如Custom-KeeperSecurityEventNewLogs

    例如:https://<Collection_URL>/dataCollectionRules/<DCR_ID>/streams/Custom-KeeperSecurityEventNewLogs?api-version=2023-01-01



    LastPass Enterprise - 报告 (轮询 CCF)

    支持者:集体咨询

    LastPass Enterprise 连接器提供对 LastPass 报告 (审核) 日志到Microsoft Sentinel的功能。 连接器提供对 LastPass (中的登录名和活动(例如读取和删除密码) )的可见性。

    Log Analytics 表 () :

    表格 DCR 支持 仅限湖的引入
    LastPassNativePoller_CL

    数据收集规则支持:工作区转换 DCR

    先决条件:

    • LastPass API 密钥和 CID:需要 LastPass API 密钥和 CID。 有关详细信息,请参阅 LastPass API

    设置说明:

    将 LastPass Enterprise 连接到 Microsoft Sentinel

    提供 LastPass 预配 API 密钥。



Lookout 移动威胁检测连接器通过无代码连接器框架 () (预览版)

支持者:Lookout

Lookout 移动威胁检测数据连接器提供通过移动风险 API 将与移动安全风险相关的事件引入Microsoft Sentinel的功能。 有关详细信息,请参阅 API 文档 。 此连接器可帮助你检查在移动设备中检测到的潜在安全风险。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
LookoutMtdV2_CL

数据收集规则支持:工作区转换 DCR

设置说明:

将 Lookout 移动威胁防御连接器连接到Microsoft Sentinel

在连接到 Lookout 之前,请确保满足以下先决条件。

  1. 移动威胁检测 API 需要 ApiKey。 有关 API 的详细信息,请参阅 文档 。 检查所有要求,并按照 获取凭据的说明 进行操作。
  • API 密钥: (输入 API 密钥 )
  • 启用/禁用连接



使用 Azure Functions) (的 Luminar IOC 和泄露的凭据

支持者:Cognyte Luminar

Luminar IOC 和泄露的凭据连接器允许集成基于智能的 IOC 数据和 Luminar 识别的客户相关泄漏记录。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ThreatIntelligenceIndicator

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure订阅:需要具有所有者角色的Azure订阅才能在 azure Active Directory () 中注册应用程序,并将参与者的角色分配给资源组中的应用。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限需要 Luminar 客户端 IDLuminar 客户端密码Luminar 帐户 ID

设置说明:

注意:此连接器使用 Azure Functions 连接到 Cognyte Luminar API,将 Luminar IOC 和泄露的凭据拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本,以及将数据存储在Azure Blob 存储成本中。 有关详细信息,请查看Azure Functions定价页Azure Blob 存储定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM 模板自动部署数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入应用程序 ID、租户 ID、客户端密码、Luminar API 客户端 ID、Luminar API 帐户 ID、Luminar API 客户端密码、限制、TimeInterval 和部署。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Cognyte Luminar 数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 CognyteLuminarXXX) 。

    e. 选择运行时: 选择“Python 3.11”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft sentinel 所在的 同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :应用程序 ID 租户 ID 客户端机密 Luminar API 客户端 ID Luminar API 帐户 ID Luminar API 客户端密码限制 TimeInterval - 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us

  12. 输入所有应用程序设置后,单击“ 保存”。



MailGuard 365

支持者:MailGuard 365

MailGuard 365 增强Email Microsoft 365 的安全性。 MailGuard 365 与 Microsoft Microsoft 365 安全 ((包括 Defender) )集成,以增强对高级电子邮件威胁(如网络钓鱼、勒索软件和复杂 BEC 攻击)的保护。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
MailGuard365_Threats_CL

数据收集规则支持:工作区转换 DCR

设置说明:

配置和连接 MailGuard 365

  1. 在 MailGuard 365 控制台中,单击导航栏上的“设置”。
  2. 单击“ 集成 ”选项卡。
  3. 单击“启用Microsoft Sentinel
  4. 从以下字段中输入工作区 ID 和主键,然后单击“ 完成”。
  5. 有关其他说明,请联系 MailGuard 365 支持人员。
  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



MailRisk by Secure Practice

支持者:Secure Practice

通过 MailRisk by Secure Practice 连接器,可将邮件威胁情报数据从 MailRisk API 引入Microsoft Sentinel。 此连接器提供对报告的电子邮件、风险评估以及与电子邮件威胁相关的安全事件的可见性。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
MailRiskEventEmails_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • API 凭据:还需要安全实践 API 密钥对,这些密钥对是在 管理门户的设置中创建的。 使用说明 Microsoft Sentinel生成新的密钥对。

设置说明:

1. 获取安全实践 API 凭据

登录到安全实践帐户,并生成 API 密钥和 API 机密(如果尚未)。

2.连接到 MailRisk API

在下面输入安全实践 API 凭据。 凭据将安全存储并用于对 API 请求进行身份验证。

  • API 密钥: (输入安全实践 API 密钥)
  • API 机密: (输入安全实践 API 机密)
  • 启用/禁用连接



meshStack 事件日志

支持者:meshcloud GmbH

meshStack 事件日志连接器提供将 meshStack 平台事件引入Microsoft Sentinel的功能。 通过将 meshStack 事件日志连接到 Microsoft Sentinel,可以在工作簿中查看此数据,使用它创建自定义警报,并改进云平台治理、审核和合规性监视的调查过程。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
meshStackEventLogs_CL

数据收集规则支持: 当前不支持

先决条件:

  • meshStack OAuth2 API 密钥:需要具有“管理员:在任何工作区中列出事件日志”权限的有效 meshStack API 密钥。 在“访问控制 API 密钥”下的 > meshStack 管理员 面板中创建 API 密钥。 API 密钥提供 OAuth2 凭据, (密钥 ID 作为client_id,密钥机密作为身份验证client_secret) 。 注意:API 密钥绑定到工作区,但可以访问所有工作区中的事件。
  • meshStack 实例:访问启用了事件 API 的 meshStack 实例。

设置说明:

将 meshStack 事件日志连接到Microsoft Sentinel

从 API 密钥输入 meshStack 实例 API URL 和 OAuth2 凭据。 API URL 格式应为: https://your-meshstack-instance.io。 在 meshStack (管理员 面板中>创建 API 密钥,访问控制 > API 密钥) 具有“管理员:列出任何工作区中的事件日志”权限。 API 密钥为 OAuth2 身份验证提供 密钥 ID (client_id) 和密钥机密 (client_secret) 。

  • meshStack API URL: (https://your-meshstack-instance.io)
  • 客户端 ID (密钥 ID) : (从 API 密钥) 输入密钥 ID
  • 客户端机密 (密钥机密) : (从 API 密钥) 输入密钥机密
  • 启用/禁用连接



Microsoft 365 (以前,Office 365)

支持者:Microsoft Corporation

Microsoft 365 (以前是Office 365) 活动日志连接器,可用于深入了解正在进行的用户活动。 你将获取操作的详细信息,例如文件下载、发送的访问请求、对组事件的更改、设置邮箱以及执行操作的用户的详细信息。 通过将 Microsoft 365 日志连接到Microsoft Sentinel可以使用此数据来查看仪表板、创建自定义警报和改进调查过程。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
OfficeActivity

数据收集规则支持:工作区转换 DCR

Microsoft 365 内部风险管理

支持者:Microsoft Corporation

Microsoft 365 Insider Risk Management 是 Microsoft 365 中的合规性解决方案,它使你能够检测、调查和处理组织中的恶意和无意活动,从而最大程度地降低内部风险。 组织中的风险分析师可以快速采取适当措施,确保用户符合组织的合规性标准。

预览体验成员风险策略允许你:

  • 定义要在组织中识别和检测的风险类型。
  • 决定在响应中采取哪些操作,包括根据需要将案例升级到Microsoft Advanced eDiscovery。

此解决方案生成警报,Office 客户可以在 Microsoft 365 合规中心的内部风险管理解决方案中看到这些警报。 详细了解 内部风险管理。

可以使用此连接器将这些警报导入到 Microsoft Sentinel,以便在更广泛的组织威胁上下文中查看、调查和响应这些警报。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityAlert

数据收集规则支持:工作区转换 DCR

Microsoft Active-Directory 域控制器安全事件日志

支持者:Community

[选项 3 & 4] - 使用 Azure Monitor 代理 -可以使用 Windows 代理从连接到Microsoft Sentinel工作区的 Windows 计算机流式传输部分或所有域控制器安全事件日志。 通过此连接,可以创建自定义警报并改进调查。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityEvent

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure Log Analytics 将被弃用,若要从非Azure VM 收集数据,建议Azure Arc。 了解更多
  • 详细文档:>注意:在此处找到有关安装过程和使用情况的详细文档

设置说明:

注意: 此解决方案基于选项。 这允许你选择将引入哪些数据,因为某些选项可能会生成非常大的数据量。 根据要收集的内容,在工作簿、分析规则、搜寻功能中跟踪,你将选择 () 部署的选项。 每个选项对一个选项相互独立。 若要详细了解每个选项,请参阅 “Microsoft Exchange Security”wiki

此数据连接器是 Wiki 的选项 3 和 4

1. 下载并安装收集Microsoft Sentinel日志所需的代理

(Exchange Server、链接到 Exchange Server 的域控制器或所有域控制器) 的服务器类型取决于要部署的选项。

部署 Monitor 代理

仅当这是你第一次加入 Exchange Server/域控制器时,才需要执行此步骤 部署Azure Arc 代理 了解详细信息

域控制器的安全日志

选择如何流式传输域控制器的安全日志。 如果要实现选项 3,只需在 Exchange Server 所在的同一站点上选择“DC”。 如果要实现选项 4,可以选择林的所有 DC。

[选项 3]仅列出与 Exchange Server 相同的站点上的域控制器,供下一步使用

这限制了入的数据量,但某些事件无法检测到。

[选项 4]列出 Active-Directory 林的所有域控制器,供下一步使用

这允许收集所有安全事件

安全事件日志收集

数据收集规则 - 安全事件日志

为安全日志启用数据收集规则 安全事件日志仅从 Windows 代理收集。

  1. 在“ 资源 ”选项卡上添加所选 DC。
  2. 选择“安全日志级别”

通用级别 是所需的最低级别。 请在 DCR 定义中选择“常见”或“所有安全事件”。

  • 安装代理: <在安装时提供的变量值>



Microsoft Copilot

支持者:Microsoft

Microsoft Sentinel 中的 Microsoft Copilot 日志连接器允许将 Copilot 生成的活动日志从 M365 Copilot 无缝引入,并将Security Copilot引入到Microsoft Sentinel,以便进行高级威胁检测、调查和响应。 它从Microsoft Copilot服务(如使用情况数据和系统响应)收集遥测数据,并将遥测数据引入到Microsoft Sentinel,使安全团队能够监视误用情况、检测异常情况,并保持对组织策略的符合性。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CopilotActivity

数据收集规则支持: 当前不支持

先决条件:

  • 租户权限:工作区租户上的“安全管理员”或“全局管理员”。

设置说明:

将Microsoft Copilot审核日志连接到Microsoft Sentinel

此连接器使用 Office 管理 API 获取Microsoft Copilot审核日志。 日志将在现有Microsoft Sentinel工作区中存储和处理。 可以在 CopilotActivity 表中找到数据。

  • 启用/禁用连接



Microsoft Dataverse

支持者:Microsoft Corporation

Microsoft Dataverse 是一个可缩放的安全数据平台,使组织能够存储和管理业务应用程序使用的数据。 Microsoft Dataverse 数据连接器提供从Microsoft Purview 审核日志引入 Dataverse 和Dynamics 365 CRM 活动日志的功能,并将其引入到Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
DataverseActivity

数据收集规则支持:工作区转换 DCR

先决条件:

  • 租户权限:工作区租户上的“安全管理员”或“全局管理员”。
  • Micorosft Purview 审核:必须激活Microsoft Purview 审核 (Standard或高级) 。
  • 生产 Dataverse:活动日志记录仅适用于生产环境。 其他类型(如沙盒)不支持活动日志记录。
  • Dataverse 审核设置:必须在全局和实体/表级别配置审核设置。 有关详细信息,请参阅 Dataverse 审核设置

设置说明:

Microsoft Dataverse 审核日志连接到Microsoft Sentinel

此连接器使用 Office 管理 API 获取 Dataverse 审核日志。 日志将在现有Microsoft Sentinel工作区中存储和处理。 可以在 DataverseActivity 表中找到数据。

  • 启用/禁用连接



Microsoft Defender for Cloud Apps

支持者:Microsoft Corporation

通过连接Microsoft Defender for Cloud Apps你将了解云应用,获取复杂的分析来识别和应对网络威胁,并控制数据的传输方式。

  • 识别网络上的影子 IT 云应用。
  • 根据条件和会话上下文控制和限制访问。
  • 使用内置或自定义策略进行数据共享和数据丢失防护。
  • 使用Microsoft行为分析和异常情况检测功能(包括勒索软件活动、不可能的旅行、可疑电子邮件转发规则和批量下载文件)识别高风险使用并获取异常用户活动的警报。
  • 批量下载文件

立即部署 >

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityAlert​
McasShadowItReporting​

数据收集规则支持: 当前不支持

Microsoft Defender for Endpoint

支持者:Microsoft Corporation

Microsoft Defender for Endpoint是一个安全平台,旨在防止、检测、调查和响应高级威胁。 当组织中出现可疑安全事件时,平台会创建警报。 提取Microsoft Defender for Endpoint中生成的警报以Microsoft Sentinel,以便可以有效地分析安全事件。 可以创建规则、生成仪表板和创作 playbook 以立即响应。 有关详细信息,请参阅 Microsoft Sentinel 文档 >

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityAlert

数据收集规则支持:工作区转换 DCR

Microsoft Defender for Identity

支持者:Microsoft Corporation

连接Microsoft Defender for Identity,了解事件和用户分析。 Microsoft Defender for Identity可识别、检测并帮助你调查针对组织的高级威胁、泄露的标识和恶意内部操作。 Microsoft Defender for Identity使 SecOp 分析师和安全专业人员能够努力检测混合环境中的高级攻击,以便:

  • 使用基于学习的分析监视用户、实体行为和活动
  • 保护存储在 Active Directory 中的用户标识和凭据
  • 发现并调查整个击杀链中的可疑用户活动和高级攻击
  • 在简单的时间线上提供明确的事件信息,以实现快速会审

立即试用 >

立即部署 >

有关详细信息,请参阅 Microsoft Sentinel 文档 >

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityAlert

数据收集规则支持:工作区转换 DCR

适用于 IoT 的Microsoft Defender

支持者:Microsoft Corporation

通过将 ioT 警报Microsoft Defender连接到 Microsoft Sentinel,深入了解 IoT 安全性。 可以获取现用的警报指标和数据,包括警报趋势、热门警报以及按严重性划分的警报细分。 还可以获取有关为 IoT 中心提供的建议的信息,包括按严重性划分的热门建议和建议。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityAlert

数据收集规则支持:工作区转换 DCR

Office 365 (预览版) Microsoft Defender

支持者:Microsoft Corporation

Microsoft Defender Office 365可保护组织免受电子邮件、链接 (URL) 和协作工具构成的恶意威胁。 通过将Office 365警报Microsoft Defender引入Microsoft Sentinel,可以将基于电子邮件和 URL 的威胁的相关信息合并到更广泛的风险分析中,并相应地构建响应方案。

将导入以下类型的警报:

  • 检测到潜在的恶意 URL 单击
  • 送达后删除了包含恶意软件的电子邮件
  • 送达后删除的包含钓鱼 URL 的电子邮件
  • 用户报告为恶意软件或网络钓鱼的电子邮件
  • 检测到可疑的电子邮件发送模式
  • 用户无法发送电子邮件

Office 客户可以在 **Office 安全与合规中心**中看到这些警报。

有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityAlert

数据收集规则支持:工作区转换 DCR

Microsoft Defender 威胁智能

支持者:Microsoft Corporation

Microsoft Sentinel提供导入Microsoft生成的威胁情报的功能,以启用监视、警报和搜寻。 使用此数据连接器将入侵指标 (IOC) 从 Microsoft Defender 威胁智能 (MDTI) 导入到 Microsoft Sentinel。 威胁指示器可能包括 IP 地址、域、URL 和文件哈希等。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ThreatIntelligenceIndicator

数据收集规则支持:工作区转换 DCR

Microsoft Defender XDR

支持者:Microsoft Corporation

Microsoft Defender XDR是一种统一的、本机集成的、入侵前和入侵后的企业防御套件,可保护终结点、标识、电子邮件和应用程序,并帮助你检测、预防、调查和自动响应复杂的威胁。

Microsoft Defender XDR套件包括:

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • 威胁 & 漏洞管理
  • Microsoft Defender for Cloud Apps

有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityIncident
SecurityAlert
DeviceEvents
EmailEvents
IdentityLogonEvents
CloudAppEvents
AlertEvidence

数据收集规则支持:工作区转换 DCR

Microsoft Entra ID

支持者:Microsoft Corporation

通过将审核和登录日志连接到Microsoft Sentinel来深入了解Microsoft Entra ID,以收集有关Microsoft Entra ID方案的见解。 可以使用我们的登录日志了解应用使用情况、条件访问策略和旧身份验证相关详细信息。 可以使用我们的审核日志表获取有关自助服务密码重置 (SSPR) 使用情况的信息,Microsoft Entra ID管理活动,例如用户、组、角色、应用管理。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SigninLogs
AuditLogs
AADNonInteractiveUserSignInLogs
AADServicePrincipalSignInLogs
AADManagedIdentitySignInLogs
AADProvisioningLogs
ADFSSignInLogs
AADUserRiskEvents
AADRiskyUsers
NetworkAccessTraffic
AADRiskyServicePrincipals
AADServicePrincipalRiskEvents

数据收集规则支持:工作区转换 DCR

Microsoft Entra ID资产

支持者:Microsoft Corporation

Entra ID 资产数据连接器通过补充资产信息来更深入地了解活动数据。 此连接器中的数据用于在 Purview 中生成数据风险图。 如果已启用这些图形,则停用此连接器将阻止生成图形。 了解数据风险图。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入

数据收集规则支持: 当前不支持

设置说明:



Microsoft Entra ID保护

支持者:Microsoft Corporation

Microsoft Entra ID保护提供风险用户、风险事件和漏洞的综合视图,能够立即修正风险,并设置策略以自动修正将来的事件。 该服务基于Microsoft保护消费者身份的经验,并每天从超过 130 亿次登录的信号中获得极大的准确性。 将 Microsoft Microsoft Entra ID 防护警报与Microsoft Sentinel集成,以查看仪表板、创建自定义警报并改进调查。 有关详细信息,请参阅 Microsoft Sentinel 文档

获取 Microsoft Entra ID Premium P1/P2

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityAlert

数据收集规则支持:工作区转换 DCR

按事件日志Microsoft Exchange 管理员审核日志

支持者:Community

[选项 1] - 使用 Azure Monitor 代理 - 可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有 Exchange 审核事件。 此连接使你能够查看仪表板、创建自定义警报和改进调查。 Microsoft Exchange 安全工作簿使用此工作簿来提供本地 Exchange 环境的安全见解

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Event

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure Log Analytics 将被弃用,若要从非Azure VM 收集数据,建议Azure Arc。 了解更多
  • 详细文档:>注意:在此处找到有关安装过程和使用情况的详细文档

设置说明:

注意: 此解决方案基于选项。 这允许你选择将引入哪些数据,因为某些选项可能会生成非常大的数据量。 根据要收集的内容,在工作簿、分析规则、搜寻功能中跟踪,你将选择 () 部署的选项。 每个选项对一个选项相互独立。 若要详细了解每个选项,请参阅 “Microsoft Exchange Security”wiki

此数据连接器是 Wiki 的选项 1

1. 下载并安装收集Microsoft Sentinel日志所需的代理

(Exchange Server、链接到 Exchange Server 的域控制器或所有域控制器) 的服务器类型取决于要部署的选项。

部署 Monitor 代理

仅当这是你第一次加入 Exchange Server/域控制器时,才需要执行此步骤 部署Azure Arc 代理 了解详细信息

2. [选项 1] MS Exchange 管理日志收集 - MS Exchange 管理员按数据收集规则审核事件日志

MS Exchange 管理员审核事件日志使用数据收集规则 (DCR) 收集,并允许存储 Exchange 环境中执行的所有管理 Cmdlet。

DCR

数据收集规则部署

启用数据收集规则Microsoft Exchange 管理员审核事件日志仅从 Windows 代理收集。

选项 1 - (首选) Azure 资源管理器 (ARM) 模板

使用此方法自动部署 DCR。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区名称 “和/或其他必填字段”。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure 自动化

使用以下分步说明手动部署数据收集规则。

A. 创建 DCR,类型事件日志

  1. 在Azure门户中,导航到Azure数据收集规则
  2. 单击顶部的“ + 创建 ”。
  3. 在“ 基本信息 ”选项卡中,填写必填字段,选择“Windows”作为平台类型,并为 DCR 指定名称。
  4. 在“ 资源 ”选项卡中,输入 Exchange Server。
  5. 在“收集和传递”中,添加数据源类型“Windows 事件日志”并选择“自定义”选项,输入“MSExchange Management”作为表达式,然后添加它。
  6. “进行其他首选的配置更改”(如果需要),然后单击“ 创建”。

将 DCR 分配给所有 Exchange 服务器

将所有 Exchange 服务器添加到 DCR

注意: 此数据连接器依赖于基于 Kusto 函数分析程序才能按预期工作。 分析程序随解决方案一起自动部署。 按照步骤创建 Kusto Functions 别名: ExchangeAdminAuditLogs

分析程序在解决方案部署期间自动部署。 如果要手动部署,请执行以下步骤

手动分析程序部署

1. 下载分析器文件

最新版本的文件 ExchangeAdminAuditLogs

2. 创建分析器 ExchangeAdminAuditLogs 函数

在Microsoft Sentinel日志分析的“日志”资源管理器中,将文件的内容复制到日志资源管理器

3. 保存分析器 ExchangeAdminAuditLogs 函数

单击“保存”按钮。 此分析程序不需要参数。 再次单击“保存”。



Microsoft Exchange HTTP 代理日志

支持者:Community

[选项 7] - 使用 Azure Monitor 代理 - 可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输 HTTP 代理日志和安全事件日志。 通过此连接,可以创建自定义警报并改进调查。 了解更多

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ExchangeHttpProxy_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure将弃用 Log Analytics:Azure将弃用 Log Analytics,若要从非Azure VM 收集数据,建议Azure Arc。 了解更多
  • 详细文档:>注意:在此处找到有关安装过程和使用情况的详细文档

设置说明:

注意: 此解决方案基于选项。 这允许你选择将引入哪些数据,因为某些选项可能会生成非常大的数据量。 根据要收集的内容,在工作簿、分析规则、搜寻功能中跟踪,你将选择 () 部署的选项。 每个选项对一个选项相互独立。 若要详细了解每个选项,请参阅 “Microsoft Exchange Security”wiki

此数据连接器是 Wiki 的选项 7

1. 下载并安装收集Microsoft Sentinel日志所需的代理

(Exchange Server、链接到 Exchange Server 的域控制器或所有域控制器) 的服务器类型取决于要部署的选项。

部署 Monitor 代理

仅当这是你第一次加入 Exchange Server/域控制器时,才需要执行此步骤 部署Azure Arc 代理 了解详细信息

2. [选项 7] Exchange 服务器的 HTTP 代理

选择 Exchange 服务器的 HTTP 代理流式传输方式

数据收集规则 - 使用 Azure Monitor 代理时

启用数据收集规则 消息跟踪仅从 Windows 代理收集。

选项 1 - Azure 资源管理器 (ARM) 模板 (首选方法)

使用此方法自动部署 DCE 和 DCR。

A. 创建 DCE ((如果尚未为 Exchange Server) 创建)

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 可以更改建议的 DCE 名称。

  4. 单击“ 创建 ”进行部署。

B. 部署数据连接规则

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID “和/或其他必填字段”。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure 自动化

使用以下分步说明手动部署数据收集规则。

创建自定义表 - 说明

无法使用 Azure 门户创建自定义表。 需要使用 ARM 模板、PowerShell 脚本或 此处所述的其他方法。

使用 ARM 模板创建自定义表

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 订阅、资源组、位置和分析工作区名称

  3. 单击“ 创建 ”进行部署。

在 Cloud Shell 中使用 PowerShell 创建自定义表

  1. 在Azure门户中,打开Cloud Shell。
  2. 复制并粘贴并执行Cloud Shell中的以下脚本以创建表。 $tableParams = @' { “properties”: { “schema”: { “name”: “ExchangeHttpProxy_CL”, “columns”: [ { “name”: “AccountForestLatencyBreakup”, “type”: “string” }, { “name”: “ActivityContextLifeTime”, “type”: “string” }, { “name”: “ADLatency”, “type”: “string” }, { “name”: “AnchorMailbox”, “type”: “string” }, { “name”: “AuthenticatedUser”, “type”: “string” }, { “name”: “AuthenticationType”, “type”: “string” }, { “name”: “AuthModulePerfContext”, “type”: “string” }, { “name”: “BackEndCookie”, “type”: “string” }, { “name”: “BackEndGenericInfo”, “type”: “string” }, { “name”: “BackendProcessingLatency”, “type”: “string” }, { “name”: “BackendReqInitLatency”, “type”: “string” }, { “name”: “BackendReqStreamLatency”, “type”: “string” }, { “name”: “BackendRespInitLatency”, “type”: “string” }, { “name”: “BackendRespStreamLatency”, “type”: “string” }, { “name”: “BackEndStatus”, “type”: “string” }, { “name”: “BuildVersion”, “type”: “string” }, { “name”: “CalculateTargetBackEndLatency”, “type”: “string” }, { “name”: “ClientIpAddress”, “type”: “string” }, { “name”: “ClientReqStreamLatency”, “type”: “string” }, { “name”: “ClientRequestId”, “type”: “string” }, { “name”: “ClientRespStreamLatency”, “type”: “string” }, { “name”: “CoreLatency”, “type”: “string” }, { “name”: “DatabaseGuid”, “type”: “string” }, { “name”: “EdgeTraceId”, “type”: “string” }, { “name”: “ErrorCode”, “type”: “string” }, { “name”: “GenericErrors”, “type”: “string” }, { “name”: “GenericInfo”, “type”: “string” }, { “name”: “GlsLatencyBreakup”, “type”: “string” }, { “name”: “HandlerCompletionLatency”, “type”: “string” }, { “name”: “HandlerToModuleSwitchingLatency”, “type”: “string” }, { “name”: “HttpPipelineLatency”, “type”: “string” }, { “name”: “HttpProxyOverhead”, “type”: “string” }, { “name”: “HttpStatus”, “type”: “string” }, { “name”: “IsAuthenticated”, “type”: “string” }, { “name”: “KerberosAuthHeaderLatency”, “type”: “string” }, { “name”: “MajorVersion”, “type”: “string” }, { “name”: “Method”, “type”: “string” }, { “name”: “MinorVersion”, “type”: “string” }, { “name”: “ModuleToHandlerSwitchingLatency”, “type”: “string” }, { “name”: “Organization”, “type”: “string” }, { “name”: “PartitionEndpointLookupLatency”, “type”: “string” }, { “name”: “Protocol”, “type”: “string” }, { “name”: “ProtocolAction”, “type”: “string” }, { “name”: “ProxyAction”, “type”: “string” }, { “name”: “ProxyTime”, “type”: “string” }, { “name”: “RequestBytes”, “type”: “string” }, { “name”: “RequestHandlerLatency”, “type”: “string” }, { “name”: “RequestId”, “type”: “string” }, { “name”: “ResourceForestLatencyBreakup”, “type”: “string” }, { “name”: “ResponseBytes”, “type”: “string” }, { “name”: “RevisionVersion”, “type”: “string” }, { “name”: “RouteRefresherLatency”, “type”: “string” }, { “name”: “RoutingHint”, “type”: “string” }, { “name”: “RoutingLatency”, “type”: “string” }, { “name”: “RoutingStatus”, “type”: “string” }, { “name”: “RoutingType”, “type”: “string” }, { “name”: “ServerHostName”, “type”: “string” }, { “name”: “ServerLocatorHost”, “type”: “string” }, { “name”: “ServerLocatorLatency”, “type”: “string” }, { “name”: “SharedCacheLatencyBreakup”, “type”: “string” }, { “name”: “TargetOutstandingRequests”, “type”: “string” }, { “name”: “TargetServer”, “type”: “string” }, { “name”: “TargetServerVersion”, “type”: “string” }, { “name”: “TotalAccountForestLatency”, “type”: “string” }, { “name”: “TotalGlsLatency”, “type”: “string” }, { “name”: “TotalRequestTime”, “type”: “string” }, { “name”: “TotalResourceForestLatency”, “type”: “string” }, { “name”: “TotalSharedCacheLatency”, “type”: “string” }, { “name”: “UrlHost”, “type”: “string” }, { “name”: “UrlQuery”, “type”: “string” }, { “name”: “UrlStem”, “type”: “string” }, { “name”: “UserADObjectGuid”, “type”: “string” }, { “name”: “UserAgent”, “type”: “string” }, { “name”: “TimeGenerated”, “type”: “datetime” }, { “name”: “FilePath”, “type”: “string” } ] } }@
  3. 使用自己的值复制、替换、粘贴并执行以下参数:$SubscriptionID = 'YourGUID' $ResourceGroupName = 'YourResourceGroupName' $WorkspaceName = 'YourWorkspaceName'
  4. 执行以下 Cmdlet 以创建表:Invoke-AzRestMethod -Path “/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/ExchangeHttpProxy_CL?api-version=2021-12-01-preview” -Method PUT -payload $tableParams

A. 创建 DCE ((如果尚未为 Exchange Server) 创建)

  1. 在Azure门户中,导航到“Azure数据收集终结点”。
  2. 单击顶部的“ + 创建 ”。
  3. 在“ 基本信息 ”选项卡中,填写必填字段,并为 DCE 指定名称。
  4. “进行其他首选的配置更改”(如果需要),然后单击“ 创建”。

B. 创建 DCR,键入自定义日志

  1. 在Azure门户中,导航到Azure数据收集规则
  2. 单击“创建”按钮。
  3. 在“基本信息”选项卡上,填写“规则名称”(如 DCR-Option7-HTTPProxyLogs),选择具有以前创建的终结点的“数据收集终结点”并填充其他参数。
  4. 在“ 资源 ”选项卡中,添加 Exchange Server。
  5. “收集和传递”中添加数据源类型“自定义文本日志”并输入以下文件模式:“C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Oab*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log','C:\ProgramFiles\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log','C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log'
  6. 将“ExchangeHttpProxy_CL”放在表名中。
  7. 在“转换”字段中,输入以下 KQL 请求: source |extend d = split (RawData,',') |extend DateTime=todatetime (d[0]) ,RequestId=tostring (d[1]) ,MajorVersion=tostring (d[2]) ,MinorVersion=tostring (d[3]) ,BuildVersion=tostring (d[4]) ,RevisionVersion=tostring (d[5]) ,ClientRequestId=tostring (d[6]) ,Protocol=tostring (d[7]) ,UrlHost=tostring (d[8]) ,UrlStem=tostring (d[9]) ,ProtocolAction=tostring (d[10]) ,AuthenticationType=tostring (d[11]) ,IsAuthenticated=tostring (d[12]) ,AuthenticatedUser=tostring (d[13]) ,Organization=tostring (d[14]) ,AnchorMailbox=tostring (d[15]) ,UserAgent=tostring (d[16]) ,ClientIpAddress=tostring (d[17]) ,ServerHostName=tostring (d[18]) ,HttpStatus=tostring (d[19]) ,BackEndStatus=tostring (d[20]) ,ErrorCode=tostring (d[21]) ,Method=tostring (d[21] 22]) ,ProxyAction=tostring (d[23]) ,TargetServer=tostring (d[24]) ,TargetServerVersion=tostring (d[25]) ,RoutingType=tostring (d[26]) ,RoutingHint=tostring (d[27]) ,BackEndCookie=tostring (d[28]) ,ServerLocatorHost=tostring (d[29]) ,ServerLocatorLatency=tostring (d[30]) ,RequestBytes=tostring (d[31]) ,ResponseBytes=tostring (d[32]) (,TargetOutstandingRequests=tostring (d[33]) ,AuthModulePerfContext=tostring (d[34]) ,HttpPipelineLatency=tostring (d[35]) ,CalculateTargetBackEndLatency=tostring (d[36]) ,GlsLatencyBreakup=tostring (d[37]) ,TotalGlsLatency=tostring (d[38]) ,AccountForestLatencyBreakup=tostring (d[39]) ,TotalAccountForestLatency=tostring (d[40]) ,ResourceForestLatencyBreakup=tostring (d[41]) ,TotalResourceForestLatency=tostring (d[42]) ,ADLatency=tostring (d[43]) ,SharedCacheLatencyBreakup=tostring (d[44 ]) ,TotalSharedCacheLatency=tostring (d[45]) ,ActivityContextLifeTime=tostring (d[46]) ,ModuleToHandlerSwitchingLatency=tostring (d[47]) ,ClientReqStreamLatency=tostring (d[48]) ,BackendReqInitLatency=tostring (d[49]) ,BackendReqStreamLatency=tostring (d[50]) ,BackendProcessingLatency=tostring (d[51]) ,BackendRespInitLatency=tostring (d[52]) ,BackendRespStreamLatency=tostring (d[53]) ,ClientRespStreamLatency=tostring (d[54]) ,KerberosAuthHeaderLatency=tostring (d[55]) ,HandlerCompletionLatency=tostring () d[56]) ,RequestHandlerLatency=tostring (d[57]) ,HandlerToModuleSwitchingLatency=tostring (d[58]) ,ProxyTime=tostring (d[59]) ,CoreLatency=tostring (d[60]) ,RoutingLatency=tostring (d[61]) ,HttpProxyOverhead=tostring (d[62]) ,TotalRequestTime=tostring ( (d[63]) ,RouteRefresherLatency=tostring (d[64]) ,UrlQuery=tostring (d[65 ]) ,BackEndGenericInfo=tostring (d[66]) ,GenericInfo=tostring (d[67]) ,GenericErrors=tostring (d[68]) ,EdgeTraceId=tostring (d[69]) ,DatabaseGuid=tostring (d[70]) ,UserADObjectGuid=tostring (d[71]) ,PartitionEndpointLookupLatency=tostring (d[72]) ,RoutingStatus=tostring (d[73]) |extend TimeGenerated = DateTime |project-away d,RawData,DateTime |project-away d,RawData,DateTime,然后单击“Destination”。
  8. 在“目标”中,添加目标并选择之前已在其中创建自定义表的工作区
  9. 单击“添加数据源”。
  10. 填充其他必需的参数和标记并创建 DCR

将 DCR 分配给所有 Exchange 服务器

将所有 Exchange 服务器添加到 DCR



Microsoft Exchange 日志和事件

支持者:Community

[选项 2] - 使用 Azure Monitor 代理 - 可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有 Exchange 安全 & 应用程序事件日志。 通过此连接,可以创建自定义警报并改进调查。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Event

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure将弃用 Log Analytics:Azure将弃用 Log Analytics,若要从非Azure VM 收集数据,建议Azure Arc。 了解更多
  • 详细文档:>注意:在此处找到有关安装过程和使用情况的详细文档

设置说明:

注意: 此解决方案基于选项。 这允许你选择将引入哪些数据,因为某些选项可能会生成非常大的数据量。 根据要收集的内容,在工作簿、分析规则、搜寻功能中跟踪,你将选择 () 部署的选项。 每个选项对一个选项相互独立。 若要详细了解每个选项,请参阅 “Microsoft Exchange Security”wiki

此数据连接器是 Wiki 的选项 2

1. 下载并安装收集Microsoft Sentinel日志所需的代理

(Exchange Server、链接到 Exchange Server 的域控制器或所有域控制器) 的服务器类型取决于要部署的选项。

部署 Monitor 代理

仅当这是你第一次加入 Exchange Server/域控制器时,才需要执行此步骤 部署Azure Arc 代理 了解详细信息

2. [选项 2] Exchange 服务器的安全/应用程序/系统日志

Exchange Server 的安全/应用程序/系统日志使用数据收集规则 (DCR) 收集。

安全事件日志收集

数据收集规则 - 安全事件日志

为安全日志启用数据收集规则 安全事件日志仅从 Windows 代理收集。

  1. 在“ 资源 ”选项卡上添加 Exchange Server。
  2. 选择“安全日志级别”

通用级别 是所需的最低级别。 请在 DCR 定义中选择“常见”或“所有安全事件”。

  • 安装代理: <在安装时提供的变量值>

应用程序和系统事件日志收集

启用数据收集规则

应用程序和系统事件日志仅从 Windows 代理收集。

选项 1 - Azure 资源管理器 (ARM) 模板 (首选方法)

使用此方法自动部署 DCR。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区名称 “和/或其他必填字段”。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure 自动化

使用以下分步说明手动部署数据收集规则。

A. 创建 DCR,类型事件日志

  1. 在Azure门户中,导航到Azure数据收集规则
  2. 单击顶部的“ + 创建 ”。
  3. 在“ 基本信息 ”选项卡中,填写必填字段,选择“Windows”作为平台类型,并为 DCR 指定名称。
  4. 在“ 资源 ”选项卡中,输入 Exchange Server。
  5. 在“收集和传递”中,添加数据源类型“Windows 事件日志”,然后选择“基本”选项。
  6. 对于“应用程序”,请选择“严重”、“错误”和“警告”。 对于“系统”,选择“严重/错误/警告/信息”。
  7. “进行其他首选的配置更改”(如果需要),然后单击“ 创建”。

将 DCR 分配给所有 Exchange 服务器

将所有 Exchange 服务器添加到 DCR



Microsoft Exchange 邮件跟踪日志

支持者:Community

[选项 6] - 使用 Azure Monitor 代理 - 可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有 Exchange 消息跟踪。 这些日志可用于跟踪 Exchange 环境中的消息流。 此数据连接器基于 Microsoft Exchange Security wiki 的选项 6。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
MessageTrackingLog_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure将弃用 Log Analytics:Azure将弃用 Log Analytics,若要从非Azure VM 收集数据,建议Azure Arc。 了解更多
  • 详细文档:>注意:在此处找到有关安装过程和使用情况的详细文档

设置说明:

注意: 此解决方案基于选项。 这允许你选择将引入哪些数据,因为某些选项可能会生成非常大的数据量。 根据要收集的内容,在工作簿、分析规则、搜寻功能中跟踪,你将选择 () 部署的选项。 每个选项对一个选项相互独立。 若要详细了解每个选项,请参阅 “Microsoft Exchange Security”wiki

此数据连接器是 Wiki 的选项 6

1. 下载并安装收集Microsoft Sentinel日志所需的代理

(Exchange Server、链接到 Exchange Server 的域控制器或所有域控制器) 的服务器类型取决于要部署的选项。

部署 Monitor 代理

仅当这是你第一次加入 Exchange Server/域控制器时,才需要执行此步骤 部署Azure Arc 代理 了解详细信息

2. Exchange Server 的邮件跟踪

选择 Exchange Server 的邮件跟踪流式传输方式

数据收集规则 - 使用 Azure Monitor 代理时

启用数据收集规则 消息跟踪仅从 Windows 代理收集。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 DCE 和 DCR。

A. 创建 DCE ((如果尚未为 Exchange Server) 创建)

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 可以更改建议的 DCE 名称。

  4. 单击“ 创建 ”进行部署。

B. 部署数据连接规则和自定义表

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID “和/或其他必填字段”。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure 自动化

使用以下分步说明手动部署数据收集规则。

创建自定义表 - 说明

无法使用 Azure 门户创建自定义表。 需要使用 ARM 模板、PowerShell 脚本或 此处所述的其他方法。

使用 ARM 模板创建自定义表

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 订阅、资源组、位置和分析工作区名称

  3. 单击“ 创建 ”进行部署。

在 Cloud Shell 中使用 PowerShell 创建自定义表

  1. 在Azure门户中,打开Cloud Shell。
  2. 复制并粘贴并执行Cloud Shell中的以下脚本以创建表。 $tableParams = @' { “properties”: { “schema”: { “name”: “MessageTrackingLog_CL”, “columns”: [ { “name”: “directionality”, “type”: “string” }, { “name”: “reference”, “type”: “string” }, { “name”: “source”, “type”: “string” }, { “name”: “TimeGenerated”, “type”: “datetime” }, { “name”: “clientHostname”, “type”: “string” }, { “name”: “clientIP”, “type”: “string” }, { “name”: “connectorId”, “type”: “string” }, { “name”: “customData”, “type”: “string” }, { “name”: “eventId”, “type”: “string” }, { “name”: “internalMessageId”, “type”: “string” }, { “name”: “logId”, “type”: “string” }, { “name”: “messageId”, “type”: “string” }, { “name”: “messageInfo”, “type”: “string” }, { “name”: “messageSubject”, “type”: “string” }, { “name”: “networkMessageId”, “type”: “string” }, { “name”: “originalClientIp”, “type”: “string” }, { “name”: “originalServerIp”, “type”: “string” }, { “name”: “recipientAddress”, “type”: “string” }, { “name”: “recipientCount”, “type”: “string” }, { “name”: “recipientStatus”, “type”: “string” }, { “name”: “relatedRecipientAddress”, “type”: “string” }, { “name”: “returnPath”, “type”: “string” }, { “name”: “senderAddress”, “type”: “string” }, { “name”: “senderHostname”, “type”: “string” }, { “name”: “serverIp”, “type”: “string” }, { “name”: “sourceContext”, “type”: “string” }, { “name”: “schemaVersion”, “type”: “string” }, { “name”: messageTrackingTenantId“, ”type“: ”string“ }, { ”name“: ”totalBytes“, ”type“: ”string“ }, { ”name“: “transportTrafficType”, “type”: “string” }, { “name”: “FilePath”, “type”: “string” } ] } } } '@
  3. 使用自己的值复制、替换、粘贴并执行以下参数:$SubscriptionID = 'YourGUID' $ResourceGroupName = 'YourResourceGroupName' $WorkspaceName = 'YourWorkspaceName'
  4. 执行以下 Cmdlet 以创建表:Invoke-AzRestMethod -Path “/subscriptions/$SubscriptionID/resourcegroups/$ResourceGroupName/providers/microsoft.operationalinsights/workspaces/$WorkspaceName/tables/MessageTrackingLog_CL?api-version=2021-12-01-preview” -Method PUT -payload $tableParams

A. 创建 DCE ((如果尚未为 Exchange Server) 创建)

  1. 在Azure门户中,导航到“Azure数据收集终结点”。
  2. 单击顶部的“ + 创建 ”。
  3. 在“ 基本信息 ”选项卡中,填写必填字段,并为 DCE 指定名称,例如 ESI-ExchangeServers。
  4. “进行其他首选的配置更改”(如果需要),然后单击“ 创建”。

B. 创建 DCR,键入自定义日志

  1. 在Azure门户中,导航到Azure数据收集规则
  2. 单击“创建”按钮。
  3. 在“基本信息”选项卡上,填写“规则名称”(如 DCR-Option6-MessageTrackingLogs),使用以前创建的终结点选择“数据收集终结点”并填充其他参数。
  4. 在“ 资源 ”选项卡中,添加 Exchange Server。
  5. “收集和传递”中添加数据源类型“自定义文本日志”,并在文件模式中输入“C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log”,在表名称中输入“MessageTrackingLog_CL”。 6.in 转换字段中,输入以下 KQL 请求: source |extend d = split (RawData,',') |extend TimeGenerated =todatetime (d[0]) ,clientIP =tostring (d[1]) ,clientHostname =tostring (d[2]) ,serverIp=tostring (d[3]) ,senderHostname=tostring (d[4]) ,sourceContext=tostring (d[5]) ,connectorId =tostring (d[6]) ,source=tostring (d[7]) ,eventId =tostring (d[8]) ,internalMessageId =tostring (d[9]) ,messageId =tostring (d[10]) ,networkMessageId =tostring (d[11]) ,recipientAddress=tostring (d[12]) ,recipientStatus=tostring (d[13]) ,totalBytes=tostring (d[14]) ,recipientCount=tostring (d[15]) ,relatedRecipientAddress=tostring (d[16]) ,reference=tostring (d[17]) ,messageSubject =tostring (d[18]) ,senderAddress=tostring (d[19]) ,returnPath=tostring (d[20]) ,messageInfo =tostring (d[21]) ,方向性=tostring (d[d 22]) ,messageTrackingTenantId =tostring (d[23]) ,originalClientIp =tostring (d[24]) ,originalServerIp =tostring (d[25]) ,customData=tostring (d[26]) ,transportTrafficType =tostring (d[27]) ,logId =tostring (d[28]) ,schemaVersion=tostring (d[29]) |project-away d,RawData 并单击“目标”。
  6. 在“目标”中,添加目标并选择之前已在其中创建自定义表的工作区
  7. 单击“添加数据源”。
  8. 填充其他必需的参数和标记并创建 DCR

将 DCR 分配给所有 Exchange 服务器

将所有 Exchange 服务器添加到 DCR



Microsoft Power Automate

支持者:Microsoft Corporation

Power Automate 是一项Microsoft服务,可帮助用户在应用和服务之间创建自动化工作流,以同步文件、获取通知、收集数据等。 它通过减少手动重复任务和提高工作效率来简化任务自动化,提高效率。 Power Automate 数据连接器提供将 Power Automate 活动日志从Microsoft Purview 审核日志引入到Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
PowerAutomateActivity

数据收集规则支持:工作区转换 DCR

先决条件:

  • 租户权限:工作区租户上的“安全管理员”或“全局管理员”。
  • Micorosft Purview 审核:必须激活Microsoft Purview 审核 (Standard或高级) 。

设置说明:

将Microsoft Power Automate审核日志连接到Microsoft Sentinel

此连接器使用 Office 管理 API 获取 Power Automate 审核日志。 日志将在现有Microsoft Sentinel工作区中存储和处理。 可以在 PowerAutomateActivity 表中找到数据。

  • 启用/禁用连接



Microsoft Power Platform 管理员 活动

支持者:Microsoft Corporation

Microsoft Power Platform 是一个低代码/无代码套件,使公民和专业开发人员能够通过最少的编码创建自定义应用、自动化工作流和数据分析来简化业务流程。 Power Platform 管理员 数据连接器提供将 Power Platform 管理员活动日志从Microsoft Purview 审核日志引入Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
PowerPlatformAdminActivity

数据收集规则支持:工作区转换 DCR

先决条件:

  • 租户权限:工作区租户上的“安全管理员”或“全局管理员”。
  • Micorosft Purview 审核:必须激活Microsoft Purview 审核 (Standard或高级) 。

设置说明:

将Microsoft Power Platform 管理员 活动审核日志连接到Microsoft Sentinel

此连接器使用 Office 管理 API 获取 Power Platform 管理员审核日志。 日志将在现有Microsoft Sentinel工作区中存储和处理。 可以在 PowerPlatformAdminActivity 表中找到数据。

  • 启用/禁用连接



Microsoft PowerBI

支持者:Microsoft Corporation

Microsoft PowerBI 是软件服务、应用和连接器的集合,这些服务、应用和连接器协同工作,将不相关的数据源转化为连贯、直观、沉浸式的交互式见解。 数据可以是 Excel 电子表格、基于云的和本地混合数据仓库的集合,也可以是某种其他类型的数据存储。 此连接器允许将 PowerBI 审核日志流式传输到Microsoft Sentinel,从而跟踪 PowerBI 环境中的用户活动。 可以按日期范围、用户、仪表板、报表、数据集和活动类型筛选审核数据。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
PowerBIActivity

数据收集规则支持:工作区转换 DCR

Microsoft项目

支持者:Microsoft

Microsoft Project (MSP) 是一种项目管理软件解决方案。 根据你的计划,Microsoft Project 允许你计划项目、分配任务、管理资源、创建报表等。 此连接器允许将Azure项目审核日志流式传输到Microsoft Sentinel,以便跟踪项目活动。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ProjectActivity

数据收集规则支持:工作区转换 DCR

Microsoft Purview

支持者:Microsoft Corporation

连接到 Microsoft Purview 以启用Microsoft Sentinel的数据敏感度扩充。 可以通过工作簿、分析规则等引入和可视化来自 Microsoft Purview 扫描的数据分类和敏感度标签日志。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
PurviewDataSensitivityLogs

数据收集规则支持:工作区转换 DCR

设置说明:

将 Microsoft Purview 连接到 Microsoft Sentinel

在Azure门户中,导航到 Purview 资源:

  1. 在搜索栏中,搜索 Purview 帐户。
  2. 选择要使用Sentinel设置的特定帐户。

在 Microsoft Purview 资源中:3.选择 “诊断设置”。 4.选择“ + 添加诊断设置”。 5. 在 “诊断设置” 边栏选项卡中:

  • 选择“日志类别 ”作为“DataSensitivityLogEvent”。
  • 选择“ 发送到 Log Analytics”。
  • 选择日志目标工作区。 这应与 Microsoft Sentinel 使用的工作区相同
  • 单击保存



Microsoft Purview 信息保护

支持者:Microsoft Corporation

Microsoft Purview 信息保护可帮助你发现、分类、保护和治理敏感信息,无论其生活或传播到何处。 使用这些功能,可以了解数据、识别敏感项,并了解它们如何用于更好地保护数据。 敏感度标签是提供保护操作、应用加密、访问限制和视觉标记的基础功能。 将Microsoft Purview 信息保护日志与Microsoft Sentinel集成,以查看仪表板、创建自定义警报并改进调查。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
MicrosoftPurviewInformationProtection

数据收集规则支持:工作区转换 DCR

Mimecast 审核

支持者:Mimecast

Mimecast Audit 的数据连接器使客户能够查看与Microsoft Sentinel中的审核和身份验证事件相关的安全事件。 数据连接器提供预先创建的仪表板,使分析师能够查看用户活动的见解,帮助实现事件关联,并缩短调查响应时间以及自定义警报功能。
连接器中包含的 Mimecast 产品包括:审核

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Audit_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure订阅:需要具有所有者角色的Azure订阅才能在 Microsoft Entra ID 中注册应用程序,并将参与者角色分配给资源组中的应用。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:请参阅文档,详细了解 REST API 上的 API 参考

设置说明:

注意:此连接器使用 Azure Functions 连接到 Mimecast API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

配置:

步骤 1 - Mimecast API 的配置步骤

转到Azure 门户 --->应用注册 ---> [your_app] --->证书 & 机密--->“新建客户端密码”,并创建新机密 (立即将值保存到安全位置,因为稍后将无法预览它)

步骤 2 - 部署 Mimecast API 连接器

重要: 在部署 Mimecast API 连接器之前,请将 Mimecast API 授权密钥 () 或令牌随时可用。

步骤 3 - Microsoft Entra ID中应用程序的应用注册步骤

此集成需要在 Azure 门户 中注册应用。 按照本部分中的步骤在 Microsoft Entra ID 中创建新应用程序:

  1. 登录 Azure 门户
  2. 搜索并选择“Microsoft Entra ID”。
  3. “管理”下,选择“应用注册>新注册”。
  4. 输入应用程序的显示 名称
  5. 选择“ 注册 ”以完成初始应用注册。
  6. 注册完成后,Azure 门户将显示应用注册的“概述”窗格。 会看到 应用程序 (客户端) ID 和租户 ID。 需要客户端 ID 和租户 ID 作为执行 TenableVM 数据连接器的配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app

步骤 4 - 在 Microsoft Entra ID 中添加应用程序的客户端密码

客户端密码有时称为应用程序密码,是执行 TenableVM 数据连接器所需的字符串值。 按照本部分中的步骤创建新的客户端密码:

  1. 在“Azure 门户”中,在“应用注册”中选择应用程序。
  2. 选择 “证书”& 机密 > “”客户端机密 > “”新建客户端密码”。
  3. 添加客户端密码的说明。
  4. 选择机密的过期时间或指定自定义生存期。 限制为 24 个月。
  5. 选择“添加”。
  6. 记录要在客户端应用程序代码中使用的机密值。 离开此页面后,永远不会再次显示此机密值。 执行 TenableVM 数据连接器时需要机密值作为配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步骤 5 - 在 Microsoft Entra ID 中获取应用程序的对象 ID

创建应用注册后,请按照此部分中的步骤获取对象 ID:

  1. 转到Microsoft Entra ID
  2. 从左侧菜单中选择“ 企业应用程序 ”。
  3. 在列表中查找新创建的应用程序, (可以按) 提供的名称进行搜索。
  4. 单击应用程序。
  5. 在“概述”页上,复制 “对象 ID”。这是 ARM 模板角色分配所需的 AzureEntraObjectId

部署 Mimecast 审核数据连接器:

使用此方法自动部署 Mimecast Audit Data 连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“区域”。

  3. 输入以下信息:

    a. 位置 - 应在其中部署数据收集规则和数据收集终结点的位置

    b. WorkspaceName - 输入 Log Analytics 工作区Microsoft Sentinel工作区名称

    c. AzureClientID - 输入在应用注册期间创建的Azure客户端 ID

    d. AzureClientSecret - 输入在创建客户端密码时创建的Azure客户端密码

    e. AzureTenantID - 输入Azure Active Directory 的Azure租户 ID

    f. AzureEntraObjectID - 输入Microsoft Entra应用的对象 ID

    g. MimecastBaseURL - 输入 Mimecast API 2.0 (的基 URL,例如 https://api.services.mimecast.com)

    h. MimecastClientID - 输入 Mimecast 客户端 ID 进行身份验证

    i. MimecastClientSecret - 输入 Mimecast 客户端密码进行身份验证

    j. MimecastAuditTableName - 输入用于存储审核数据的表的名称。 默认值为“Audit”

    k. StartDate - 以“yyyy-mm-dd”格式输入开始日期。 如果未提供日期,将自动提取过去 60 天的数据。 确保日期过去且格式正确

    我。 计划 - 请输入有效的“石英”cron-expression。 (示例:0 0 */1 * * **) 不要将值保留为空,最小值为 10 分钟

    m. LogLevel - 请添加日志级别或日志严重性值。 默认情况下,它设置为 INFO

    n. AppInsightsWorkspaceResourceId - 将经典 Application Insights 迁移到 Log Analytic 工作区,该工作区将于 2024 年 2 月 29 日停用。 使用具有“资源 ID”属性值的“Log Analytic 工作区-->属性”边栏选项卡。 这是格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”的完全限定 resourceId

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。



Mimecast Audit & Authentication (using Azure Functions)

支持者:Mimecast

Mimecast Audit & Authentication 的数据连接器使客户能够查看与Microsoft Sentinel中的审核和身份验证事件相关的安全事件。 数据连接器提供预先创建的仪表板,使分析师能够查看用户活动的见解,帮助实现事件关联,并缩短调查响应时间以及自定义警报功能。
连接器中包含的 Mimecast 产品包括:审核 & 身份验证

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
MimecastAudit_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Mimecast API 凭据:需要具有以下信息才能配置集成:
  • mimecastEmail:Email专用 Mimecast 管理员用户的地址
  • mimecastPassword:专用 Mimecast 管理员用户的密码
  • mimecastAppId:向 Mimecast 注册的 Mimecast Microsoft Sentinel应用的 API 应用程序 ID
  • mimecastAppKey:向 Mimecast 注册的 Mimecast Microsoft Sentinel 应用的 API 应用程序密钥
  • mimecastAccessKey:专用 Mimecast 管理员用户的访问密钥
  • mimecastSecretKey:专用 Mimecast 管理员用户的密钥
  • mimecastBaseURL:Mimecast 区域 API 基 URL

可通过 Mimecast 管理控制台获取专用 Mimecast 管理员用户的 Mimecast 应用程序 ID、应用程序密钥以及访问密钥和密钥: 管理 |服务 |API 和平台集成。

此处介绍了每个区域的 Mimecast API 基 URL: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • 资源组:需要使用要使用的订阅创建资源组。
  • Functions 应用:需要注册Azure 应用才能使用此连接器
  1. 应用程序 ID
  2. 租户 ID
  3. 客户端 ID
  4. 客户端密码

设置说明:

注意:此连接器使用 Azure Functions 连接到 Mimecast API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

配置:

步骤 1 - Mimecast API 的配置步骤

转到Azure 门户 --->应用注册 ---> [your_app] --->证书 & 机密--->“新建客户端密码”,并创建新机密 (立即将值保存到安全位置,因为稍后将无法预览它)

步骤 2 - 部署 Mimecast API 连接器

重要: 在部署 Mimecast API 连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的 Mimecast API 授权密钥 () 或令牌。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

部署 Mimecast Audit & 身份验证数据连接器:

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入以下字段:

  • appName:将在 Azure 平台中用作应用 ID 的唯一字符串
  • objectId:Azure 门户 ---> Azure Active Directory --->详细信息--->配置文件----->对象 ID
  • appInsightsLocation (默认) :westeurope
  • mimecastEmail:此 integraion 的专用用户的Email地址
  • mimecastPassword:专用用户的密码
  • mimecastAppId:Microsoft Sentinel注册到 Mimecast 的应用的应用程序 ID
  • mimecastAppKey:注册到 Mimecast 的 Microsoft Sentinel 应用中的应用程序密钥
  • mimecastAccessKey:专用 Mimecast 用户的访问密钥
  • mimecastSecretKey:专用 Mimecast 用户的密钥
  • mimecastBaseURL:区域 Mimecast API 基 URL
  • activeDirectoryAppId:Azure 门户 ---> 应用注册 ---> [your_app] --->应用程序 ID
  • activeDirectoryAppSecret:Azure 门户 ---> 应用注册 ---> [your_app] ---> 证书 & 机密---> [your_app_secret]
  • workspaceId:Azure 门户 ---> Log Analytics 工作区---> [工作区] --->代理--->工作区 ID (,也可以从上面复制 workspaceId)
  • workspaceKey:Azure 门户 ---> Log Analytics 工作区---> [工作区] --->代理--->主密钥 (,也可以从上面复制 workspaceKey)
  • AppInsightsWorkspaceResourceID:Azure 门户 ---> Log Analytics 工作区---> [工作区] --->属性--->资源 ID

注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档

  1. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  2. 单击“ 购买 ”进行部署。

  3. 转到Azure 门户 --->资源组---> [your_resource_group] ---> [appName] (类型:存储帐户) ---> 存储资源管理器 ---> BLOB 容器--->审核检查点,--->上传并在名为 checkpoint.txt 的计算机上创建空文件,然后选择该文件进行上传 (以便 SIEM 日志date_range以一致状态存储)



Mimecast 感知培训

支持者:Mimecast

Mimecast 感知培训的数据连接器可让客户了解Microsoft Sentinel内与目标威胁防护检查技术相关的安全事件。 数据连接器提供预创建的仪表板,使分析师能够查看基于电子邮件的威胁的见解,帮助实现事件关联,并缩短调查响应时间以及自定义警报功能。
连接器中包含的 Mimecast 产品包括:

  • 性能详细信息
  • 安全分数详细信息
  • 用户数据
  • 监视列表详细信息

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Awareness_Performance_Details_CL
Awareness_SafeScore_Details_CL
Awareness_User_Data_CL
Awareness_Watchlist_Details_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure订阅:需要具有所有者角色的Azure订阅才能在 Microsoft Entra ID 中注册应用程序,并将参与者角色分配给资源组中的应用。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:请参阅文档,详细了解 REST API 上的 API 参考

设置说明:

资源组

需要创建一个资源组,其中包含要使用的订阅。

Functions 应用

需要注册Azure 应用才能使用此连接器

  1. 应用程序 ID
  2. 租户 ID
  3. 客户端 ID
  4. 客户端密码
  5. Entra 对象 ID

注意:此连接器使用 Azure Functions 连接到 Mimecast API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - Microsoft Entra ID 中应用程序的应用注册步骤

此集成需要在 Azure 门户 中注册应用。 按照本部分中的步骤在 Microsoft Entra ID 中创建新应用程序:

  1. 登录 Azure 门户
  2. 搜索并选择“Microsoft Entra ID”。
  3. “管理”下,选择“应用注册>新注册”。
  4. 输入应用程序的显示 名称
  5. 选择“ 注册 ”以完成初始应用注册。
  6. 注册完成后,Azure 门户将显示应用注册的“概述”窗格。 会看到 应用程序 (客户端) ID 和租户 ID。 客户端 ID 和租户 ID 是执行 Mimecast 数据连接器所需的配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app

步骤 2 - 在 Microsoft Entra ID 中添加应用程序的客户端密码

客户端密码有时称为应用程序密码,是执行 Mimecast 数据连接器所需的字符串值。 按照本部分中的步骤创建新的客户端密码:

  1. 在“Azure 门户”中,在“应用注册”中选择应用程序。
  2. 选择 “证书”& 机密 > “”客户端机密 > “”新建客户端密码”。
  3. 添加客户端密码的说明。
  4. 选择机密的过期时间或指定自定义生存期。 限制为 24 个月。
  5. 选择“添加”。
  6. 记录要在客户端应用程序代码中使用的机密值。 离开此页面后,永远不会再次显示此机密值。 机密值作为执行 Mimecast 数据连接器的配置参数是必需的。

参考链接:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步骤 3 - 在 Microsoft Entra ID 中获取应用程序的对象 ID

创建应用注册后,请按照此部分中的步骤获取对象 ID:

  1. 转到Microsoft Entra ID
  2. 从左侧菜单中选择“ 企业应用程序 ”。
  3. 在列表中查找新创建的应用程序, (可以按) 提供的名称进行搜索。
  4. 单击应用程序。
  5. 在“概述”页上,复制 “对象 ID”。这是 ARM 模板角色分配所需的 AzureEntraObjectId

步骤 4 - 部署 Mimecast API 连接器

重要: 在部署 Mimecast API 连接器之前,请将 Mimecast API 授权密钥 () 或令牌随时可用。

Azure 资源管理器 (ARM) 模板

使用此方法自动部署 Mimecast Awareness Training Data 连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“区域”。

  3. 输入以下信息:

    a. 位置 - 应在其中部署数据收集规则和数据收集终结点的位置

    b. WorkspaceName - 输入 Log Analytics 工作区Microsoft Sentinel工作区名称

    c. AzureClientID - 输入在应用注册期间创建的Azure客户端 ID

    d. AzureClientSecret - 输入在创建客户端密码时创建的Azure客户端密码

    e. AzureTenantID - 输入Azure Active Directory 的Azure租户 ID

    f. AzureEntraObjectID - 输入Microsoft Entra应用的对象 ID

    g. MimecastBaseURL - 输入 Mimecast API 2.0 (的基 URL,例如 https://api.services.mimecast.com)

    h. MimecastClientID - 输入 Mimecast 客户端 ID 进行身份验证

    i. MimecastClientSecret - 输入 Mimecast 客户端密码进行身份验证

    j. MimecastAwarenessPerformanceDetailsTableName - 输入用于存储 Awareness Performance Details 数据的表的名称。 默认值为“Awareness_Performance_Details”

    k. MimecastAwarenessUserDataTableName - 输入用于存储 Awareness 用户数据数据的表的名称。 默认值为“Awareness_User_Data”

    我。 MimecastAwarenessWatchlistDetailsTableName - 输入用于存储 Awareness Watchlist Details 数据的表的名称。 默认值为“Awareness_Watchlist_Details”

    m. MimecastAwarenessSafeScoreDetailsTableName - 输入用于存储 Awareness SafeScore Details 数据的表的名称。 默认值为“Awareness_SafeScore_Details”

    n. StartDate - 以“yyyy-mm-dd”格式输入开始日期。 如果未提供日期,将自动提取过去 60 天的数据。 确保日期过去且格式正确

    o. 计划 - 请输入有效的“石英”cron-expression。 (示例:0 0 */1 * * **) 不要将值保留为空,最小值为 10 分钟

    P。 LogLevel - 请添加日志级别或日志严重性值。 默认情况下,它设置为 INFO

    问。 AppInsightsWorkspaceResourceId - 将经典 Application Insights 迁移到 Log Analytic 工作区,该工作区将于 2024 年 2 月 29 日停用。 使用具有“资源 ID”属性值的“Log Analytic 工作区-->属性”边栏选项卡。 这是格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”的完全限定 resourceId

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。



Mimecast Cloud 集成

支持者:Mimecast

Mimecast Cloud Integrated 的数据连接器使客户能够查看Microsoft Sentinel内与云集成检测技术相关的安全事件。 数据连接器提供预创建的仪表板,使分析师能够查看基于电子邮件的威胁的见解,帮助实现事件关联,并缩短调查响应时间以及自定义警报功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Cloud_Integrated_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure订阅:需要具有所有者角色的Azure订阅才能在 Microsoft Entra ID 中注册应用程序,并将参与者角色分配给资源组中的应用。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:请参阅文档,详细了解 REST API 上的 API 参考

设置说明:

资源组

需要创建一个资源组,其中包含要使用的订阅。

Functions 应用

需要注册Azure 应用才能使用此连接器

  1. 应用程序 ID
  2. 租户 ID
  3. 客户端 ID
  4. 客户端密码

注意:此连接器使用 Azure Functions 连接到 Mimecast API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

配置:

步骤 1 - Mimecast API 的配置步骤

转到Azure 门户 --->应用注册 ---> [your_app] --->证书 & 机密--->“新建客户端密码”,并创建新机密 (立即将值保存到安全位置,因为稍后将无法预览它)

步骤 2 - 部署 Mimecast API 连接器

重要: 在部署 Mimecast API 连接器之前,请将 Mimecast API 授权密钥 () 或令牌随时可用。

步骤 3 - Microsoft Entra ID中应用程序的应用注册步骤

此集成需要在 Azure 门户 中注册应用。 按照本部分中的步骤在 Microsoft Entra ID 中创建新应用程序:

  1. 登录 Azure 门户
  2. 搜索并选择“Microsoft Entra ID”。
  3. “管理”下,选择“应用注册>新注册”。
  4. 输入应用程序的显示 名称
  5. 选择“ 注册 ”以完成初始应用注册。
  6. 注册完成后,Azure 门户将显示应用注册的“概述”窗格。 会看到 应用程序 (客户端) ID 和租户 ID。 需要客户端 ID 和租户 ID 作为执行 TenableVM 数据连接器的配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app

步骤 4 - 在 Microsoft Entra ID 中添加应用程序的客户端密码

客户端密码有时称为应用程序密码,是执行 TenableVM 数据连接器所需的字符串值。 按照本部分中的步骤创建新的客户端密码:

  1. 在“Azure 门户”中,在“应用注册”中选择应用程序。
  2. 选择 “证书”& 机密 > “”客户端机密 > “”新建客户端密码”。
  3. 添加客户端密码的说明。
  4. 选择机密的过期时间或指定自定义生存期。 限制为 24 个月。
  5. 选择“添加”。
  6. 记录要在客户端应用程序代码中使用的机密值。 离开此页面后,永远不会再次显示此机密值。 执行 TenableVM 数据连接器时需要机密值作为配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步骤 5 - 在 Microsoft Entra ID 中获取应用程序的对象 ID

创建应用注册后,请按照此部分中的步骤获取对象 ID:

  1. 转到Microsoft Entra ID
  2. 从左侧菜单中选择“ 企业应用程序 ”。
  3. 在列表中查找新创建的应用程序, (可以按) 提供的名称进行搜索。
  4. 单击应用程序。
  5. 在“概述”页上,复制 “对象 ID”。这是 ARM 模板角色分配所需的 AzureEntraObjectId

Azure 资源管理器 (ARM) 模板

使用此方法自动部署 Mimecast Cloud 集成数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“区域”。

  3. 输入以下信息:

    a. 位置 - 应在其中部署数据收集规则和数据收集终结点的位置

    b. WorkspaceName - 输入 Log Analytics 工作区Microsoft Sentinel工作区名称

    c. AzureClientID - 输入在应用注册期间创建的Azure客户端 ID

    d. AzureClientSecret - 输入在创建客户端密码时创建的Azure客户端密码

    e. AzureTenantID - 输入Azure Active Directory 的Azure租户 ID

    f. AzureEntraObjectID - 输入Microsoft Entra应用的对象 ID

    g. MimecastBaseURL - 输入 Mimecast API 2.0 (的基 URL,例如 https://api.services.mimecast.com)

    h. MimecastClientID - 输入 Mimecast 客户端 ID 进行身份验证

    i. MimecastClientSecret - 输入 Mimecast 客户端密码进行身份验证

    j. MimecastCITableName - 输入用于存储云集成数据的表的名称。 默认值为“Cloud_Integrated”

    k. StartDate - 以“yyyy-mm-dd”格式输入开始日期。 如果未提供日期,将自动提取过去 60 天的数据。 确保日期过去且格式正确

    我。 计划 - 请输入有效的“石英”cron-expression。 (示例:0 0 */1 * * **) 不要将值保留为空,最小值为 10 分钟

    m. LogLevel - 请添加日志级别或日志严重性值。 默认情况下,它设置为 INFO

    n. AppInsightsWorkspaceResourceId - 将经典 Application Insights 迁移到 Log Analytic 工作区,该工作区将于 2024 年 2 月 29 日停用。 使用具有“资源 ID”属性值的“Log Analytic 工作区-->属性”边栏选项卡。 这是格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”的完全限定 resourceId

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。



mimecast Intelligence for Microsoft - 使用 Azure Functions) Microsoft Sentinel (

支持者:Mimecast

mimecast Intelligence for Microsoft 的数据连接器通过预创建的仪表板提供从 Mimecast 的电子邮件检查技术中精选的区域威胁情报,使分析师能够查看基于电子邮件的威胁的见解,帮助实现事件关联并缩短调查响应时间。
所需的 Mimecast 产品和功能:

  • Mimecast 安全Email网关
  • Mimecast 威胁情报

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ThreatIntelligenceIndicator

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Mimecast API 凭据:需要具有以下信息才能配置集成:
  • mimecastEmail:Email专用 Mimecast 管理员用户的地址
  • mimecastPassword:专用 Mimecast 管理员用户的密码
  • mimecastAppId:向 Mimecast 注册的 Mimecast Microsoft Sentinel应用的 API 应用程序 ID
  • mimecastAppKey:向 Mimecast 注册的 Mimecast Microsoft Sentinel 应用的 API 应用程序密钥
  • mimecastAccessKey:专用 Mimecast 管理员用户的访问密钥
  • mimecastSecretKey:专用 Mimecast 管理员用户的密钥
  • mimecastBaseURL:Mimecast 区域 API 基 URL

可通过 Mimecast 管理控制台获取专用 Mimecast 管理员用户的 Mimecast 应用程序 ID、应用程序密钥以及访问密钥和密钥: 管理 |服务 |API 和平台集成。

此处介绍了每个区域的 Mimecast API 基 URL: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • 资源组:需要使用要使用的订阅创建资源组。
  • Functions 应用:需要注册Azure 应用才能使用此连接器
  1. 应用程序 ID
  2. 租户 ID
  3. 客户端 ID
  4. 客户端密码

设置说明:

注意:此连接器使用 Azure Functions 连接到 Mimecast API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

配置:

步骤 1 - Mimecast API 的配置步骤

转到Azure 门户 --->应用注册 ---> [your_app] --->证书 & 机密--->“新建客户端密码”,并创建新机密 (立即将值保存到安全位置,因为稍后将无法预览它)

步骤 2 - 部署 Mimecast API 连接器

重要: 在部署 Mimecast API 连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的 Mimecast API 授权密钥 () 或令牌。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

为 Microsoft 启用 Mimecast Intelligence - Microsoft Sentinel 连接器:

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入以下字段:

  • appName:将在 Azure 平台中用作应用 ID 的唯一字符串
  • objectId:Azure 门户 ---> Azure Active Directory --->详细信息--->配置文件----->对象 ID
  • appInsightsLocation (默认) :westeurope
  • mimecastEmail:此 integraion 的专用用户的Email地址
  • mimecastPassword:专用用户的密码
  • mimecastAppId:Microsoft Sentinel注册到 Mimecast 的应用的应用程序 ID
  • mimecastAppKey:注册到 Mimecast 的 Microsoft Sentinel 应用中的应用程序密钥
  • mimecastAccessKey:专用 Mimecast 用户的访问密钥
  • mimecastSecretKey:专用 Mimecast 用户的密钥
  • mimecastBaseURL:区域 Mimecast API 基 URL
  • activeDirectoryAppId:Azure 门户 ---> 应用注册 ---> [your_app] --->应用程序 ID
  • activeDirectoryAppSecret:Azure 门户 ---> 应用注册 ---> [your_app] ---> 证书 & 机密---> [your_app_secret]
  • workspaceId:Azure 门户 ---> Log Analytics 工作区---> [工作区] --->代理--->工作区 ID (,也可以从上面复制 workspaceId)
  • workspaceKey:Azure 门户 ---> Log Analytics 工作区---> [工作区] --->代理--->主密钥 (,也可以从上面复制 workspaceKey)
  • AppInsightsWorkspaceResourceID:Azure 门户 ---> Log Analytics 工作区---> [工作区] --->属性--->资源 ID

注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档

  1. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  2. 单击“ 购买 ”进行部署。

  3. 转到Azure 门户 --->资源组---> [your_resource_group] ---> [appName] (类型:存储帐户) ---> 存储资源管理器 ---> BLOB 容器---> TIR 检查点--->上传并在名为 checkpoint.txt 的计算机上创建空文件,然后选择该文件进行上传 (执行此操作,以便将 TIR 日志date_range以一致状态存储)

其他配置:

连接到 威胁情报平台 数据连接器。 按照连接器页上的说明操作,然后单击“连接”按钮。



Mimecast 安全Email网关

支持者:Mimecast

Mimecast Secure Email 网关的数据连接器允许从安全Email网关轻松收集日志,以在Microsoft Sentinel内显示电子邮件见解和用户活动。 数据连接器提供预创建的仪表板,使分析师能够查看基于电子邮件的威胁的见解,帮助实现事件关联,并缩短调查响应时间以及自定义警报功能。 所需的 Mimecast 产品和功能:

  • Mimecast Cloud Gateway
  • Mimecast 数据泄漏防护

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Seg_Cg_CL
Seg_Dlp_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure订阅:需要具有所有者角色的Azure订阅才能在 Microsoft Entra ID 中注册应用程序,并将参与者角色分配给资源组中的应用。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:请参阅文档,详细了解 REST API 上的 API 参考

设置说明:

注意:此连接器使用 Azure Functions 连接到 Mimecast API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

配置:

步骤 1 - Mimecast API 的配置步骤

转到Azure 门户 --->应用注册 ---> [your_app] --->证书 & 机密--->“新建客户端密码”,并创建新机密 (立即将值保存到安全位置,因为稍后将无法预览它)

**步骤 2 - 部署 Mimecast API 连接器

重要: 在部署 Mimecast API 连接器之前,请将 Mimecast API 授权密钥 () 或令牌随时可用。

步骤 3 - Microsoft Entra ID中应用程序的应用注册步骤

此集成需要在 Azure 门户 中注册应用。 按照本部分中的步骤在 Microsoft Entra ID 中创建新应用程序:

  1. 登录 Azure 门户
  2. 搜索并选择“Microsoft Entra ID”。
  3. “管理”下,选择“应用注册>新注册”。
  4. 输入应用程序的显示 名称
  5. 选择“ 注册 ”以完成初始应用注册。
  6. 注册完成后,Azure 门户将显示应用注册的“概述”窗格。 会看到 应用程序 (客户端) ID 和租户 ID。 需要客户端 ID 和租户 ID 作为执行 TenableVM 数据连接器的配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app

步骤 4 - 在 Microsoft Entra ID 中添加应用程序的客户端密码

客户端密码有时称为应用程序密码,是执行 TenableVM 数据连接器所需的字符串值。 按照本部分中的步骤创建新的客户端密码:

  1. 在“Azure 门户”中,在“应用注册”中选择应用程序。
  2. 选择 “证书”& 机密 > “”客户端机密 > “”新建客户端密码”。
  3. 添加客户端密码的说明。
  4. 选择机密的过期时间或指定自定义生存期。 限制为 24 个月。
  5. 选择“添加”。
  6. 记录要在客户端应用程序代码中使用的机密值。 离开此页面后,永远不会再次显示此机密值。 执行 TenableVM 数据连接器时需要机密值作为配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步骤 5 - 在 Microsoft Entra ID 中获取应用程序的对象 ID

创建应用注册后,请按照此部分中的步骤获取对象 ID:

  1. 转到Microsoft Entra ID
  2. 从左侧菜单中选择“ 企业应用程序 ”。
  3. 在列表中查找新创建的应用程序, (可以按) 提供的名称进行搜索。
  4. 单击应用程序。
  5. 在“概述”页上,复制 “对象 ID”。这是 ARM 模板角色分配所需的 AzureEntraObjectId

部署 Mimecast Secure Email 网关数据连接器:

使用此方法自动部署 Mimecast Secure Email 网关数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选 订阅、资源组和区域

  3. 输入以下信息:

    a. 位置 - 应在其中部署数据收集规则和数据收集终结点的位置

    b. WorkspaceName - 输入 Log Analytics 工作区Microsoft Sentinel工作区名称

    c. AzureClientID - 输入在应用注册期间创建的Azure客户端 ID

    d. AzureClientSecret - 输入在创建客户端密码时创建的Azure客户端密码

    e. AzureTenantID - 输入Azure Active Directory 的Azure租户 ID

    f. AzureEntraObjectID - 输入Microsoft Entra应用的对象 ID

    g. MimecastBaseURL - 输入 Mimecast API 2.0 (的基 URL,例如 https://api.services.mimecast.com)

    h. MimecastClientID - 输入 Mimecast 客户端 ID 进行身份验证

    i. MimecastClientSecret - 输入 Mimecast 客户端密码进行身份验证

    j. MimecastCGTableName - 输入用于存储 CG 数据的表的名称。 默认值为“Seg_Cg”

    k. MimecastDLPTableName - 输入用于存储 DLP 数据的表的名称。 默认值为“Seg_Dlp”

    我。 StartDate - 以“yyyy-mm-dd”格式输入开始日期。 如果未提供日期,将自动提取过去 60 天的数据。 确保日期过去且格式正确

    m. 计划 - 请输入有效的“石英”cron-expression。 (示例:0 0 */1 * * **) 不要将值保留为空,最小值为 10 分钟

    n. LogLevel - 请添加日志级别或日志严重性值。 默认情况下,它设置为 INFO

    o. AppInsightsWorkspaceResourceId - 将经典 Application Insights 迁移到 Log Analytic 工作区,该工作区将于 2024 年 2 月 29 日停用。 使用具有“资源 ID”属性值的“Log Analytic 工作区-->属性”边栏选项卡。 这是格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”的完全限定 resourceId

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。



使用 Azure Functions) (Mimecast Secure Email Gateway (

支持者:Mimecast

Mimecast Secure Email 网关的数据连接器允许从安全Email网关轻松收集日志,以在Microsoft Sentinel内显示电子邮件见解和用户活动。 数据连接器提供预创建的仪表板,使分析师能够查看基于电子邮件的威胁的见解,帮助实现事件关联,并缩短调查响应时间以及自定义警报功能。 所需的 Mimecast 产品和功能:

  • Mimecast 安全Email网关
  • Mimecast 数据泄漏防护

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
MimecastSIEM_CL
MimecastDLP_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Mimecast API 凭据:需要具有以下信息才能配置集成:
  • mimecastEmail:Email专用 Mimecast 管理员用户的地址
  • mimecastPassword:专用 Mimecast 管理员用户的密码
  • mimecastAppId:向 Mimecast 注册的 Mimecast Microsoft Sentinel应用的 API 应用程序 ID
  • mimecastAppKey:向 Mimecast 注册的 Mimecast Microsoft Sentinel 应用的 API 应用程序密钥
  • mimecastAccessKey:专用 Mimecast 管理员用户的访问密钥
  • mimecastSecretKey:专用 Mimecast 管理员用户的密钥
  • mimecastBaseURL:Mimecast 区域 API 基 URL

可通过 Mimecast 管理控制台获取专用 Mimecast 管理员用户的 Mimecast 应用程序 ID、应用程序密钥以及访问密钥和密钥: 管理 |服务 |API 和平台集成。

此处介绍了每个区域的 Mimecast API 基 URL: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • 资源组:需要使用要使用的订阅创建资源组。
  • Functions 应用:需要注册Azure 应用才能使用此连接器
  1. 应用程序 ID
  2. 租户 ID
  3. 客户端 ID
  4. 客户端密码

设置说明:

注意:此连接器使用 Azure Functions 连接到 Mimecast API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

配置:

步骤 1 - Mimecast API 的配置步骤

转到Azure 门户 --->应用注册 ---> [your_app] --->证书 & 机密--->“新建客户端密码”,并创建新机密 (立即将值保存到安全位置,因为稍后将无法预览它)

步骤 2 - 部署 Mimecast API 连接器

重要: 在部署 Mimecast API 连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的 Mimecast API 授权密钥 () 或令牌。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

部署 Mimecast Secure Email 网关数据连接器:

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入以下字段:

  • appName:将在 Azure 平台中用作应用 ID 的唯一字符串
  • objectId:Azure 门户 ---> Azure Active Directory --->详细信息--->配置文件----->对象 ID
  • appInsightsLocation (默认) :westeurope
  • mimecastEmail:此 integraion 的专用用户的Email地址
  • mimecastPassword:专用用户的密码
  • mimecastAppId:Microsoft Sentinel注册到 Mimecast 的应用的应用程序 ID
  • mimecastAppKey:注册到 Mimecast 的 Microsoft Sentinel 应用中的应用程序密钥
  • mimecastAccessKey:专用 Mimecast 用户的访问密钥
  • mimecastSecretKey:专用 Mimecast 用户的密钥
  • mimecastBaseURL:区域 Mimecast API 基 URL
  • activeDirectoryAppId:Azure 门户 ---> 应用注册 ---> [your_app] --->应用程序 ID
  • activeDirectoryAppSecret:Azure 门户 ---> 应用注册 ---> [your_app] ---> 证书 & 机密---> [your_app_secret]
  • workspaceId:Azure 门户 ---> Log Analytics 工作区---> [工作区] --->代理--->工作区 ID (,也可以从上面复制 workspaceId)
  • workspaceKey:Azure 门户 ---> Log Analytics 工作区---> [工作区] --->代理--->主密钥 (,也可以从上面复制 workspaceKey)
  • AppInsightsWorkspaceResourceID:Azure 门户 ---> Log Analytics 工作区---> [工作区] --->属性--->资源 ID

注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档

  1. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  2. 单击“ 购买 ”进行部署。

  3. 转到Azure 门户 --->资源组---> [your_resource_group] ---> [appName] (类型:存储帐户) ---> 存储资源管理器 ---> BLOB 容器---> SIEM 检查点--->上传并在名为 checkpoint.txt 的计算机上创建空文件,dlp-checkpoint.txt 选择上传 (执行此操作,以便 SIEM 日志date_range以一致状态存储)



Mimecast 目标威胁防护

支持者:Mimecast

Mimecast 定向威胁防护的数据连接器使客户能够查看Microsoft Sentinel内与目标威胁防护检查技术相关的安全事件。 数据连接器提供预创建的仪表板,使分析师能够查看基于电子邮件的威胁的见解,帮助实现事件关联,并缩短调查响应时间以及自定义警报功能。
连接器中包含的 Mimecast 产品包括:

  • URL 保护
  • 模拟保护
  • 附件保护

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Ttp_Url_CL
Ttp_Attachment_CL
Ttp_Impersonation_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure订阅:需要具有所有者角色的Azure订阅才能在 Microsoft Entra ID 中注册应用程序,并将参与者角色分配给资源组中的应用。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:请参阅文档,详细了解 REST API 上的 API 参考

设置说明:

资源组

需要创建一个资源组,其中包含要使用的订阅。

Functions 应用

需要注册Azure 应用才能使用此连接器

  1. 应用程序 ID
  2. 租户 ID
  3. 客户端 ID
  4. 客户端密码

注意:此连接器使用 Azure Functions 连接到 Mimecast API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - Microsoft Entra ID 中应用程序的应用注册步骤

此集成需要在 Azure 门户 中注册应用。 按照本部分中的步骤在 Microsoft Entra ID 中创建新应用程序:

  1. 登录 Azure 门户
  2. 搜索并选择“Microsoft Entra ID”。
  3. “管理”下,选择“应用注册>新注册”。
  4. 输入应用程序的显示 名称
  5. 选择“ 注册 ”以完成初始应用注册。
  6. 注册完成后,Azure 门户将显示应用注册的“概述”窗格。 会看到 应用程序 (客户端) ID 和租户 ID。 客户端 ID 和租户 ID 是执行 Mimecast 数据连接器所需的配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app

步骤 2 - 在 Microsoft Entra ID 中添加应用程序的客户端密码

客户端密码有时称为应用程序密码,是执行 Mimecast 数据连接器所需的字符串值。 按照本部分中的步骤创建新的客户端密码:

  1. 在“Azure 门户”中,在“应用注册”中选择应用程序。
  2. 选择 “证书”& 机密 > “”客户端机密 > “”新建客户端密码”。
  3. 添加客户端密码的说明。
  4. 选择机密的过期时间或指定自定义生存期。 限制为 24 个月。
  5. 选择“添加”。
  6. 记录要在客户端应用程序代码中使用的机密值。 离开此页面后,永远不会再次显示此机密值。 机密值作为执行 Mimecast 数据连接器的配置参数是必需的。

参考链接:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步骤 3 - 在 Microsoft Entra ID 中获取应用程序的对象 ID

创建应用注册后,请按照此部分中的步骤获取对象 ID:

  1. 转到Microsoft Entra ID
  2. 从左侧菜单中选择“ 企业应用程序 ”。
  3. 在列表中查找新创建的应用程序, (可以按) 提供的名称进行搜索。
  4. 单击应用程序。
  5. 在“概述”页上,复制 “对象 ID”。这是 ARM 模板角色分配所需的 AzureEntraObjectId

步骤 4 - 部署 Mimecast API 连接器

重要: 在部署 Mimecast API 连接器之前,请将 Mimecast API 授权密钥 () 或令牌随时可用。

Azure 资源管理器 (ARM) 模板

使用此方法自动部署 Mimecast 目标威胁防护数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“区域”。

  3. 输入以下信息:

    a. 位置 - 应在其中部署数据收集规则和数据收集终结点的位置

    b. WorkspaceName - 输入 Log Analytics 工作区Microsoft Sentinel工作区名称

    c. AzureClientID - 输入在应用注册期间创建的Azure客户端 ID

    d. AzureClientSecret - 输入在创建客户端密码时创建的Azure客户端密码

    e. AzureTenantID - 输入Azure Active Directory 的Azure租户 ID

    f. AzureEntraObjectID - 输入Microsoft Entra应用的对象 ID

    g. MimecastBaseURL - 输入 Mimecast API 2.0 (的基 URL,例如 https://api.services.mimecast.com)

    h. MimecastClientID - 输入 Mimecast 客户端 ID 进行身份验证

    i. MimecastClientSecret - 输入 Mimecast 客户端密码进行身份验证

    j. StartDate - 以“yyyy-mm-dd”格式输入开始日期。 如果未提供日期,将自动提取过去 60 天的数据。 确保日期过去且格式正确

    k. MimecastTTPAttachmentTableName - 输入用于存储 TTP 附件数据的表的名称。 默认值为“Ttp_Attachment”

    我。 MimecastTTPImpersonationTableName - 输入用于存储 TTP 模拟数据的表的名称。 默认值为“Ttp_Impersonation”

    m. MimecastTTPUrlTableName - 输入用于存储 TTP 附件数据的表的名称。 默认值为“Ttp_Url”

    n. 计划 - 请输入有效的“石英”cron-expression。 (示例:0 0 */1 * * **) 不要将值保留为空,最小值为 10 分钟

    我。 LogLevel - 请添加日志级别或日志严重性值。 默认情况下,它设置为 INFO

    o. AppInsightsWorkspaceResourceId - 将经典 Application Insights 迁移到 Log Analytic 工作区,该工作区将于 2024 年 2 月 29 日停用。 使用具有“资源 ID”属性值的“Log Analytic 工作区-->属性”边栏选项卡。 这是格式为“/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}”的完全限定 resourceId

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。



使用 Azure Functions) 的 Mimecast 目标威胁防护 (

支持者:Mimecast

Mimecast 定向威胁防护的数据连接器使客户能够查看Microsoft Sentinel内与目标威胁防护检查技术相关的安全事件。 数据连接器提供预创建的仪表板,使分析师能够查看基于电子邮件的威胁的见解,帮助实现事件关联,并缩短调查响应时间以及自定义警报功能。
连接器中包含的 Mimecast 产品包括:

  • URL 保护
  • 模拟保护
  • 附件保护

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
MimecastTTPUrl_CL
MimecastTTPAttachment_CL
MimecastTTPImpersonation_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:需要具有以下信息才能配置集成:
  • mimecastEmail:Email专用 Mimecast 管理员用户的地址
  • mimecastPassword:专用 Mimecast 管理员用户的密码
  • mimecastAppId:向 Mimecast 注册的 Mimecast Microsoft Sentinel应用的 API 应用程序 ID
  • mimecastAppKey:向 Mimecast 注册的 Mimecast Microsoft Sentinel 应用的 API 应用程序密钥
  • mimecastAccessKey:专用 Mimecast 管理员用户的访问密钥
  • mimecastSecretKey:专用 Mimecast 管理员用户的密钥
  • mimecastBaseURL:Mimecast 区域 API 基 URL

可通过 Mimecast 管理控制台获取专用 Mimecast 管理员用户的 Mimecast 应用程序 ID、应用程序密钥以及访问密钥和密钥: 管理 |服务 |API 和平台集成。

此处介绍了每个区域的 Mimecast API 基 URL: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

设置说明:

资源组

需要创建一个资源组,其中包含要使用的订阅。

Functions 应用

需要注册Azure 应用才能使用此连接器

  1. 应用程序 ID
  2. 租户 ID
  3. 客户端 ID
  4. 客户端密码

注意:此连接器使用 Azure Functions 连接到 Mimecast API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

配置:

步骤 1 - Mimecast API 的配置步骤

转到Azure 门户 --->应用注册 ---> [your_app] --->证书 & 机密--->“新建客户端密码”,并创建新机密 (立即将值保存到安全位置,因为稍后将无法预览它)

步骤 2 - 部署 Mimecast API 连接器

重要: 在部署 Mimecast API 连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的 Mimecast API 授权密钥 () 或令牌。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

部署 Mimecast 目标威胁防护数据连接器:

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入以下字段:

  • appName:将在 Azure 平台中用作应用 ID 的唯一字符串
  • objectId:Azure 门户 ---> Azure Active Directory --->详细信息--->配置文件----->对象 ID
  • appInsightsLocation (默认) :westeurope
  • mimecastEmail:此 integraion 的专用用户的Email地址
  • mimecastPassword:专用用户的密码
  • mimecastAppId:Microsoft Sentinel注册到 Mimecast 的应用的应用程序 ID
  • mimecastAppKey:注册到 Mimecast 的 Microsoft Sentinel 应用中的应用程序密钥
  • mimecastAccessKey:专用 Mimecast 用户的访问密钥
  • mimecastSecretKey:专用 Mimecast 用户的密钥
  • mimecastBaseURL:区域 Mimecast API 基 URL
  • activeDirectoryAppId:Azure 门户 ---> 应用注册 ---> [your_app] --->应用程序 ID
  • activeDirectoryAppSecret:Azure 门户 ---> 应用注册 ---> [your_app] ---> 证书 & 机密---> [your_app_secret]
  • workspaceId:Azure 门户 ---> Log Analytics 工作区---> [工作区] --->代理--->工作区 ID (,也可以从上面复制 workspaceId)
  • workspaceKey:Azure 门户 ---> Log Analytics 工作区---> [工作区] --->代理--->主密钥 (,也可以从上面复制 workspaceKey)
  • AppInsightsWorkspaceResourceID:Azure 门户 ---> Log Analytics 工作区---> [工作区] --->属性--->资源 ID

注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档

  1. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  2. 单击“ 购买 ”进行部署。

  3. 转到Azure 门户 --->资源组---> [your_resource_group] ---> [appName] (类型:存储帐户) ---> 存储资源管理器 ---> BLOB 容器---> TTP 检查点--->上传并在名为 attachment-checkpoint.txt 的计算机上创建空文件, impersonation-checkpoint.txt,url-checkpoint.txt 并选择它们进行上传, (执行此操作,以便 TTP 日志date_range以一致状态存储)



MISP2Sentinel

支持者:Community

此解决方案安装 MISP2Sentinel 连接器,使你可以通过上传指示器 REST API 自动将威胁指标从 MISP 推送到Microsoft Sentinel。 安装解决方案后,按照管理解决方案视图中的指南配置并启用此数据连接器。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ThreatIntelligenceIndicator

数据收集规则支持:工作区转换 DCR

设置说明:

安装和设置说明

使用此 GitHub 存储库中的文档安装和配置 MISP 以Microsoft Sentinel连接器:

https://github.com/cudeso/misp2sentinel



MongoDB Atlas 日志

受支持:MongoDB

MongoDBAtlas Logs 连接器允许通过 MongoDB Atlas 管理 API 将 MongoDB Atlas 数据库日志上传到 Microsoft Sentinel。 有关详细信息,请参阅 API 文档 。 连接器提供获取指定主机和指定项目的一系列数据库日志消息的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
MDBALogTable_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:需要 MongoDB Atlas 服务帐户 客户端 ID客户端密码 。 有关详细信息,请参阅 创建服务帐户

设置说明:

注意:此连接器使用 Azure Functions 连接到“MongoDB Atlas”,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

在部署连接器之前,请确保工作区已添加到 Microsoft Sentinel。

步骤 1 - “MongoDB Atlas 管理 API” 的配置步骤

  1. 按照这些说明 创建 MongoDB Atlas 服务帐户。
  2. 复制 创建的客户端 ID 和客户端密码,以及组 ID (Project) 和每个群集 ID (主机名) 后续步骤所需的。
  3. 有关更多详细信息,请参阅 MongoDB Atlas API 文档
  4. 客户端密码可以通过Azure密钥保管库传递到连接器中,也可以直接传递到连接器中。
  5. 如果要使用密钥保管库选项,请使用保管库访问策略创建密钥保管库,其中包含名为 mongodb-client-secret 的机密 ,并将客户端密码保存为机密值。

步骤 2 - 部署“MongoDB Atlas 日志”连接器和关联的 Azure 函数

  1. 单击下面的“部署到Azure”按钮。

    portal.azure.com

步骤 3 - 设置连接器参数

  1. 选择首选 订阅和现有资源组
  2. 输入属于资源组的现有 Log Analytics 工作区资源 ID
  3. 单击下一个
  4. 输入 MongoDB 组 ID、最多 10 个 MongoDB 群集 ID 的列表(每个 ID 位于单独的行上)和 MongoDB 客户端 ID
  5. 对于“身份验证方法”,选择“客户端密码”,并在客户端机密值中复制,或者密钥保管库并复制密钥保管库的名称。 单击下一个
  6. 查看 MongoDB 筛选器。 从至少一个类别中选择日志。 单击下一个
  7. 查看计划。 单击下一个
  8. 查看设置,然后单击“ 创建”。



使用 Azure Functions) 的 MuleSoft Cloudhub (

支持者:Microsoft Corporation

MuleSoft Cloudhub 数据连接器提供了使用 Cloudhub API 从 Cloudhub 应用程序检索日志的功能,并通过 REST API 将更多事件检索到Microsoft Sentinel。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
MuleSoft_Cloudhub_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:进行 API 调用需要 MuleSoftEnvIdMuleSoftAppNameMuleSoftUsernameMuleSoftPassword

设置说明:

注意:此连接器使用 Azure Functions 连接到 Azure Blob 存储 API,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本,以及将数据存储在Azure Blob 存储成本中。 有关详细信息,请查看Azure Functions定价页Azure Blob 存储定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意:此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,MuleSoftCloudhub 是随 Microsoft Sentinel 解决方案一起部署的。

注意:此数据连接器仅使用平台 API 提取 CloudHub 应用程序的日志,而不提取 CloudHub 2.0 应用程序的日志

步骤 1 - MuleSoft Cloudhub API 的配置步骤

按照说明获取凭据。

  1. 使用文档获取 MuleSoftEnvId、MuleSoftAppName、MuleSoftUsername 和 MuleSoftPassword
  2. 保存凭据,以便在数据连接器中使用。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 MuleSoft Cloudhub 数据连接器之前,请从以下) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署 MuleSoft Cloudhub 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3.输入 MuleSoftEnvId、MuleSoftAppName、MuleSoftUsername 和 MuleSoftPassword 并部署。 4.将标记为 “我同意上述条款和条件”的复选框。 5.单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 MuleSoft Cloudhub 数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 MuleSoftXXXXX) 。

    e. 选择运行时: 选择“Python 3.11”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :MuleSoftEnvId MuleSoftAppName MuleSoftUsername MuleSoftPassword WorkspaceID WorkspaceIDKey logAnalyticsUri (可选)

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



NC 保护

受:archTIS 支持

NC 保护数据连接器 (archtis.com) 提供将用户活动日志和事件引入Microsoft Sentinel的功能。 连接器提供对 NC 保护用户活动日志和Microsoft Sentinel事件可见性,以改进监视和调查功能

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
NCProtectUAL_CL

数据收集规则支持: 当前不支持

先决条件:

  • NC 保护:必须有一个正在运行的 NC Protect for O365 实例。 请 与我们联系

设置说明:

  1. 将 NC 保护安装到Azure租户中
  2. 登录到 NC 保护管理站点
  3. 在左侧导航菜单中,选择“常规 -> 用户活动监视”
  4. 勾选“启用 SIEM”复选框,然后单击“配置”按钮
  5. 选择“Microsoft Sentinel”作为“应用程序”,并使用以下信息完成配置
  6. 单击“保存”以激活连接
  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



Netskope 警报和事件

支持者:Netskope

Netskope 安全警报和事件

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
NetskopeAlerts_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Netskope 组织 URL:Netskope 数据连接器要求你提供组织 URL。 可以通过登录到 Netskope 门户来查找组织 URL。
  • Netskope API 密钥:Netskope 数据连接器要求提供有效的 API 密钥。 可以按照 Netskope 文档创建一个。

设置说明:

步骤 1 - 创建 Netskope API 密钥。

有关此步骤的指导,请按照 Netskope 文档 进行操作。

步骤 2 - 输入 Netskope 产品详细信息

在下方输入 Netskope 组织 URL & API 令牌:

  • 组织 URL: (输入组织 url)
  • API 密钥: (输入 API 密钥) OPTIONAL:指定 API 使用的索引。

配置索引是可选的,只有在高级方案中才需要。 Netskope 使用 索引 来检索事件。 在某些高级情况下, (在多个Microsoft Sentinel工作区中使用 事件,或者预先对索引进行模糊以仅检索) 最近的数据,客户可能希望直接控制索引。

  • 索引: (NetskopeCCF)

步骤 3 - 单击“连接”

验证上述所有字段是否已正确填充。 按“连接”将 Netskope 连接到Microsoft Sentinel。

  • 启用/禁用连接



Netskope 数据连接器

支持者:Netskope

Netskope 数据连接器提供以下功能:

  1. NetskopeToAzureStorage :
  • 从 Netskope 获取 Netskope 警报和事件数据,并将其引入到Azure存储。 2. StorageToSentinel :
  • 从 Azure 存储中获取 Netskope 警报和事件数据,并将其引入到 log analytics 工作区中的自定义日志表。 3. WebTxMetrics :
  • 从 Netskope 获取 WebTxMetrics 数据,并引入到 log Analytics 工作区中的自定义日志表。

有关 REST API 的更多详细信息,请参阅以下文档:

  1. Netskope API 文档:

https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/2. Azure存储文档:/azure/storage/common/storage-introduction 3。Microsoft log Analytic 文档:/azure/azure-monitor/logs/log-analytics-overview

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
alertscompromisedcredentialdata_CL
alertsctepdata_CL
alertsdlpdata_CL
alertsmalsitedata_CL
alertsmalwaredata_CL
alertspolicydata_CL
alertsquarantinedata_CL
alertsremediationdata_CL
alertssecurityassessmentdata_CL
alertsubadata_CL
eventsapplicationdata_CL
eventsauditdata_CL
eventsconnectiondata_CL
eventsincidentdata_CL
eventsnetworkdata_CL
eventspagedata_CL
Netskope_WebTx_metrics_CL

数据收集规则支持: 当前不支持

先决条件:

  • Azure订阅:需要具有所有者角色的Azure订阅才能在 azure Active Directory () 中注册应用程序,并将参与者的角色分配给资源组中的应用。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:需要 Netskope 租户Netskope API 令牌 。 请参阅文档,详细了解 REST API 参考中的 API

设置说明:

注意:此连接器使用 Azure Functions 连接到 Netskope API,将其警报和事件数据拉取到自定义日志表中。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - Microsoft Entra ID 中应用程序的应用注册步骤

此集成需要在 Azure 门户 中注册应用。 按照本部分中的步骤在 Microsoft Entra ID 中创建新应用程序:

  1. 登录 Azure 门户
  2. 搜索并选择“Microsoft Entra ID”。
  3. “管理”下,选择“应用注册>新注册”。
  4. 输入应用程序的显示 名称
  5. 选择“ 注册 ”以完成初始应用注册。
  6. 注册完成后,Azure 门户将显示应用注册的“概述”窗格。 会看到 应用程序 (客户端) ID 和租户 ID。 执行 TriggersSync playbook 时,需要将客户端 ID 和租户 ID 作为配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app

步骤 2 - 在 Microsoft Entra ID 中添加应用程序的客户端密码

客户端密码有时称为应用程序密码,是执行 TriggersSync playbook 所需的字符串值。 按照本部分中的步骤创建新的客户端密码:

  1. 在“Azure 门户”中,在“应用注册”中选择应用程序。
  2. 选择 “证书”& 机密 > “”客户端机密 > “”新建客户端密码”。
  3. 添加客户端密码的说明。
  4. 选择机密的过期时间或指定自定义生存期。 限制为 24 个月。
  5. 选择“添加”。
  6. 记录要在客户端应用程序代码中使用的机密值。 离开此页面后,永远不会再次显示此机密值。 机密值作为执行 TriggersSync playbook 的配置参数是必需的。

参考链接:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步骤 3 - 在 Microsoft Entra ID 中向应用程序分配参与者角色

按照本部分中的步骤分配角色:

  1. 在Azure 门户转到“资源组”,然后选择资源组。
  2. 从左侧面板转到 访问控制 (IAM)
  3. 单击“ 添加”,然后选择“添加角色分配”。
  4. 选择 “参与者” 作为角色,然后单击“下一步”。
  5. “分配访问权限”中,选择 。User, group, or service principal
  6. 单击“ 添加成员”,然后键入已创建的应用名称 并选择它。
  7. 现在,单击“ 审阅 + 分配”,然后再次单击“审阅 + 分配”。

参考链接:/azure/role-based-access-control/role-assignments-portal

步骤 4 - 创建/获取 Netskope 帐户凭据的步骤

按照本部分中的步骤创建/获取 Netskope 主机名和 Netskope API 令牌

  1. 登录到 Netskope 租户并转到左侧导航栏上的“设置”菜单
  2. 单击“工具”,然后单击“REST API v2
  3. 现在,单击“新建令牌”按钮。 然后,它将要求提供令牌名称、过期持续时间以及要从中获取数据的终结点。
  4. 完成此操作后,单击“保存”按钮,将生成令牌。 复制令牌并保存在安全位置以供进一步使用。

步骤 5 - 为 Netskope 警报和事件数据收集创建 Azure 函数的步骤

重要: 在部署 Netskope 数据连接器之前,请准备好工作区 ID 和工作区主密钥 (可从以下随时可用的) 复制,以及 Netskope API 授权密钥 () 。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

使用 ARM 模板部署用于引入 Netskope 事件的函数应用,并将警报数据部署到Sentinel。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入以下信息:Netskope HostName Netskope API 令牌在要提取警报和事件日志级别工作区 ID 工作区密钥的终结点的“警报和事件类型”下拉列表中选择“是”

  4. 单击“ 查看+创建”。

  5. 验证后,单击“ 创建 ”进行部署。



Netskope Web 事务连接器通过 Blob 存储) (

支持者:Netskope

Netskope Web 事务连接器使用无代码连接器框架 (CCF) ,通过 Azure Blob 存储 将 Netskope 日志流式处理中的 Web 事务日志引入到 Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
NetskopeWebTransactions_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • 订阅权限:需要拥有创建数据流资源的权限:
  • 存储队列 (通知队列和死信队列)
  • 事件网格主题和订阅 (将“blob 创建事件”通知发送到通知队列)
  • 角色分配 (授予Microsoft Sentinel应用对 blob 容器和存储队列的访问权限。)
  • 存储帐户网络配置:由于Azure存储防火墙限制和限制,此连接器不支持Azure Blob 存储帐户) 的网络限制 (防火墙/IP 规则
  • IP 网络规则对源自存储帐户同一Azure区域的请求没有影响
  • IP 网络规则无法限制对同一区域中部署Azure服务的访问,因为这些服务使用专用Azure IP 地址进行通信。
  • 虚拟网络服务终结点规则不适用于配对区域中的客户端。

确保存储帐户的“ 网络” 边栏选项卡设置为 “从所有网络启用”。

  • 存储帐户角色分配:以下Azure RBAC 角色必须分配给Microsoft Sentinel企业应用程序服务主体, (显示在包含 blob 容器的存储帐户) 下方:
  • 存储 Blob 数据参与者 - 从容器读取 Blob 数据所必需的。
  • 存储队列数据参与者 - 管理通知和死信队列消息所必需的。

若要分配这些角色:导航到存储帐户→访问控制 (IAM) 添加角色分配,搜索如下所示的服务主体 ID,然后分配这两个角色。

  • 将数据从 Netskope 收集到 Blob 容器:按照 Netskope 日志流式处理文档中的步骤将 Netskope 配置为将 Web 事务日志流式传输到 Azure Blob 存储 容器。

设置说明:

将 Netskope WebTx 日志连接到Microsoft Sentinel

若要为Microsoft Sentinel启用 Netskope WebTx 日志,请提供以下所需信息,然后单击“连接”。

  • 要从中收集数据的 Blob 容器 URL
  • 容器中的 blobs 文件夹名称。 可选。:
  • Blob 容器的存储帐户位置
  • Blob 容器的存储帐户资源组名称
  • Blob 容器的存储帐户订阅 ID
  • Blob 容器的存储帐户的事件网格主题名称(如果存在)。 else 保留为空。:
  • 启用/禁用连接



Netskope Web 事务数据连接器

支持者:Netskope

Netskope Web 事务数据连接器提供 docker 映像的功能,用于从 google pubsublite 拉取 Netskope Web 事务数据、处理数据并将已处理的数据引入 Log Analytics。 作为此数据连接器的一部分,Log Analytics 中将形成两个表,一个用于 Web 事务数据,另一个用于执行期间遇到的错误。

有关 Web 事务的更多详细信息,请参阅以下文档:

  1. Netskope Web 事务文档:

https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
NetskopeWebtxData_CL
NetskopeWebtxErrors_CL

数据收集规则支持: 当前不支持

先决条件:

  • Azure订阅:需要具有所有者角色的Azure订阅才能在 Microsoft Entra ID 中注册应用程序,并将参与者角色分配给资源组中的应用。
  • Microsoft.计算权限:需要Azure VM 的读取和写入权限。 有关详细信息,请参阅 Azure VM
  • TransactionEvents 凭据和权限需要 Netskope 租户Netskope API 令牌 。 有关详细信息,请参阅 事务事件。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions

设置说明:

注意:此连接器提供使用 docker 映像引入 Netskope Web 事务数据的功能,该映像部署在虚拟机上 (Azure VM/本地 VM) 。 有关详细信息,请查看Azure VM 定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - 创建/获取 Netskope 帐户的凭据的步骤

按照本部分中的步骤创建/获取 Netskope 主机名和 Netskope API 令牌

  1. 登录到 Netskope 租户并转到左侧导航栏上的“设置”菜单
  2. 单击“工具”,然后单击“REST API v2
  3. 现在,单击“新建令牌”按钮。 然后,它将要求提供令牌名称、过期持续时间以及要从中获取数据的终结点。
  4. 完成此操作后,单击“保存”按钮,将生成令牌。 复制令牌并保存在安全位置以供进一步使用。

步骤 2 - 从以下两个部署选项中选择一个,以部署基于 Docker 的数据连接器以引入 Netskope Web 事务数据

重要: 在部署 Netskope 数据连接器之前,请准备好工作区 ID 和工作区主密钥 (可从以下随时可用的) 复制,以及 Netskope API 授权密钥 () [确保令牌具有事务事件的权限]。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - 使用 Azure 资源管理器 (ARM) 模板部署 VM [推荐]

使用 ARM 模板部署Azure VM,安装先决条件并开始执行。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入以下信息:Docker 映像名称 (mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions) Netskope HostName Netskope API 令牌查找时间戳 (要查找 pubsublite 指针的 epoch 时间戳, 可以留空) 工作区 ID 工作区密钥退避重试计数 (重启执行之前令牌相关错误的重试计数。)
    回退睡眠时间 (重试) 空闲超时前的睡眠秒数 (重启执行之前等待 Web 事务数据的秒数) VM 名称身份验证类型管理员密码或密钥 DNS 标签前缀 Ubuntu OS 版本位置 VM 大小子网名称 网络安全组名称 安全类型

  4. 单击“ 查看+创建”。

  5. 验证后,单击“ 创建 ”进行部署。

选项 2 - 在以前创建的虚拟机上手动部署

使用以下分步说明在以前创建的虚拟机上手动部署基于 Docker 的数据连接器。

  1. 安装 docker 并拉取 docker 映像

注意: 确保 VM 基于 linux (最好是 Ubuntu) 。

  1. 首先,需要 通过 SSH 连接到虚拟机

  2. 现在安装 docker 引擎

  3. 现在,使用命令“sudo docker pull mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions”从 docker 中心拉取 docker 映像。

  4. 现在,若要运行 docker 映像,请使用命令:“sudo docker run -it -v $ (pwd) /docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions”。 可以将 mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions 替换为映像 ID。此处docker_persistent_volume是将在存储文件的 vm 上创建的文件夹的名称。

  5. 配置参数

  6. Docker 映像运行后,它将要求提供所需的参数。

  7. 单独添加以下每个应用程序设置,其各自的值 (区分大小写) :Netskope HostName Netskope API 令牌查找时间戳 (要查找 pubsublite 指针的纪元时间戳可以留空) 工作区 ID 工作区密钥退避重试计数 (重启执行前与令牌相关的错误的重试计数。)
    回退睡眠时间 (重试) 空闲超时前的睡眠秒数 (重启执行之前等待 Web 事务数据的秒数)

  8. 现在,执行已开始,但处于交互模式,因此无法停止 shell。 若要将其作为后台进程运行,请按 Ctrl+C,然后使用命令停止当前执行:“sudo docker run -d -v $ (pwd) /docker_persistent_volume:/app mgulledge/netskope-microsoft-sentinel-plugin:netskopewebtransactions”。

  9. 停止 docker 容器

  10. 使用命令“sudo docker container ps”列出正在运行的 docker 容器。 记下容器 ID。

  11. 现在,使用命令“sudo docker stop container-id>”停止<容器



网络安全组

支持者:Microsoft Corporation

Azure网络安全组 (NSG) 允许筛选传入和传出Azure虚拟网络中Azure资源的网络流量。 网络安全组包括允许或拒绝发到虚拟网络子网和/或网络接口的流量的规则。

为 NSG 启用日志记录时,可以收集以下类型的资源日志信息:

  • 事件: 根据 MAC 地址记录 NSG 规则应用于 VM 的条目。
  • 规则计数器: 包含每个 NSG 规则应用拒绝或允许流量的次数的条目。 这些规则的状态每 300 秒收集一次。

此连接器允许将 NSG 诊断日志流式传输到Microsoft Sentinel,从而持续监视所有实例中的活动。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
AzureDiagnostics

数据收集规则支持: 当前不支持

NordPass

支持者:NordPass

通过 API 将 NordPass 与 Microsoft Sentinel SIEM 集成,可让你自动将活动日志数据从 NordPass 传输到Microsoft Sentinel并获取实时见解,例如项目活动、所有登录尝试和安全通知。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
NordPassEventLogs_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • 确保资源组Log Analytics 工作区已创建并位于同一区域中,以便部署Azure Functions。
  • 将Microsoft Sentinel添加到创建的 Log Analytics 工作区。
  • 在NordPass 管理员面板中生成Microsoft Sentinel API URL 和令牌,以完成Azure Functions集成。 请注意,需要NordPass Enterprise 帐户才能实现此要求。
  • 重要:此连接器使用 Azure Functions 将活动日志从 NordPass 检索到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅Azure Functions定价页。

设置说明:

继续Microsoft Sentinel设置

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 请注意,部署成功后,系统默认每 1 分钟拉取一次活动日志数据。



Obsidian 数据共享连接器

支持者:Obsidian Security

Obsidian Datasharing 连接器提供从 Microsoft Sentinel 中的 Obsidian Datasharing 读取原始事件数据的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ObsidianActivity_CL
ObsidianThreat_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。 通常需要Entra ID 应用程序开发人员角色或更高版本。
  • Microsoft Azure:对数据收集规则 (DCR) 分配监视指标发布者角色的权限。 通常需要Azure RBAC 所有者或用户访问管理员角色

设置说明:

1. 创建 ARM 资源并提供所需权限

此连接器从 Obsidian Datasharing 在Microsoft分析工作区中所使用的表读取数据,如果在 Obsidian Datasharing 中启用了数据转发选项,则原始事件数据将发送到 Microsoft Sentinel 引入 API。

自动配置和安全数据引入,Entra应用程序单击“部署”将触发创建 Log Analytics 表和数据收集规则 (DCR) 。 然后,它将创建一个Entra应用程序,将 DCR 链接到该应用程序,并在应用程序中设置输入的机密。 此设置允许使用Entra令牌将数据安全地发送到 DCR。

2. 将日志推送到工作区

使用以下参数将计算机配置为将日志发送到工作区。

  • 租户 ID (目录 ID) : <在安装时提供的变量值>
  • Entra应用注册应用程序 ID:<在安装时提供的变量值>
  • Entra应用注册机密:<在安装时提供的变量值>
  • 数据收集终结点 URI: <在安装时提供的变量值>
  • 数据收集规则不可变 ID: <在安装时提供的变量值>
  • 活动Stream名称:<在安装时提供的变量值>
  • 威胁Stream名称:<在安装时提供的变量值>



通过无代码连接器框架) 的 Okta 单 Sign-On (

支持者:Microsoft Corporation

Okta 单 Sign-On (SSO) 数据连接器提供将审核和事件日志从 Okta Sysem 日志 API 引入Microsoft Sentinel的功能。 数据连接器基于Microsoft Sentinel无代码连接器框架构建,并使用 Okta 系统日志 API 提取事件。 连接器支持基于 DCR 的 引入时间转换 ,该转换将收到的安全事件数据分析为自定义列,以便查询无需再次对其进行分析,从而获得更好的性能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
OktaSSO

数据收集规则支持: 当前不支持

先决条件:

  • Okta API 令牌:Okta API 令牌。 按照 以下说明 创建一个,请参阅 文档 了解有关 Okta 系统日志 API 的详细信息。

设置说明:

若要为Microsoft Sentinel启用 Okta 单 Sign-On,请提供以下所需信息,然后单击“连接”。

  • 数据连接器网格 (门户中配置)



Onapsis 防御:将 Intel & 不匹配的 SAP 威胁检测与 Microsoft Sentinel 集成

支持者:Onapsis

使安全团队能够深入了解独特的攻击、零日攻击和威胁参与者活动;可疑用户或内部行为;敏感数据下载;安全控制冲突;以及更多内容 - 全部由 Onapsis 的 SAP 专家扩充。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Onapsis_Defend_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。 通常需要Entra ID 应用程序开发人员角色或更高版本。
  • Microsoft Azure:对数据收集规则分配监视指标发布者角色的权限。 通常需要Azure RBAC 所有者或用户访问管理员角色。

设置说明:

1. 创建 ARM 资源并提供所需权限

我们将 (DCR) 和数据收集终结点 (DCE) 资源创建数据收集规则。 我们还将创建一个Microsoft Entra应用注册,并为其分配所需的权限。

自动部署Azure资源 单击“部署推送连接器资源”将触发 DCR 和 DCE 资源的创建。 然后,它将使用客户端密码创建Microsoft Entra应用注册,并授予对 DCR 的权限。 此设置允许使用 OAuth v2 客户端凭据将数据安全地发送到 DCR。

2. 在 Onapsis 防御集成中维护数据收集终结点详细信息和身份验证信息

与 Onapsis 防御集成管理员共享数据收集终结点 URL 和身份验证信息,以配置 Onapsis 防御集成以将数据发送到数据收集终结点。

  • 租户 ID |使用此值将配置为租户 ID: <在安装时提供的变量值>
  • Entra应用程序 ID |将此值用于客户端 ID:<在安装时提供的变量值>
  • Entra应用程序机密 |将此值用于在安装时提供的 Token: <变量值>
  • LogIngestionURL |将此值用于 URL 参数: <在安装时提供的变量值>
  • DCR 不可变 ID |将此值用于 DCR_ID 参数: <在安装时提供的变量值>



通过无代码连接器框架 (OneLogin IAM 平台)

支持者:Microsoft Corporation

OneLogin 数据连接器提供了使用 OneLogin 事件 API 和 OneLogin 用户 API 通过 REST API 将常见的 OneLogin IAM 平台事件引入到Microsoft Sentinel的功能。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
OneLoginEventsV2_CL
OneLoginUsersV2_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • OneLogin IAM API 凭据:若要创建 API 凭据,请遵循此处提供的文档链接, 单击此处。 确保帐户类型为帐户所有者或管理员来创建 API 凭据。 创建 API 凭据后,将获取客户端 ID 和客户端密码。

设置说明:

将 OneLogin IAM 平台连接到 Microsoft Sentinel

若要将数据从 OneLogin IAM 引入到Microsoft Sentinel,必须单击下面的“添加域”按钮,然后弹出一个填充详细信息、提供所需信息并单击“连接”。 可以看到在网格中连接的域终结点。

  • 数据连接器网格 (门户中配置)



OneTrust

支持者:OneTrust,LLC

适用于 Microsoft Sentinel 的 OneTrust 连接器提供近乎实时的可见性,可以跨 Google Cloud 和其他 OneTrust 支持的数据源查看敏感数据所在的位置或对其进行修正。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
OneTrustMetadataV3_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。 通常需要Entra ID 应用程序开发人员角色或更高版本。
  • Microsoft Azure:对数据收集规则 (DCR) 分配监视指标发布者角色的权限。 通常需要Azure RBAC 所有者或用户访问管理员角色

设置说明:

1. 创建 ARM 资源并提供所需权限

此连接器从 OneTrust 在 Microsoft Analytics 工作区中使用表读取数据。 如果启用了 OneTrust 的数据转发选项,则可以将原始事件数据发送到Microsoft Sentinel引入 API。

自动配置和安全数据引入,Entra应用程序单击“部署”将触发创建 Log Analytics 表和数据收集规则 (DCR) 。 然后,它将创建一个Entra应用程序,将 DCR 链接到该应用程序,并在应用程序中设置输入的机密。 此设置允许使用Entra令牌将数据安全地发送到 DCR。

2. 将日志推送到工作区

使用以下参数将计算机配置为将日志发送到工作区。

  • 租户 ID (目录 ID) : <在安装时提供的变量值>
  • Entra应用注册应用程序 ID:<在安装时提供的变量值>
  • Entra应用注册机密:<在安装时提供的变量值>
  • 数据收集终结点 URI: <在安装时提供的变量值>
  • 数据收集规则不可变 ID: <在安装时提供的变量值>
  • OneTrust 元数据Stream名称:<在安装时提供的变量值>



Open Systems 数据连接器

支持者:开放系统

开放系统日志 API Microsoft Sentinel 连接器提供使用 Open Systems 日志 API 将开放系统日志引入Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
OpenSystemsZtnaLogs_CL
OpenSystemsFirewallLogs_CL
OpenSystemsAuthenticationLogs_CL
OpenSystemsProxyLogs_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure容器应用、DCR 和 DCE:需要Azure容器应用、托管环境、数据收集规则 (DCR) 以及数据收集终结点 (DCE) 。 通常通过在订阅或资源组上拥有“参与者”角色来解决此问题。
  • 角色分配权限:部署用户或服务主体需要对 DCR) 专门 (“监视指标发布者”创建角色分配的权限。
  • ARM 模板所需的凭据:在部署期间,需要提供:开放系统日志 API 终结点和连接字符串,以及服务主体凭据 (客户端 ID、客户端密码、对象/主体 ID) 。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • 自定义先决条件(如有必要),否则请删除此海关标记:任何自定义先决条件的说明

设置说明:

步骤 1:先决条件

在继续操作之前,请确保你具有以下信息和权限:

  1. 打开系统日志 API 终结点和连接字符串。
  2. 服务主体凭据 (客户端 ID、客户端密码、对象/主体 ID) 。
  3. Azure容器应用、托管环境、数据收集规则 (DCR) 、数据收集终结点 (DCE) ,以及创建角色分配的权限 (通常为订阅或资源组) 的“参与者”角色。

步骤 2:部署连接器

部署 ARM 模板以设置数据处理资源,包括数据收集规则和关联的组件。

  1. 单击下面的“部署到Azure”按钮。 这会将你带到Azure 门户。

    aka.ms

  2. 在Azure 门户,选择所需的订阅、资源组和区域

  3. 在部署向导提示时,提供所需的参数,包括先决条件步骤中收集的参数 (Open Systems Logs API 详细信息、服务主体凭据等 ) 。

  4. 查看条款,单击“ 查看 + 创建”,然后单击“创建” 以开始部署。

步骤 3:部署后验证

成功部署后:

  1. 验证运行处理器的Azure容器应用是否处于“正在运行”状态。
  2. OpenSystemsZtnaLogs_CL检查 Log Analytics 工作区中的 、OpenSystemsFirewallLogs_CLOpenSystemsAuthenticationLogs_CLOpenSystemsProxyLogs_CL 表是否有传入数据。 初始设置后,可能需要一些时间才能显示日志。
  3. 使用此数据连接器页的“后续步骤”选项卡中提供的示例查询可以查看和分析日志。



通过无代码连接器框架) 的 OpenAI (

支持者:Microsoft Corporation

使用 OpenAI 数据连接器,可以通过 OpenAI API 将审核日志和聊天完成数据从 OpenAI 组织引入到Microsoft Sentinel。 每种数据类型使用单独的 REST API 轮询器,并需要不同的 API 密钥类型: 审核日志 (用户操作、API 密钥管理、组织更改、安全事件) 需要 组织级管理 API 密钥,而 聊天完成 (模型使用情况、令牌消耗、性能指标) 需要 项目级 API 密钥。 可以单独配置一种或两种数据类型。 审核日志收集到自定义OpenAIAuditLogs_CL表中, (OpenAIAuditLogs 分析器) 进行别名化。 聊天完成规范化为 ASimAgentEventLogs 标准 ASIM 表, (OpenAIChatCompletions 分析器) 进行别名,用于安全监视、合规性分析和使用情况监视。 有关详细信息,请参阅 OpenAI API 文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
OpenAIAuditLogs

数据收集规则支持: 当前不支持

先决条件:

  • OpenAI API 访问:每种数据类型都需要不同的 API 密钥类型。 审核日志需要 组织级管理 API 密钥 - 可以在 OpenAI 组织设置中创建这些密钥。 聊天完成需要项目级 API 密钥 - 可以在 OpenAI 仪表板中的特定项目下创建这些密钥。 可以单独配置审核日志和/或聊天完成。

设置说明:

连接信息

有关用于从 OpenAI API 收集数据的连接的详细信息。

  • 审核日志 (OpenAIAuditLogs) :
  • 使用 组织级别的管理 API 密钥
  • 必须在 OpenAI 组织设置中启用审核日志记录。 组织所有者可以转到 OpenAI 的 Organization settings ->>Data controlsData retention 以启用审核日志记录。
  • 启用 OpenAI 审核日志记录后,如果不联系 OpenAI 支持人员,就无法禁用它。
  • 聊天完成 (ASimAgentEventLogs) :
  • 使用 项目级 API 密钥
  • 仅收集使用 参数设置为 true 创建的store聊天完成。
  • 聊天完成将规范化到 ASimAgentEventLogs ASIM 标准表中。
  • 在此连接器处于活动状态时删除存储的聊天完成可能需要断开连接并重新连接以重置数据收集状态。

添加 OpenAI 审核日志连接

输入 OpenAI API 凭据,从 OpenAI API 收集审核日志数据。

添加 OpenAI 聊天完成连接

输入 OpenAI API 凭据,从 OpenAI API 收集聊天完成数据。

  • 数据连接器网格 (门户中配置)



通过无代码连接器框架 (Oracle 云基础结构)

支持者:Microsoft Corporation

Oracle 云基础结构 (OCI) 数据连接器提供使用 OCI 流式处理 REST API 将 OCI 日志从 OCI Stream 引入到Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
OCI_LogsV2_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • OCI 流式处理 API 访问权限:需要通过 API 签名密钥访问 OCI 流式处理 API。

设置说明:

连接到 OCI 流式处理 API 以开始收集Microsoft Sentinel中的事件日志

  1. 登录到 OCI 控制台并访问导航菜单。
  2. 在导航菜单中,转到“Analytics & AI”-> “流式处理”。
  3. 单击“创建Stream”。
  4. 选择现有的“Stream池”或创建一个新池。
  5. 输入以下详细信息:
    • “Stream名称”
    • “保留期”
    • “分区数”
    • “总写入率”
    • “总读取速率” (基于数据量)
  6. 在导航菜单中,转到“日志记录” -> “服务连接器”。
  7. 单击“创建服务连接器”。
  8. 输入以下详细信息:
    • “连接器名称”
    • “描述”
    • “资源舱”
  9. 选择“源”:“日志记录”。
  10. 选择“目标”:“流式处理”。
  11. (可选) 配置“日志组”、“筛选器”或使用“自定义搜索查询”仅流式传输所需的日志。
  12. 通过选择之前创建的流来配置“目标”。
  13. 单击“创建”。
  14. 按照文档创建 私钥和 API 密钥配置文件。 保存 pem 文件,传递短语 (可选,在使用 OCI 控制台生成 API 签名密钥对) 和指纹的安全位置进行设置,以便在连接时使用。
  • 数据连接器网格 (门户中配置)



Orca 安全警报

支持者:Orca Security

使用 Orca 安全警报连接器,可以轻松地将警报日志导出到Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
OrcaAlerts_CL

数据收集规则支持:工作区转换 DCR

设置说明:

遵循将 Orca 安全警报日志与Microsoft Sentinel集成的指南

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



Palo Alto Cortex XDR

支持者:Microsoft Corporation

Palo Alto Cortex XDR 数据连接器允许将日志从 Palo Alto Cortex XDR API 引入Microsoft Sentinel。 数据连接器基于无代码连接器框架Microsoft Sentinel构建。 它使用 Palo Alto Cortex XDR API 提取日志,并支持基于 DCR 的引入时间转换 ,该转换将收到的安全数据分析为自定义表,以便查询无需再次分析它,从而获得更好的性能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
PaloAltoCortexXDR_Incidents_CL
PaloAltoCortexXDR_Endpoints_CL
PaloAltoCortexXDR_Audit_Management_CL
PaloAltoCortexXDR_Audit_Agent_CL
PaloAltoCortexXDR_Alerts_CL

数据收集规则支持:工作区转换 DCR

设置说明:

Palo Alto Cortex XDR API 的配置步骤按照说明获取凭据。 还可以按照 本指南 生成 API 密钥。

  1. 检索 API URL 1.1。 使用 管理员 用户凭据 1.2 登录到 Palo Alto Cortex XDR [管理控制台]。 在 [管理控制台]中,单击[设置] -> [配置] 1.3。 在“[集成]”下,单击“[API 密钥]。 1.4. 在“[设置]”页中,单击右上角的“复制 API URL”。

  2. 检索 API 令牌 2.1。 使用 管理员 用户凭据 2.2 登录到 Palo Alto Cortex XDR [管理控制台]。 在 [管理控制台]中,单击[设置] -> [配置] 2.3。 在“[集成]”下,单击“[API 密钥]。 2.4. 在“[设置]”页中,单击右上角的“[新建密钥]。 2.5. 选择安全级别、角色,选择Standard并单击[生成] 2.6。 复制 API 令牌,生成 [API 令牌 ID] 后,可以在 ID 列下找到

  • 基本 API URL: (https://api-example.xdr.au.paloaltonetworks.com)
  • API 密钥 ID: (API ID)
  • API 令牌: (API 令牌)
  • 启用/禁用连接



Palo Alto Cortex Xpanse (通过无代码连接器框架)

支持者:Microsoft Corporation

Palo Alto Cortex Xpanse 数据连接器将警报数据引入Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CortexXpanseAlerts_CL

数据收集规则支持:工作区转换 DCR

设置说明:

将 Palo Alto Xpanse 连接到 Microsoft Sentinel

若要将数据从 Palo Alto Cortex Xpanse 引入到Microsoft Sentinel,请单击“添加域”。在弹出窗口中填写所需的详细信息,然后单击“连接”。你将在下面的网格中看到连接的域终结点。若要获取身份验证 ID 和 API 密钥,请在 Cortex Xpanse 门户中转到“设置→配置→集成→ API 密钥”并生成新凭据。

  • 数据连接器网格 (门户中配置)



Palo Alto Prisma 云 CSPM (通过无代码连接器框架)

支持者:Microsoft Corporation

Palo Alto Prisma Cloud CSPM 数据连接器允许连接到 Palo Alto Prisma Cloud CSPM 实例,并将警报 (https://pan.dev/prisma-cloud/api/cspm/alerts/ 引入) & 审核日志 (https://pan.dev/prisma-cloud/api/cspm/audit-logs/) Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
PaloAltoPrismaCloudAlertV2_CL

数据收集规则支持:工作区转换 DCR

设置说明:

将 Palo Alto Prisma Cloud CSPM 事件连接到Microsoft Sentinel

若要获取有关如何获取 Prisma 云访问密钥、密钥和基本 URL 的详细信息,请参阅连接器教程,提供以下所需信息,然后单击“连接”。

  • Prisma 云访问密钥: (输入访问密钥)
  • Prisma 云密钥: (输入密钥)
  • Prisma Cloud Base URL: (https://api2.eu.prismacloud.io)
  • 启用/禁用连接
  • 数据连接器网格 (门户中配置)



使用 REST API) 的 Palo Alto Prisma 云 CWPP (

支持者:Microsoft Corporation

使用 Palo Alto Prisma Cloud CWPP 数据连接器,可以连接到 Palo Alto Prisma Cloud CWPP 实例,并将警报引入Microsoft Sentinel。 数据连接器基于 Microsoft Sentinel 的无代码连接器框架构建,使用 Prisma 云 API 提取安全事件并支持基于 DCR 的引入时间转换,该转换将收到的安全事件数据分析为自定义列,以便查询无需再次分析它,从而获得更好的性能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
PrismaCloudCompute_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • PrismaCloudCompute API 密钥:需要 Palo Alto Prisma Cloud CWPP Monitor API 用户名和密码。 有关详细信息,请参阅 PrismaCloudCompute SIEM API

设置说明:

将 Palo Alto Prisma Cloud CWPP 安全事件连接到Microsoft Sentinel

若要为Microsoft Sentinel启用 Palo Alto Prisma Cloud CWPP 安全事件,请提供以下所需信息,然后单击“连接”。

  • 控制台路径: (europe-west3.cloud.twistlock.com/{sasid})
  • Prisma 访问密钥 (API) : (Prisma 访问密钥 (API) )
  • 机密: (机密)
  • 启用/禁用连接



Pathlock Inc.:SAP 的威胁检测和响应

受支持者:Pathlock Inc.

Pathlock Threat Detection and Response (TD&R) 适用于 SAP 的 Microsoft Sentinel 解决方案集成,可对 SAP 安全事件提供统一的实时可见性,使组织能够检测和应对所有 SAP 环境中的威胁。 这种开箱即用的集成允许安全运营中心 (SOC) 将特定于 SAP 的警报与企业范围的遥测相关联,从而创建可操作的智能,将 IT 安全性与业务流程联系起来。

Pathlock 的连接器专为 SAP 而构建,默认情况下仅转发 与安全相关的事件,最大限度地减少数据量和干扰,同时保持在需要时转发所有日志源的灵活性。 每个事件都通过业务流程上下文进行扩充,使 SAP 分析Microsoft Sentinel解决方案能够区分操作模式和实际威胁,并确定真正重要事项的优先级。

这种精确驱动的方法可帮助安全团队大幅减少误报、集中调查,并缩短 检测 (MTTD) 的平均时间 ,以及 平均响应 MTTR) (时间 。 Pathlock 的库包含 70 多个日志源中的 1,500 多个 SAP 特定检测签名,该解决方案可发现复杂的攻击行为、配置弱点和访问异常。

通过将业务上下文智能与高级分析相结合,Pathlock 使企业能够增强检测准确性、简化响应操作,并跨 SAP 环境保持持续控制,而无需增加复杂性或冗余的监视层。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ABAPAuditLog

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。 通常需要Entra ID 应用程序开发人员角色或更高版本。
  • Microsoft Azure:对数据收集规则分配监视指标发布者角色的权限。 通常需要Azure RBAC 所有者或用户访问管理员角色。

设置说明:

1. 创建 ARM 资源并提供所需权限

我们将 (DCR) 和数据收集终结点 (DCE) 资源创建数据收集规则。 我们还将创建一个Microsoft Entra应用注册,并为其分配所需的权限。

自动部署Azure资源 单击“部署推送连接器资源”将触发 DCR 和 DCE 资源的创建。 然后,它将使用客户端密码创建Microsoft Entra应用注册,并授予对 DCR 的权限。 此设置允许使用 OAuth v2 客户端凭据将数据安全地发送到 DCR。

2. 在 Pathlock 的网络安全应用程序控制:威胁检测和响应的中心实例中维护数据收集终结点详细信息和身份验证信息

与 Pathlock 管理员共享数据收集终结点 URL 和身份验证信息,以在威胁检测和响应中配置即插即用转发,将数据发送到数据收集终结点。 如果需要支持,请随时联系 Pathlock。

  • 使用此值在 LogIngestionAPI 凭据中配置为租户 ID。: <在安装时提供的变量值>
  • Entra应用程序 ID:<在安装时提供的变量值>
  • Entra应用程序机密:<在安装时提供的变量值>
  • 使用此值在部署 IFlow 时配置 LogsIngestionURL 参数。: <在安装时提供的变量值>
  • DCR 不可变 ID: <在安装时提供的变量值>



外围 81 活动日志

支持者:Perimeter 81

使用 Perimeter 81 活动日志连接器,可以轻松地将 Perimeter 81 活动日志与Microsoft Sentinel连接、查看仪表板、创建自定义警报和改进调查。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Perimeter81_CL

数据收集规则支持: 当前不支持

设置说明:

请注意以下值,并按照此处的说明将 Perimeter 81 活动日志与Microsoft Sentinel连接。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



磷设备

支持者:磷公司

磷设备连接器提供磷通过磷 REST API 将设备数据日志引入Microsoft Sentinel的功能。 连接器提供在磷中注册的设备可见性。 此数据连接器会拉取设备信息及其相应的警报。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Phosphorus_CL

数据收集规则支持: 当前不支持

先决条件:

  • REST API 凭据/权限:需要 磷 API 密钥 。 请确保与用户关联的 API 密钥已启用“管理设置”权限。

按照这些说明启用“管理设置”权限。

  1. 登录到磷应用程序
  2. 转到“设置”-> “组”
  3. 选择“将集成用户分组为其中的一部分”
  4. 导航到“产品操作”-> 打开“管理设置”权限。

设置说明:

步骤 1 - 磷 API 的配置步骤

按照这些说明创建磷 API 密钥。

  1. 登录到“磷”实例
  2. 导航到“设置 -> API”
  3. 如果尚未创建 API 密钥,请按 “添加”按钮 创建 API 密钥
  4. 现在可以在磷设备连接器配置期间复制和使用 API 密钥

将磷应用程序与Microsoft Sentinel连接

步骤 2 - 填写以下详细信息

重要: 在部署磷设备数据连接器之前,请准备好磷实例域名以及磷 API 密钥 ()



通过无代码连接器框架) ping One (

支持者:Microsoft Corporation

此连接器使用无代码连接器框架将审核活动日志从 PingOne 标识平台引入到Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
PingOne_AuditActivitiesV2_CL

数据收集规则支持:工作区转换 DCR

设置说明:

将 Ping One 连接器连接到Microsoft Sentinel

在连接到 PingOne 之前,请确保满足以下先决条件。 有关详细的设置说明,请参阅 文档 ,包括如何获取客户端凭据和环境 ID。

  1. 客户端凭据 你需要客户端凭据,包括客户端 ID 和客户端密码。

  2. 环境 ID
    从审核活动终结点生成令牌和收集日志

  • 数据连接器网格 (门户中配置)



Prancer 数据连接器

支持者:Prancer PenSuiteAI 集成

Prancer 数据连接器提供引入 Prancer (CSPM) [https://docs.prancer.io/web/CSPM/] 和 PAC 数据的功能,以便通过Microsoft Sentinel进行处理。 有关详细信息,请参阅 Prancer 文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
prancer_CL

数据收集规则支持: 当前不支持

先决条件:

  • 如果连接需要,请包括自定义先决条件 - 否则删除海关:任何自定义先决条件的说明

设置说明:

注意:此连接器使用 Azure Functions 连接到 Prancer REST API,将日志拉取到 Microsoft sentinel 中。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

步骤 1:按照 Prancer 文档站点 上的文档进行操作,以便使用 Azure 云连接器设置扫描。

步骤 2:创建扫描后,转到扫描的“第三部分集成”菜单,然后选择“Sentinel”。

步骤 3:按照配置向导创建,选择结果应发送到Azure的位置。

步骤 4:数据应开始馈送到Microsoft Sentinel进行处理。



高级Microsoft Defender 威胁智能

支持者:Microsoft Corporation

Microsoft Sentinel提供导入Microsoft生成的威胁情报的功能,以启用监视、警报和搜寻。 使用此数据连接器可将入侵指标 (IOC) 从高级Microsoft Defender 威胁智能 (MDTI) 导入Microsoft Sentinel。 威胁指示器可能包括 IP 地址、域、URL 和文件哈希等。注意:这是付费连接器。 若要使用和引入数据,请从合作伙伴中心购买“MDTI API 访问”SKU。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ThreatIntelligenceIndicator

数据收集规则支持:工作区转换 DCR

通过无代码连接器框架) 证明点按需Email安全 (

支持者:Proofpoint, Inc.

Proofpoint On Demand Email Security 数据连接器提供获取 Proofpoint on Demand Email Protection 数据的功能,允许用户检查邮件可追溯性、监视攻击者和恶意内部成员的电子邮件活动、威胁和数据外泄。 连接器提供加速查看组织中事件的功能,并按小时增量获取最近活动的事件日志文件。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ProofpointPODMailLog_CL
ProofpointPODMessage_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Websocket API 凭据/权限ProofpointClusterIDProofpointToken 是必需的。 有关详细信息,请参阅 API

设置说明:

Proofpoint POD Websocket API 的配置步骤

PoD 日志 API 不允许同时对多个会话使用相同的令牌,因此请确保令牌未在任何位置使用。

Proofpoint Websocket API 服务需要远程 Syslog 转发许可证。 请参阅有关如何启用和检查 PoD 日志 API 的文档。 必须提供群集 ID 和安全令牌。

  1. 检索群集 ID 1.1。 使用管理员用户凭据登录到证明点 [管理控制台]

    1.2. 在 管理控制台中,群集 ID 显示在右上角。

  2. 检索 API 令牌 2.1。 使用管理员用户凭据登录到证明点 [管理控制台]

2.2. 在 管理控制台中,单击“设置 -> API 密钥管理”

2.3. 在 “API 密钥管理”下,单击“PoD 日志记录 ”选项卡。

2.4. 获取或创建新的 API 密钥。

  • 群集 ID: (cluster_id)
  • API 密钥: (API 密钥)
  • 启用/禁用连接



通过无代码连接器框架) 证明点按需Email安全 (

支持者:Microsoft Corporation

Proofpoint On Demand Email Security 数据连接器提供获取 Proofpoint on Demand Email Protection 数据的功能,允许用户检查邮件可追溯性、监视攻击者和恶意内部成员的电子邮件活动、威胁和数据外泄。 连接器提供加速查看组织中事件的功能,并按小时增量获取最近活动的事件日志文件。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ProofpointPODMailLog_CL
ProofpointPODMessage_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Websocket API 凭据/权限ProofpointClusterIDProofpointToken 是必需的。 有关详细信息,请参阅 API

设置说明:

Proofpoint POD Websocket API 的配置步骤

PoD 日志 API 不允许同时对多个会话使用相同的令牌,因此请确保令牌未在任何位置使用。

Proofpoint Websocket API 服务需要远程 Syslog 转发许可证。 请参阅有关如何启用和检查 PoD 日志 API 的文档。 必须提供群集 ID 和安全令牌。

  1. 检索群集 ID 1.1。 使用管理员用户凭据登录到证明点 [管理控制台]

    1.2. 在 管理控制台中,群集 ID 显示在右上角。

  2. 检索 API 令牌 2.1。 使用管理员用户凭据登录到证明点 [管理控制台]

2.2. 在 管理控制台中,单击“设置 -> API 密钥管理”

2.3. 在 “API 密钥管理”下,单击“PoD 日志记录 ”选项卡。

2.4. 获取或创建新的 API 密钥。

  • 群集 ID: (cluster_id)
  • API 密钥: (API 密钥)
  • 启用/禁用连接



通过无代码连接器框架) 的 Proofpoint TAP (

支持者:Proofpoint, Inc.

Proofpoint 目标攻击防护 (TAP) 连接器提供将 Proofpoint TAP 日志和事件引入Microsoft Sentinel的功能。 连接器提供对Microsoft Sentinel中的 Message 和 Click 事件的可见性,以查看仪表板、创建自定义警报以及改进监视和调查功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ProofPointTAPMessagesDeliveredV2_CL
ProofPointTAPMessagesBlockedV2_CL
ProofPointTAPClicksPermittedV2_CL
ProofPointTAPClicksBlockedV2_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Proofpoint TAP API 密钥:访问 Proofpoint 的 SIEM API 需要 Proofpoint TAP API 服务主体和机密。 有关详细信息,请参阅 Proofpoint SIEM API

设置说明:

Proofpoint TAP API 的配置步骤

  1. 登录到 Proofpoint TAP 仪表板
  2. 导航到 “设置”并转到“连接的应用程序 ”选项卡
  3. 单击“创建新凭据
  4. 提供名称,然后单击“生成
  5. 复制 服务主体和机密

注意:此连接器依赖于基于 Kusto 函数的分析程序,才能按预期方式使用 Microsoft Sentinel 解决方案部署的 ProofpointTAPEvent 工作。

  • 服务主体: (123456)
  • 机密: (123456)
  • 启用/禁用连接



通过无代码连接器框架) 的 Proofpoint TAP (

支持者:Microsoft Corporation

Proofpoint 目标攻击防护 (TAP) 连接器提供将 Proofpoint TAP 日志和事件引入Microsoft Sentinel的功能。 连接器提供对Microsoft Sentinel中的 Message 和 Click 事件的可见性,以查看仪表板、创建自定义警报以及改进监视和调查功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ProofPointTAPMessagesDeliveredV2_CL
ProofPointTAPMessagesBlockedV2_CL
ProofPointTAPClicksPermittedV2_CL
ProofPointTAPClicksBlockedV2_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Proofpoint TAP API 密钥:访问 Proofpoint 的 SIEM API 需要 Proofpoint TAP API 服务主体和机密。 有关详细信息,请参阅 Proofpoint SIEM API

设置说明:

Proofpoint TAP API 的配置步骤

  1. 登录到 Proofpoint TAP 仪表板
  2. 导航到 “设置”并转到“连接的应用程序 ”选项卡
  3. 单击“创建新凭据
  4. 提供名称,然后单击“生成
  5. 复制 服务主体和机密

注意:此连接器依赖于基于 Kusto 函数的分析程序,才能按预期方式使用 Microsoft Sentinel 解决方案部署的 ProofpointTAPEvent 工作。

  • 服务主体: (123456)
  • 机密: (123456)
  • 启用/禁用连接



QscoutAppEventsConnector 通过无代码连接器框架 ()

支持者:Quokka

将 Qscout 应用程序事件引入Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
QscoutAppEvents_CL

数据收集规则支持: 当前不支持

先决条件:

  • Qscout 组织 ID:API 需要 Qscout 中的组织 ID。
  • Qscout 组织 API 密钥:该 API 需要 Qscout 中的组织 API 密钥。

设置说明:

注意:此连接器使用无代码连接器框架 (CCF) 连接到 Qscout 应用事件源并将数据引入Microsoft Sentinel

提供以下所需值:

  • Qscout 组织 ID: (123456)
  • Qscout 组织 API 密钥: (abcdxyz)
  • 启用/禁用连接



通过无代码连接器框架) 的 Qualys 知识库 (

支持者:Microsoft Corporation

使用 Qualys API 版本 4.0 将 Qualys 知识库漏洞数据引入Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
QualysKnowledgeBase

数据收集规则支持:工作区转换 DCR

先决条件:

  • Qualys API 访问权限:需要具有对知识库终结点的读取访问权限的 Qualys 用户帐户。

设置说明:

步骤 1:设置凭据 提供 Qualys API 凭据以启用从 Qualys 知识库引入数据。

若要从 Qualys VM 收集数据,需要提供以下资源:

  • API 凭据:对知识库 API 具有读取访问权限的帐户的用户名和密码。 可以在 Qualys API 文档中找到所需的确切权限。

  • API 服务器 URL:特定于你的区域的 Qualys API 服务器 URL。 可在此处找到你区域的确切 API 服务器 URL

  • API 服务器 URL: (输入 API 服务器 URL)

  • 用户名: (输入 Qualys 用户名)

  • 密码: (输入 Qualys 密码或令牌) 步骤 2:设置任何可选筛选器

配置可选筛选器以自定义要引入的漏洞。 在 Qualys API 文档中详细了解可用筛选器。

2a. 按修补程序状态筛选 选择仅显示可修补或不可修补的漏洞。

2b. 按发现方法和身份验证类型筛选 选择仅接收分配有特定发现方法或具有特定身份验证类型的漏洞。

  • 发现身份验证类型: (例如 Windows、Oracle、Unix、SNMP (逗号分隔) ) 步骤 3:查看和启用查看配置设置,并使连接器能够开始将 Qualys 知识库数据引入Microsoft Sentinel。

  • 启用/禁用连接



使用 Azure Functions) 的 Qualys VM 知识库 (

支持者:Microsoft Corporation

Qualys 漏洞管理 (VM) 知识库 (KB) 连接器提供将最新漏洞数据从 Qualys KB 引入Microsoft Sentinel的功能。

此数据可用于关联和扩充 Qualys 漏洞管理 (VM) 数据连接器发现的漏洞检测。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
QualysKB_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Qualys API 密钥:需要 Qualys VM API 用户名和密码。 有关详细信息,请参阅 Qualys VM API

设置说明:

注意: 此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该分析程序部署为解决方案的一部分。 若要在 Log Analytics 中查看函数代码,请打开 Log Analytics/Microsoft Sentinel“日志”边栏选项卡,单击“函数”并搜索别名 QualysVM 知识库并加载函数代码或单击此处,在查询的第二行,输入 QualysVM 知识库设备的主机名 () () 以及日志流的任何其他唯一标识符。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。

此数据连接器依赖于基于 Kusto 函数分析程序才能按预期工作。 按照步骤 使用 Kusto 函数别名 QualysKB

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - Qualys API 的配置步骤

  1. 使用管理员帐户登录到 Qualys 漏洞管理控制台,选择 “用户”选项卡和“用户” 子选项卡。
  2. 单击“ 新建”下拉菜单,然后选择“用户”。
  3. 为 API 帐户创建用户名和密码。
  4. “用户角色”选项卡中,确保帐户角色设置为“经理”,并允许访问 GUI 和 API
  5. 注销管理员帐户,并使用新的 API 凭据登录到控制台进行验证,然后注销 API 帐户。
  6. 使用管理员帐户重新登录到控制台,并修改 API 帐户用户角色,删除对 GUI 的访问权限。
  7. 保存所有更改。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 Qualys KB 连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的 Qualys API 用户名和密码。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署 Qualys KB 连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID、工作区密钥、API 用户名、API 密码、更新 URI 和任何其他 URI 筛选器参数 (此值应在每个参数之间包含“&”符号,并且不应包含任何空格)

  • 输入与你的区域对应的 URI。 可在此处找到 API 服务器 URL 的完整列表
  • 注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档
  1. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。
  2. 单击“ 购买 ”进行部署。
  • 注意:如果部署由于存储帐户名称而失败,请将 “函数名称” 更改为唯一值并重新部署。

选项 2 - 手动部署Azure Functions

此方法提供使用 Azure 函数手动部署 Qualys KB 连接器的分步说明。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。
  2. 按照函数应用手动部署说明使用 VSCode 部署 Azure Functions 应用。
  3. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下七个 (7 个) 应用程序设置,其各自的字符串值 (区分大小写) :apiUsername apiPassword workspaceID workspaceID workspaceKey uri filterParameters logAnalyticsUri (可选)
  • 输入与你的区域对应的 URI。 可 在此处找到 API 服务器 URL 的完整列表。 值 uri 必须遵循以下架构: https://<API Server>/api/2.0
  • filterParameters 变量添加需要追加到 URI 的任何其他筛选器参数。 该值 filterParameter 应在每个参数之间包含一个“&”符号,并且不应包含任何空格。
  • 注意:如果使用 Azure 密钥保管库,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档
  • 使用 logAnalyticsUri 替代委托云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



通过无代码连接器框架) 的 Qualys 漏洞管理 (

支持者:Microsoft Corporation

Qualys 漏洞管理 (VM) 数据连接器提供通过 Qualys API 将漏洞主机检测数据引入Microsoft Sentinel的功能。 该连接器提供对可渗透性扫描中的主机检测数据的可见性。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
QualysHostDetectionV3_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • API 访问权限和角色:确保 Qualys VM 用户具有读者或更高角色。 如果该角色为“读取者”,请确保为帐户启用了 API 访问。 不支持审核员角色访问 API。 有关详细信息,请参阅 Qualys VM 主机检测 API用户角色比较 文档。

设置说明:

将 Qualys 漏洞管理连接到 Microsoft Sentinel

注意:若要基于主机收集检测数据,请展开表中的 DetectionList 列。

若要从 Qualys VM 收集数据,需要提供以下资源

  1. API 凭据 若要从 Qualys VM 收集数据,需要 Qualys API 凭据,包括用户名和密码。

  2. API 服务器 URL 若要从 Qualys VM 收集数据,需要特定于你的区域的 Qualys API 服务器 URL。 可在此处找到你区域的确切 API 服务器 URL

  • Qualys API 用户名: (输入用户名)
  • Qualys API 密码: (输入密码)
  • Qualys API 服务器 URL: (输入 API 服务器 URL)
  1. 截断限制 配置每个 API 调用要检索的最大主机记录数 (20-5000 范围) 。 较高的值可能会提高性能,但可能会影响 API 响应时间。
  • 启用/禁用连接



通过 AMA 的 Radiflow iSID

支持者:Radiflow

iSID 使用多个安全包,对分布式 ICS 网络进行无中断性监视,以更改拓扑和行为,每个包提供与特定类型的网络活动相关的独特功能

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
RadiflowEvent

数据收集规则支持: 当前不支持

设置说明:

注意:此数据连接器依赖于基于 Kusto 函数的分析程序来按预期工作 [RadiflowEvent],该分析程序随 Microsoft Sentinel 解决方案一起部署。

1. 请按照步骤配置数据连接器

步骤 A.通过 AMA 数据连接器配置通用事件格式 (CEF)

注意:- CEF 日志仅从 Linux 代理收集

  1. 导航到Microsoft Sentinel工作区--->配置--->数据连接器边栏选项卡。

  2. 通过 AMA 搜索“通用事件格式 (CEF) ”数据连接器并将其打开。

  3. 检查如果没有现有 DCR 配置为收集所需的日志设施,) 创建新的 DCR (数据收集规则。

    注意:- 建议安装至少 1.27 版本的 AMA 代理 了解详细信息 ,并确保没有重复的 DCR,因为它可能导致日志重复。

  4. 通过 AMA 数据连接器运行 CEF 中提供的命令,在计算机上配置 CEF 收集器。

步骤 B.配置 iSID 以使用 CEF 发送日志

使用 CEF 配置日志转发:

  1. 导航到“配置”菜单的“ 系统通知 ”部分。

  2. 在“Syslog”下,选择“ +添加”。

  3. “新建 Syslog 服务器”对话框中,指定名称、远程服务器 IP、端口、传输,然后选择“格式 - CEF”。

  4. “应用”退出“添加 Syslog”对话框

步骤 C.验证连接

按照说明验证连接性:

打开 Log Analytics 以检查是否使用 CommonSecurityLog 架构收到日志。

连接可能需要大约 20 分钟才能将数据流式传输到工作区。

如果未收到日志,请运行以下连接验证脚本:

  1. 使用以下命令确保计算机上具有 Python:python --version

  2. 必须在计算机上具有提升的权限 (sudo)

  • 运行以下命令以验证连接性:: <在安装时提供的变量值>

**2. 保护计算机 **

确保根据组织的安全策略配置计算机的安全性

了解更多信息 >



使用 Azure Functions) (Rapid7 Insight Platform 漏洞管理报告

支持者:Microsoft Corporation

Rapid7 Insight VM 报告数据连接器提供通过 REST API 从 Rapid7 Insight 平台将扫描报告和漏洞数据引入Microsoft Sentinel的功能, (托管在云) 中。 有关详细信息,请参阅 API 文档 。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
NexposeInsightVMCloud_assets_CL
NexposeInsightVMCloud_vulnerabilities_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据:REST API 需要 InsightVMAPIKey 。 有关详细信息,请参阅 API。 检查所有 要求,并按照说明 获取凭据

设置说明:

注意:此连接器使用 Azure Functions 连接到 Insight VM API,以将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意:此数据连接器依赖于基于 Kusto 函数的分析程序,以按预期方式使用 Microsoft Sentinel 解决方案部署的 InsightVMAssetsInsightVMVulnerabilities

步骤 1 - Insight VM 云的配置步骤

按照说明 获取凭据。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署工作区数据连接器之前,请从以下) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署 Rapid7 Insight 漏洞管理报告数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3.输入 InsightVMAPIKey,选择“InsightVMCloudRegion ”并部署。 4.将标记为 “我同意上述条款和条件”的复选框。 5.单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Rapid7 Insight 漏洞管理报告数据连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。
  2. 按照函数应用手动部署说明使用 VSCode 部署 Azure Functions 应用。
  3. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。
  3. “应用程序设置”选项卡中,选择“新建应用程序设置”。
  4. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :
    InsightVMAPIKey InsightVMCloudRegion WorkspaceID WorkspaceKey logAnalyticsUri (可选)
  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



Rapid7 Insight Platform 漏洞管理报告通过无代码连接器框架) (

支持者:Microsoft Corporation

Rapid7 Insight VM 报告数据连接器提供通过 REST API 从 Rapid7 Insight 平台将扫描报告和漏洞数据引入Microsoft Sentinel的功能, (托管在云) 中。 有关详细信息,请参阅 API 文档 。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Rapid7InsightVMCloudAssets
Rapid7InsightVMCloudVulnerabilities

数据收集规则支持:工作区转换 DCR

先决条件:

  • REST API 凭据:REST API 需要 InsightVMAPIKey 。 有关详细信息,请参阅 API。 检查所有 要求,并按照说明 获取凭据

设置说明:

按照说明配置 Rapid7 InsightVM 连接器。

注意:此数据连接器依赖于基于 Kusto 函数的分析程序,以按预期方式使用 Microsoft Sentinel 解决方案部署的 InsightVMAssetsInsightVMVulnerabilities

1. Rapid7 Insight VM 云的配置步骤

按照说明 获取凭据。

  1. 在 Rapid7 InsightVM 中,生成 API 密钥
  2. 记下 区域和 API 密钥
  • 区域: (us、eu 等 )
  • API 密钥: (API 密钥)

2. 连接

启用 Rapid7 Insight VM 连接器。

  • 启用/禁用连接



红色筛选事件 (CCF 推送)

支持者:Red Sift

Red Sift 连接器提供将 Red Sift 身份验证和电子邮件取证事件引入Microsoft Sentinel的功能,该连接器使用 CCF 推送模型和 DCE + DCR。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
RedSiftAuth_CL
RedSiftEmailForensics_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。 通常需要Entra ID 应用程序开发人员角色或更高版本。
  • Microsoft Azure:对数据收集规则 (DCR) 分配监视指标发布者角色的权限。 通常需要Azure RBAC 所有者或用户访问管理员角色。

设置说明:

1. 创建 ARM 资源并提供所需权限

部署用于 OAuth 客户端凭据的 DCE、DCR、自定义表和Entra应用注册。

自动配置和安全数据引入,Entra应用程序单击“部署”将触发创建 Log Analytics 表和数据收集规则 (DCR) 。 然后,它将创建一个Entra应用程序,将 DCR 链接到该应用程序,并在应用程序中设置输入的机密。 此设置允许使用Entra令牌将数据安全地发送到 DCR。

2.配置 Red Sift Webhook

使用以下参数将 Red Sift 配置为将事件发送到Microsoft Sentinel。 为每个事件类型使用相应的流名称。

  • 租户 ID (目录 ID) : <在安装时提供的变量值>
  • Entra应用注册应用程序 ID:<在安装时提供的变量值>
  • Entra应用注册机密:<在安装时提供的变量值>
  • 数据收集终结点 URI: <在安装时提供的变量值>
  • 数据收集规则不可变 ID: <在安装时提供的变量值>
  • 身份验证事件Stream名称:<在安装时提供的变量值>
  • Email取证事件Stream名称:<在安装时提供的变量值>



RSA ID Plus 管理员日志连接器

支持者:RSA 支持团队

RSA ID Plus AdminLogs 连接器提供使用云管理员 API 将云管理员控制台审核事件引入Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
RSAIDPlus_AdminLogs_CL

数据收集规则支持: 当前不支持

先决条件:

  • RSA ID 加 API 身份验证:若要访问管理员 API,需要使用客户端的旧管理 API 密钥签名的有效 Base64URL 编码 JWT 令牌。

设置说明:

注意:此连接器使用无代码连接器框架 (CCF) 连接到 RSA ID Plus Cloud 管理员 API,将日志拉取到Microsoft Sentinel。

步骤 1 - 在云管理员控制台中创建旧版 管理员 API 客户端。

按照此 中提到的步骤操作。

步骤 2 - 生成 Base64URL 编码的 JWT 令牌。

按照 此页 标题“旧式管理 API”下提到的步骤进行操作。

步骤 3 - 将云管理员 API 配置为开始将管理员事件日志引入Microsoft Sentinel。

提供以下所需值:

  • 管理员 API URL: (https://< tenantName.access.securid.com/AdminInterface/restapi/v1/adminlog/exportLogs) >
  • JWT 令牌: (输入 JWT 令牌)

步骤 4 - 单击“连接”

验证上述所有字段是否已正确填写。 按“连接”启动连接器。

  • 启用/禁用连接



Rubrik Security Cloud 数据连接器使用 Azure Functions) (

支持者:Rubrik

Rubrik Security Cloud 数据连接器使安全运营团队能够将来自 Rubrik 的数据可观测性服务的见解集成到Microsoft Sentinel。 见解包括识别与勒索软件和大规模删除相关的异常文件系统行为、评估勒索软件攻击的爆发半径,以及敏感数据操作员来确定优先级并更快地调查潜在事件。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Rubrik_Anomaly_Data_CL
Rubrik_Ransomware_Data_CL
Rubrik_ThreatHunt_Data_CL
Rubrik_Events_Data_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions

设置说明:

注意:此连接器使用 Azure Functions 连接到 Rubrik Webhook,后者将其日志推送到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - 从以下两个部署选项中选择一个来部署连接器和关联的 Azure 函数

重要:在部署 Rubrik Microsoft Sentinel 数据连接器之前,请从以下随时可用的) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 Rubrik 连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入以下信息:函数名称工作区 ID 工作区密钥异常TableName 勒索软件AnalysisTableName ThreatHuntsTableName EventsTableName LogLevel

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Rubrik Microsoft Sentinel 数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 RubrikXXXXX) 。

    e. 选择运行时: 选择 Python 3.8 或更高版本。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的值 (区分大小写) :WorkspaceID WorkspaceKey AnomaliesTableName 勒索软件AnalysisTableName ThreatHuntsTableName EventsTableName LogLevel logAnalyticsUri (可选)

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://< CustomerId.ods.opinsights.azure.us>。
  1. 输入所有应用程序设置后,单击“ 保存”。

部署后步骤

1) 获取函数应用终结点

  1. 转到Azure函数概述页,然后单击“函数”选项卡。
  2. 单击名为 “RubrikHttpStarter”的函数。
  3. 转到 “GetFunctionurl” 并复制函数 URL。

2) 在 RubrikSecurityCloud 中添加 Webhook 以将数据发送到Microsoft Sentinel。

按照 Rubrik 用户指南说明 添加 Webhook 开始接收事件信息

  1. 选择Microsoft Sentinel作为 Webhook 提供程序
  2. 输入所需的 Webhook 名称
  3. 输入复制的 Function-url 中的 URL 部件作为 Webhook URL 终结点,并将 {functionname} 替换为“RubrikAnomalyOrchestrator”,作为 Rubrik Microsoft Sentinel 解决方案
  4. 选择 EventType 作为“异常”
  5. 选择以下严重级别:严重、警告、信息
  6. 运行“RubrikEventsOrchestrator”时,根据需要选择多个日志类型
  7. 重复相同的步骤,为异常情况检测分析、威胁搜寻和其他事件添加 Webhook。

注意:在为异常情况检测分析、威胁搜寻和其他事件添加 Webhook 时,请将 {functionname} 分别替换为复制的 function-url 中的“RubrikRansomwareOrchestrator”、“RubrikThreatHuntOrchestrator”和“RubrikEventsOrchestrator”。

现在,我们完成了 rubrik Webhook 配置。 触发 Webhook 事件后,你应该能够看到来自 Rubrik 的异常、异常检测分析、威胁搜寻事件和其他事件到相应的 LogAnalytics 工作区表中,该表名为“Rubrik_Anomaly_Data_CL”、“Rubrik_Ransomware_Data_CL”、“Rubrik_ThreatHunt_Data_CL”和“Rubrik_Events_Data_CL”。



SaaS 安全性

支持者:Valence Security

通过 REST API 接口Azure Log Analytics 连接 Valence SaaS 安全平台

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ValenceAlert_CL

数据收集规则支持: 当前不支持

设置说明:

步骤 1:阅读详细文档

Valence Security 的知识库中详细介绍了安装过程。 用户应进一步查阅本文档,了解集成的安装和调试。

步骤 2:检索工作区访问凭据

第一个安装步骤是从 Microsoft Sentinel 平台检索工作区 ID 和主密钥。 复制下面所示的值,并保存它们以配置 API 日志转发器集成。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

步骤 3:在 Valence 安全平台上配置Sentinel集成

作为 Valence 安全平台管理员,请转到配置屏幕,单击 SIEM 集成卡中的“连接”,然后选择“Microsoft Sentinel”。 粘贴上一步中的值,然后单击“连接”。 Valence 将测试连接,以便在报告成功时连接正常工作。



通过无代码连接器框架 (Salesforce 审核日志)

支持者:Microsoft Corporation

Salesforce 审核日志数据连接器提供通过 REST API 将 Salesforce 组织中的管理更改和配置修改引入Microsoft Sentinel的功能。 连接器提供将设置审核线索登录历史记录事件引入到Microsoft Sentinel以跟踪对组织的配置所做的更改的功能,从而帮助你保持安全性和合规性可见性。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SalesforceAuditTrail

数据收集规则支持:工作区转换 DCR

先决条件:

  • Salesforce Service Cloud API 访问权限:需要通过连接应用访问 Salesforce Service Cloud API。

设置说明:

将 Salesforce 连接到 Microsoft Sentinel

按照 在 Salesforce for OAuth 中创建连接应用 并为 OAuth 2.0 客户端凭据流配置连接应用 ,创建有权访问 Salesforce Service Cloud API 的连接应用。 通过这些说明,应获取使用者密钥和使用者机密。 对于 Salesforce“域名”,转到“设置”,在“快速查找”框中键入“我的域”,然后选择“我的域”以查看域详细信息。 请确保输入的域名没有尾部斜杠 (例如 https://your-domain.my.salesforce.com ,) 。 在以下表单中填写该信息。

  • 数据连接器网格 (门户中配置)



SalesForce Real-Time 事件监视连接器通过无代码连接器框架) (

支持者:Microsoft Corporation

Salesforce Real-Time 事件监视 (RTEM) 连接器提供的功能是使用 Object for Event Storage 将有关 Salesforce 实时事件的信息引入到Microsoft Sentinel REST API。 连接器提供加速查看组织中的事件、获取最近 活动的实时事件数据 的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SalesForceRealTimeEventMonitoring_CL

数据收集规则支持: 当前不支持

先决条件:

  • Salesforce 事件监视 API 访问权限:需要通过连接应用访问 Salesforce 事件监视 API。

设置说明:

连接到 Salesforce 事件监视以开始收集Microsoft Sentinel中的实时事件监视日志

按照 在 Salesforce for OAuth 中创建连接应用 并为 OAuth 2.0 客户端凭据流配置连接应用 ,创建有权访问 Salesforce 事件监视 API 的连接应用。 通过这些说明,应获取使用者密钥和使用者机密。 对于 Salesforce“域名”,转到“设置”,在“快速查找”框中键入“我的域”,然后选择“我的域”以查看域详细信息。 请确保输入的域名没有尾部斜杠 (例如 https://your-domain.my.salesforce.com ,) 。 在以下表单中填写该信息。

注意: 所需的加载项订阅: Salesforce 帐户应包含 Salesforce Shield 或 Salesforce 事件监视加载项订阅,以便此连接器正常工作。

  • 数据连接器网格 (门户中配置)



Salesforce Service Cloud (通过无代码连接器框架)

支持者:Microsoft Corporation

Salesforce Service Cloud 数据连接器提供通过 REST API 将有关 Salesforce 操作事件的信息引入Microsoft Sentinel的功能。 连接器提供加速查看组织中事件的功能,并按小时增量获取最近活动的 事件日志文件

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SalesforceServiceCloudV3_CL

数据收集规则支持: 当前不支持

先决条件:

  • Salesforce Service Cloud API 访问权限:需要通过连接应用访问 Salesforce Service Cloud API。

设置说明:

连接到 Salesforce Service Cloud API 以开始收集Microsoft Sentinel中的事件日志

按照 在 Salesforce for OAuth 中创建连接应用 并为 OAuth 2.0 客户端凭据流配置连接应用 ,创建有权访问 Salesforce Service Cloud API 的连接应用。 通过这些说明,应获取使用者密钥和使用者机密。 对于 Salesforce“域名”,转到“设置”,在“快速查找”框中键入“我的域”,然后选择“我的域”以查看域详细信息。 请确保输入的域名没有尾部斜杠 (例如 https://your-domain.my.salesforce.com ,) 。 在以下表单中填写该信息。

注意: 注意: 解决方案版本 3.2.0 及更高版本使用 SalesforceServiceCloudV3_CL 表。 分析程序已相应地更新。

  • 数据连接器网格 (门户中配置)



Samsung Knox 资产智能

支持者:三星电子有限公司

Samsung Knox 资产智能数据连接器允许你集中移动安全事件和日志,以便使用工作簿模板查看自定义见解,并根据分析规则模板识别事件。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Samsung_Knox_Audit_CL

数据收集规则支持:工作区转换 DCR

先决条件:

设置说明:

此数据连接器使用 Microsoft 日志引入 API 将安全事件推送到 Samsung Knox 资产智能 (KAI) 解决方案Microsoft Sentinel。

步骤 1 - 创建并注册Entra应用程序

注意:此数据连接器可以支持基于证书或基于客户端机密的身份验证。 对于基于证书的身份验证,可以从 KAI 文档门户下载 Samsung CA 签名证书 (公钥) 。 对于基于客户端密码的身份验证,可以在Entra应用程序注册期间创建机密。 请确保在生成客户端密码值后立即复制它。

重要: 保存租户 (目录) ID 和客户端 (应用程序) ID 的值。 如果启用了基于客户端机密的身份验证,请保存与 Entra 应用关联的客户端机密 (机密值) 。

步骤 2 - 使用以下Azure 资源管理器 (ARM) 模板自动部署此数据连接器

重要:在部署数据连接器之前,请复制与 Microsoft Sentinel (Log Analytics) 实例关联的以下工作区名称。

  • 工作区名称: <在安装时提供的变量值>

  1. 单击下面的按钮安装 Samsung Knox Intelligence Solution。

    aka.ms\n2. 提供以下必填字段:Log Analytics 工作区名称、Log Analytics 工作区位置、Log Analytics 工作区订阅 (ID) 和 Log Analytics 工作区资源组。

步骤 3 - 获取Microsoft Sentinel数据收集详细信息

部署 ARM 模板后,导航到“数据收集规则” https://portal.azure.com/#browse/microsoft.insights%2Fdatacollectionrules,并将与不可变 ID (DCR) 和数据收集终结点关联的值保存 (DCE) 。

重要:若要启用端到端集成,在 Samsung Knox 资产智能门户中配置 (步骤 4) ,需要与 Microsoft Sentinel DCE 和 DCR 相关的信息。

确保步骤 1 中创建的Entra应用程序有权使用创建的 DCR,以便将数据发送到 DCE。 若要相应地分配权限,请参阅 /azure/azure-monitor/logs/tutorial-logs-ingestion-portal#assign-permissions-to-the-dcr。

步骤 4 - 连接到 Samsung Knox 资产智能解决方案以配置Microsoft Sentinel推送选择的 Knox 安全事件作为警报

  1. 登录到 Knox 资产智能管理门户 并导航到 “仪表板设置”;这在门户的右上角可用。

注意:确保登录用户有权访问“安全”和“管理仪表板视图和数据收集”权限。

  1. 单击“安全性”选项卡,查看Microsoft Sentinel集成和 Knox 安全日志的设置。

  2. 在“安全操作集成”页中,打开“启用Microsoft Sentinel集成”,并在必填字段中输入适当的值。

a. 根据使用的身份验证方法,请在注册Entra应用程序时参考步骤 1 中保存的信息。

b. 有关Microsoft Sentinel DCE 和 DCR,请参阅从步骤 3 保存的信息。

  1. 单击 “测试连接” ,并确保连接成功。

  2. 在保存之前,请通过选择“基本”或“高级配置”来配置 Knox 安全日志 (默认值:Essential) 。

  3. 若要完成Microsoft Sentinel集成,请单击“保存”。



SAP BTP

支持者:Microsoft Corporation

SAP Business Technology Platform (SAP BTP) 将数据管理、分析、人工智能、应用程序开发、自动化和集成汇集在一个统一的环境中。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SAPBTPAuditLog_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • 用于审核检索 API 的客户端 ID 和客户端密码:在 BTP 中启用 API 访问。

设置说明:

步骤 1 - SAP BTP 审核检索 API 的配置步骤

按照 SAP 提供的步骤操作 ,请参阅云 Foundry 环境中全局帐户的审核日志检索 API。 记下 审核检索 API URL (url) 、uaa.url (用户帐户和身份验证服务器 url) 以及关联的 uaa.clientid

注意: 可以使用 提供的工具批量加入 BTP 子帐户。

将事件从 SAP BTP 连接到Microsoft Sentinel

使用 OAuth 客户端凭据进行连接

子帐户

每行表示连接的子帐户

  • 数据连接器网格 (门户中配置)



SAP 企业威胁检测(云版)

受支持者:SAP

SAP 企业威胁检测云版 (ETD) 数据连接器支持将安全警报从 ETD 引入到Microsoft Sentinel,支持交叉关联、警报和威胁搜寻。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SAPETDAlerts_CL
SAPETDInvestigations_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • ETD 检索 API 的客户端 ID 和客户端密码:在 ETD 中启用 API 访问。

设置说明:

步骤 1 - SAP ETD 审核检索 API 的配置步骤

按照 SAP 提供的步骤 操作,请参阅 ETD 文档。记下 (审核检索 API URL) url、uaa.url (用户帐户和身份验证服务器 url) 以及关联的 uaa.clientid

注意: 可以按照 SAP 提供的步骤加入一个或多个 ETD 子帐户, 请参阅 ETD 文档。为每个子帐户添加连接。

提示: 使用 共享博客系列 获取其他信息。

将事件从 SAP ETD 连接到Microsoft Sentinel

使用 OAuth 客户端凭据进行连接

ETD 帐户

每行表示连接的 ETD 帐户

  • 数据连接器网格 (门户中配置)



SAP LogServ (RISE) ,S/4HANA Cloud 专用版

受支持者:SAP

SAP LogServ 是一项 SAP 企业云服务 (ECS) 服务,旨在收集、存储、转发和访问日志。 LogServ 集中来自已注册客户使用的所有系统、应用程序和 ECS 服务的日志。
主要功能包括:
准实时日志收集:能够作为 SIEM 解决方案集成到 Microsoft Sentinel。
LogServ 使用 SAP ECS 拥有的日志类型作为系统提供程序,对 Microsoft Sentinel 中的现有 SAP 应用程序层威胁监视和检测进行了补充。 这包括以下日志:SAP 安全审核日志 (AS ABAP) 、HANA 数据库、AS JAVA、ICM、SAP Web 调度程序、SAP 云连接器、OS、SAP 网关、第三方数据库、网络、DNS、代理、防火墙

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SAPLogServ_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。 通常需要Entra ID 应用程序开发人员角色或更高版本。
  • Microsoft Azure:对数据收集规则分配监视指标发布者角色的权限。 通常需要Azure RBAC 所有者或用户访问管理员角色。

设置说明:

1. 创建 ARM 资源并提供所需权限

我们将 (DCR) 和数据收集终结点 (DCE) 资源创建数据收集规则。 我们还将创建一个Microsoft Entra应用注册,并为其分配所需的权限。

自动部署Azure资源 单击“部署推送连接器资源”将触发 DCR 和 DCE 资源的创建。 然后,它将使用客户端密码创建Microsoft Entra应用注册,并授予对 DCR 的权限。 此设置允许使用 OAuth v2 客户端凭据将数据安全地发送到 DCR。

2. 在 SAP LogServ 中维护数据收集终结点详细信息和身份验证信息

与 SAP LogServ 管理员共享数据收集终结点 URL 和身份验证信息,以配置 SAP LogServ 以将数据发送到数据收集终结点。

此博客系列中了解详细信息。

  • 使用此值在 LogIngestionAPI 凭据中配置为租户 ID。: <在安装时提供的变量值>
  • Entra应用程序 ID:<在安装时提供的变量值>
  • Entra应用程序机密:<在安装时提供的变量值>
  • 使用此值在部署 IFlow 时配置 LogsIngestionURL 参数。: <在安装时提供的变量值>
  • DCR 不可变 ID: <在安装时提供的变量值>



SAP S/4HANA Cloud Public Edition

受支持者:SAP

SAP S/4HANA Cloud Public Edition (GROW 与 SAP) 数据连接器配合使用,可将 SAP 的安全审核日志引入 sap Microsoft Sentinel 解决方案,支持交叉关联、警报和威胁搜寻。 正在寻找替代身份验证机制? 请参阅 此处

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ABAPAuditLog

数据收集规则支持:工作区转换 DCR

先决条件:

  • 用于审核检索 API 的客户端 ID 和客户端密码:在 BTP 中启用 API 访问。
  • sap 内容包Microsoft Sentinel (60 多个分析规则、工作簿、分析程序等) :从Microsoft Sentinel内容中心部署。

设置说明:

步骤 1 - SAP S/4HANA Cloud Public Edition 的配置步骤

若要连接到 SAP S/4HANA Cloud Public Edition,需要:

  1. 为通信方案配置通信安排 SAP_COM_0750

  2. SAP S/4HANA Cloud Public Edition 租户 API URL

  3. SAP S/4HANA 云系统的有效通信用户 (用户名和密码)

  4. 通过 OData 服务访问审核日志数据的适当授权

注意: 此连接器支持基本身份验证。 正在寻找替代身份验证机制? 请参阅 此处

将事件从 SAP S/4HANA Cloud Public Edition 连接到 sap Microsoft Sentinel 解决方案

使用基本身份验证进行连接

S/4HANA Cloud Public Edition 连接

每行表示连接的 S/4HANA 云公共版系统

  • 数据连接器网格 (门户中配置)



适用于 SAP 的 SecurityBridge 解决方案

支持者:SecurityBridge

SecurityBridge 通过与 Microsoft Sentinel 无缝集成来增强 SAP 安全性,从而跨 SAP 环境实现实时监视和威胁检测。 此集成允许安全运营中心 (SOC) 将 SAP 安全事件与其他组织数据合并,从而提供威胁形势的统一视图。 SecurityBridge 利用 AI 支持的分析和Microsoft Security Copilot,识别 SAP 应用程序中复杂的攻击模式和漏洞,包括 ABAP 代码扫描和配置评估。 该解决方案支持跨复杂 SAP 环境(无论是本地、云中还是混合环境)的可缩放部署。 通过缩小 IT 和 SAP 安全团队之间的差距,SecurityBridge 使组织能够主动检测、调查和响应威胁,从而增强整体安全态势。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ABAPAuditLog

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。 通常需要Entra ID 应用程序开发人员角色或更高版本。
  • Microsoft Azure:对数据收集规则分配监视指标发布者角色的权限。 通常需要Azure RBAC 所有者或用户访问管理员角色。

设置说明:

1. 创建 ARM 资源并提供所需权限

我们将 (DCR) 和数据收集终结点 (DCE) 资源创建数据收集规则。 我们还将创建一个Microsoft Entra应用注册,并为其分配所需的权限。

自动部署Azure资源 单击“部署推送连接器资源”将触发 DCR 和 DCE 资源的创建。 然后,它将使用客户端密码创建Microsoft Entra应用注册,并授予对 DCR 的权限。 此设置允许使用 OAuth v2 客户端凭据将数据安全地发送到 DCR。

2. 在 SecurityBridge 中维护数据收集终结点详细信息和身份验证信息

与 SecurityBridge 管理员共享数据收集终结点 URL 和身份验证信息,以配置 Securitybridge 以将数据发送到数据收集终结点。

从知识库页面了解详细信息 https://abap-experts.atlassian.net/wiki/spaces/SB/pages/4099309579/REST+Push+Interface

  • 使用此值在 LogIngestionAPI 凭据中配置为租户 ID。: <在安装时提供的变量值>
  • Entra应用程序 ID:<在安装时提供的变量值>
  • Entra应用程序机密:<在安装时提供的变量值>
  • 使用此值在部署 IFlow 时配置 LogsIngestionURL 参数。: <在安装时提供的变量值>
  • DCR 不可变 ID: <在安装时提供的变量值>
  • SAP Stream ID 的Sentinel:<在安装时提供的变量值>
  • SecurityBridge_CL Stream ID:<在安装时提供的变量值>



Semperis Lightning 日志

支持者:Semperis

Semperis Lightning 连接器使用 Azure Functions 将 Semperis Lightning 标识安全数据引入Microsoft Sentinel。 连接器部署Azure函数,并将数据收集到自定义 Log Analytics 表中,以便进行调查和搜寻威胁。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
LightningTier0Nodes_CL
LightningAttackPaths_CL
LightningIOEResults_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Semperis Lightning API 凭据:需要 Semperis Lightning API 密钥 和所选 区域 (na 或 eu) 才能对 Semperis Lightning 的连接器进行身份验证。

设置说明:

注意:此连接器使用 Azure Functions 连接到 Semperis Lightning 并将数据拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 安全地将工作区和 API 授权密钥 () 存储在 Azure 密钥保管库 中。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

在部署连接器之前,请确保工作区已添加到 Microsoft Sentinel。

步骤 1 - 配置 Semperis Lightning 的访问权限

  1. 登录到 Semperis Lightning 租户。
  2. 创建或检索用于连接器访问的有效 Semperis API 密钥
  3. 确认 (na for 北美 或 eu for Europe) 部署期间使用的 Semperis 区域值。

步骤 2 - 部署“Semperis Lightning Logs”连接器和关联的 Azure 函数

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

步骤 3 - 设置连接器参数

  1. 选择首选 订阅和现有资源组
  2. 输入属于资源组的现有 Log Analytics 工作区资源 ID
  3. 单击下一个
  4. 输入 Semperis API 密钥并选择“Semperis 区域”。
  5. (可选)调整 连接器计划 (默认值:每 1 小时) 。
  6. 查看设置,然后单击“ 创建”。



通过无代码连接器框架 (SentinelOne)

支持者:Microsoft Corporation

SentinelOne 数据连接器允许将日志从 SentinelOne API 引入Microsoft Sentinel。 数据连接器基于无代码连接器框架Microsoft Sentinel构建。 它使用 SentinelOne API 提取日志,并支持基于 DCR 的引入时间转换 ,该转换将收到的安全数据分析为自定义表,以便查询无需再次分析它,从而获得更好的性能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SentinelOneActivities_CL
SentinelOneAgents_CL
SentinelOneGroups_CL
SentinelOneThreats_CL
SentinelOneAlerts_CL

数据收集规则支持:工作区转换 DCR

设置说明:

SentinelOne API 的配置步骤按照说明获取凭据。 还可以按照 指南 生成 API 密钥。

  1. 检索 SentinelOne 管理 URL 1.1。 使用管理员用户凭据 1.2 登录到 SentinelOne [管理控制台]。 在 [管理控制台] 中,复制上面不带 URL 路径的 URL 链接。

  2. 检索 API 令牌 2.1。 使用管理员用户凭据 2.2 登录到 SentinelOne [管理控制台]。 在 [管理控制台]中,单击“[设置] 2.3”。 在“[设置]”视图中,单击“[用户]。 2.4. 在“[用户]”页中,单击“[服务用户] -> [操作] -> [创建新服务用户]。 2.5. 按网站) 选择[到期日期]和[范围] (,然后单击“创建用户”。 2.6. 创建 [服务用户] 后,从页面复制 [API 令牌] ,然后按 [保存]

  • SentinelOne 管理 URL: (https://example.sentinelone.net/)
  • API 令牌: (API 令牌)
  • 启用/禁用连接



Seraphic Web Security

支持者:Seraphic Security

Seraphic Web Security 数据连接器提供将 Seraphic Web Security 事件和警报引入Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SeraphicWebSecurity_CL

数据收集规则支持: 当前不支持

先决条件:

  • Seraphic API 密钥:Microsoft Sentinel连接到 Seraphic Web Security 租户的 API 密钥。 若要获取租户的此 API 密钥,请访问 Seraphic 控制台中的“集成”页。

设置说明:

连接 Seraphic Web Security

请为Microsoft Sentinel插入集成名称、Seraphic 集成 URL 和工作区名称:



Silverfort 管理员 控制台

支持者:Silverfort

Silverfort ITDR 管理员控制台连接器解决方案允许引入 Silverfort 事件并登录到Microsoft Sentinel。 Silverfort 使用通用事件格式 (CEF) 提供基于 syslog 的事件和日志记录。 通过将 Silverfort ITDR 管理员 控制台 CEF 数据转发到 Microsoft Sentinel,可以利用 Sentinels 的搜索 & Silverfort 数据的相关、警报和威胁情报扩充。 有关详细信息,请联系 Silverfort 或参阅 Silverfort 文档。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CommonSecurityLog

数据收集规则支持:工作区转换 DCR

设置说明:

1. Linux Syslog 代理配置

安装和配置 Linux 代理,以收集 CEF) Syslog 消息 (通用事件格式,并将其转发到 Microsoft Sentinel。

请注意,来自所有区域的数据将存储在所选工作区中

1.1 选择或创建Linux计算机

选择或创建Linux计算机,Microsoft Sentinel将用作安全解决方案之间的代理,Microsoft Sentinel此计算机可以位于本地环境、Azure或其他云中。

1.2 在Linux计算机上安装 CEF 收集器

在 Linux 计算机上安装 Microsoft Monitoring Agent,并将计算机配置为侦听必要的端口并将消息转发到 Microsoft Sentinel 工作区。 CEF 收集器在端口 514 TCP 上收集 CEF 消息。

  1. 使用以下命令确保计算机上具有 Python:python -version。

  2. 必须在计算机上具有提升的权限 (sudo) 。

  • 运行以下命令以安装和应用 CEF 收集器:: <在安装时提供的变量值>

2. 将通用事件格式 (CEF) 日志转发到 Syslog 代理

设置安全解决方案,以 CEF 格式将 Syslog 消息发送到代理计算机。 请确保将日志发送到计算机 IP 地址上的端口 514 TCP。

3.验证连接

按照说明验证连接性:

打开 Log Analytics 以检查是否使用 CommonSecurityLog 架构收到日志。

连接可能需要大约 20 分钟才能将数据流式传输到工作区。

如果未收到日志,请运行以下连接验证脚本:

  1. 使用以下命令确保计算机上具有 Python:python -version

  2. 必须在计算机上具有提升的权限 (sudo)

  • 运行以下命令以验证连接性:: <在安装时提供的变量值>

**4. 保护计算机 **

确保根据组织的安全策略配置计算机的安全性

了解更多信息 >



SlackAudit (通过无代码连接器框架)

支持者:Microsoft Corporation

SlackAudit 数据连接器提供通过 REST API 将 Slack 审核日志引入Microsoft Sentinel的功能。 有关详细信息,请参阅 API 文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SlackAuditV2_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • UserName、SlackAudit API 密钥 & 操作类型:若要生成访问令牌,请在 Slack 中创建一个新应用程序,然后添加必要的范围并配置重定向 URL。 有关生成访问令牌、用户名和操作名称限制的详细说明,请参阅 链接

设置说明:

**将 SlackAudit 连接到 Microsoft Sentinel

**

若要将数据从 SlackAudit 引入到Microsoft Sentinel,必须单击下面的“添加域”按钮,然后弹出一个弹出窗口来填写详细信息,提供所需的信息并单击“连接”。 可以看到在网格中连接的用户名和操作。

  • 数据连接器网格 (门户中配置)



通过无代码连接器框架) 的 Snowflake (

支持者:Microsoft Corporation

Snowflake 数据连接器提供使用 Snowflake SQL API 引入 Snowflake 登录历史记录日志查询历史记录日志用户授予日志角色授予日志加载历史记录日志具体化视图刷新历史记录日志角色日志表日志表存储指标日志用户登录到 Microsoft Sentinel的功能。 有关详细信息,请参阅 Snowflake SQL API 文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SnowflakeLogin_CL
SnowflakeQuery_CL
SnowflakeUserGrant_CL
SnowflakeRoleGrant_CL
SnowflakeLoad_CL
SnowflakeMaterializedView_CL
SnowflakeRoles_CL
SnowflakeTables_CL
SnowflakeTableStorageMetrics_CL
SnowflakeUsers_CL

数据收集规则支持:工作区转换 DCR

设置说明:

将 Snowflake 连接到 Microsoft Sentinel

注意:若要确保每个字段的单独列中显示数据,请使用 Snowflake () 函数执行分析程序

若要从 Snowflake 收集数据,需要提供以下资源

  1. 帐户标识符 若要从 Snowflake 收集数据,需要 Snowflake 帐户标识符。

  2. 编程访问令牌 若要从 Snowflake 收集数据,需要 Snowflake 编程访问令牌

有关检索帐户标识符和编程访问令牌的详细说明,请参阅 连接器教程

  • 数据连接器网格 (门户中配置)



SOC Prime 平台审核日志数据连接器

支持者:SOC Prime

SOC Prime Audit Logs 数据连接器允许将日志从 SOC Prime Platform API 引入Microsoft Sentinel。 数据连接器基于无代码连接器框架Microsoft Sentinel构建。 它使用 SOC Prime Platform API 提取 SOC Prime 平台审核日志,并支持基于 DCR 的 引入时间转换 ,该转换将接收的安全数据分析为自定义表,从而获得更好的性能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SOCPrimeAuditLogs_CL

数据收集规则支持:工作区转换 DCR

设置说明:

SOC Prime Platform API 的配置步骤按照说明获取凭据。 还可以按照 本指南 生成个人 API 密钥。

检索 API 密钥

  1. 登录到 SOC Prime 平台
  2. 单击[帐户]图标 -> [平台设置] -> [API]
  3. 单击“[添加新密钥]
  4. 在显示的模式中,为密钥指定一个有意义的名称、设置到期日期和密钥提供访问权限的产品 API
  5. 单击 [生成]
  6. 复制密钥并将其保存在安全的位置。 关闭此模式后,将无法再次查看它
  • SOC Prime API 密钥: (API 密钥)
  • 启用/禁用连接



Sonrai 数据连接器

受支持者:N/A

使用此数据连接器与 Sonrai Security 集成,并获取直接发送到Microsoft Sentinel的 Sonrai 票证。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Sonrai_Tickets_CL

数据收集规则支持: 当前不支持

设置说明:

Sonrai 安全数据连接器

  1. 导航到 Sonrai Security 仪表板。
  2. 在左下面板上,单击“集成”。
  3. 从可用集成列表中选择Microsoft Sentinel。
  4. 使用以下提供的信息填写表单。
  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



Sophos Endpoint Protection (通过无代码连接器框架)

支持者:Microsoft Corporation

Sophos Endpoint Protection 数据连接器提供将 Sophos 事件Sophos 警报引入Microsoft Sentinel的功能。 有关详细信息,请参阅 Sophos Central 管理员文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SophosEPEvents_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Sophos Endpoint Protection API 访问权限:需要通过服务主体访问 Sophos Endpoint Protection API。

设置说明:

连接到 Sophos Endpoint Protection API 以开始收集Microsoft Sentinel中的事件和警报日志

按照 Sophos 说明 创建有权访问 Sophos API 的服务主体。 它将需要服务主体 ReadOnly 角色。 通过这些说明,应获取客户端 ID、客户端密码、租户 ID 和数据区域。 用该信息填充表单。

  • Sophos 租户 ID: (Sophos 租户 ID)
  • Sophos 租户数据区域: (eu01、eu02、us01、us02 或 us03)
  • 数据连接器网格 (门户中配置)



Symantec 集成网络防御交换

支持者:Microsoft Corporation

Symantec ICDx 连接器使你可以轻松地将 Symantec 安全解决方案日志与Microsoft Sentinel连接,以查看仪表板、创建自定义警报和改进调查。 这使你可以更深入地了解组织的网络,并改进安全操作功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SymantecICDx_CL

数据收集规则支持: 当前不支持

设置说明:

配置并连接 Symantec ICDx

  1. 在 ICDx 导航栏上,单击“ 配置”。
  2. “配置”屏幕顶部,单击“转发器”,在“Microsoft Sentinel (Log Analytics) ”旁边,单击“添加”。
  3. 在打开Microsoft Sentinel (Log Analytics) 窗口中,单击“显示高级”。 请参阅文档以设置高级功能
  4. 请确保为转发器设置名称,并在“Azure目标”下设置以下必填字段:
  • 工作区 ID:粘贴Microsoft Sentinel门户连接器页中的工作区 ID。
  • 主键:粘贴Microsoft Sentinel门户连接器页中的主密钥。
  • 自定义日志名称:在 Microsoft Azure 门户 Log Analytics 工作区中键入要将事件转发到的自定义日志名称。 默认值为 SymantecICDx。
  1. 单击“保存”并启动转发器,转到“选项更多” > ,然后单击“ 启动”。
  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



Synqly 集成连接器

支持者:Synqly

Synqly 连接器提供使用 Azure 日志引入 API 将安全事件从 Synqly 集成推送到Microsoft Sentinel的功能。 事件自动规范化为 ASIM (高级安全信息模型) 表,以用于Microsoft Sentinel分析、工作簿和搜寻查询。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
union ASimAuditEventLogs, ASimAuthenticationEventLogs, ASimDhcpEventLogs, ASimDnsActivityLogs, ASimFileEventLogs, ASimNetworkSessionLogs, ASimProcessEventLogs, ASimRegistryEventLogs, ASimUserManagementActivityLogs, ASimWebSessionLogs

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft Entra ID:应用程序开发人员角色 (或更高版本) ,用于创建应用注册。
  • Microsoft Azure:资源组的所有者或用户访问管理员角色,用于部署 DCR 并分配监视指标发布者角色。

设置说明:

1. 创建 ARM 资源并提供所需权限

此连接器支持基于推送的安全事件从 Synqly 集成引入到Microsoft Sentinel。 事件自动规范化为 ASIM (高级安全信息模型) 表。

“部署连接器资源”单击“部署”将创建数据收集规则 (DCR) 、数据收集终结点 (DCE) ,并Entra应用程序,并具有将数据安全发送到Microsoft Sentinel所需的权限。

2. 根据用例) 授予其他权限 (

可能需要其他角色,具体取决于你计划如何将 Synqly 与 Microsoft Sentinel 配合使用。

接收器连接器 (只写) :无需其他权限。 SIEM 连接器 (读/写) :分配Microsoft Sentinel参与者 角色到 Entra 应用程序通过 log Analytics 工作区中的 Azure UI。

有关详细的设置指南 ,请参阅 Synqly 文档

3. 将日志推送到工作区

为 Synqly 集成提供这些参数。 Synqly 服务将自动处理数据引入的技术详细信息,包括将事件格式化为 10 个受支持的 ASIM 架构之一, (身份验证、AuditEvent、Dhcp、Dns、FileEvent、NetworkSession、ProcessEvent、RegistryEvent、UserManagement、WebSession) 。

重要提示:Azure以无提示方式删除架构类型不受支持的事件。 如果未显示预期数据,请通过 Synqly 集成提供程序验证是否使用上面列出的某个受支持的架构类型发送事件。

  • 租户 ID (目录 ID) : <在安装时提供的变量值>
  • Entra应用注册应用程序 ID:<在安装时提供的变量值>
  • Entra应用注册机密:<在安装时提供的变量值>
  • 数据收集终结点 URI: <在安装时提供的变量值>
  • 数据收集规则不可变 ID: <在安装时提供的变量值>
  • Stream名称:<在安装时提供的变量值>



通过 AMA 的 Syslog

支持者:Microsoft Corporation

Syslog 是一种常见的事件日志记录协议,Linux。 应用程序将发送可能存储在本地计算机上或传递到 Syslog 收集器的消息。 安装 Linux 代理后,它会配置本地 Syslog 守护程序以将消息转发到代理。 然后,代理会将消息发送到工作区。

了解更多信息 >

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Syslog

数据收集规则支持:工作区转换 DCR

TacitRed 泄露的凭据

支持者:Data443 Risk Mitigation, Inc.

使用通用连接器框架 (CCF) 引入 TacitRed 中泄露的凭据发现结果。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
TacitRed_Findings_CL

数据收集规则支持: 当前不支持

先决条件:

  • TacitRed API 密钥:存储在 Azure 密钥保管库 中或在部署时提供的 API 密钥。

设置说明:

连接 TacitRed 泄露的凭据

若要启用 TacitRed 连接器,请在下方提供 API 密钥,然后单击“连接”。

为了增强安全性,可以启用密钥保管库集成来存储和检索 API 密钥。

  • TacitRed API 密钥: (输入 TacitRed API 密钥)
  • 启用/禁用连接



Talon Insights

支持者:Talon Security

利用 Talon 安全日志连接器,可以轻松地将 Talon 事件和审核日志与Microsoft Sentinel连接起来,以查看仪表板、创建自定义警报并改进调查。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Talon_CL

数据收集规则支持: 当前不支持

设置说明:

请注意以下值,并按照此处的说明将 Talon 安全事件和审核日志与Microsoft Sentinel连接。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



Tanium 的 CCF 推送连接器

支持者:Tanium Inc.

此数据馈送Microsoft Sentinel工作簿和 playbook,以便分析师可以扩充事件、可视化终结点风险和运行状况,并自动执行调查和响应工作流。 有关 Tanium 的更多详细信息,请访问 https://www.tanium.com/contact-us/

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
TaniumComplyCompliance_CL
TaniumComplyVulnerabilities_CL
TaniumDefenderHealth_CL
TaniumDiscoverUnmanagedAssets_CL
TaniumHighUptime_CL
TaniumPatchCoverageStatus_CL
TaniumPatchListApplicability_CL
TaniumPatchListCompliance_CL
TaniumSCCMClientHealth_CL
TaniumThreatResponse_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。
  • Microsoft Azure:对数据收集规则 (DCR) 分配监视指标发布者角色的权限。

设置说明:

1. 创建 ARM 资源并提供所需权限

此连接器使 Tanium 服务器能够通过 Azure Monitor 引入 API 直接将基本清单数据推送到Microsoft Sentinel。

自动配置和安全数据引入,Entra应用程序单击“部署”将触发创建 Log Analytics 表和数据收集规则 (DCR) 。 然后,它将创建一个Entra应用程序,将 DCR 链接到该应用程序,并在应用程序中设置输入的机密。 此设置允许使用 Entra 令牌将 Tanium 数据安全地发送到 DCR。

2.配置 Tanium 连接

使用以下参数配置 Tanium 连接以将数据推送到工作区。

  • 租户 ID (目录 ID) : <在安装时提供的变量值>
  • Entra应用注册应用程序 ID:<在安装时提供的变量值>
  • Entra应用注册机密:<在安装时提供的变量值>
  • 数据收集终结点 URI: <在安装时提供的变量值>
  • 数据收集规则不可变 ID: <在安装时提供的变量值>
  • 符合性发现日志Stream名称:<在安装时提供的变量值>
  • 合规性漏洞日志Stream名称:<在安装时提供的变量值>
  • Defender 运行状况日志Stream名称:<在安装时提供的变量值>
  • 发现非托管资产运行状况日志Stream名称:<安装时提供的变量值>
  • 高运行时间日志Stream名称:<在安装时提供的变量值>
  • 修补程序覆盖率状态日志Stream名称:<在安装时提供的变量值>
  • 修补程序列表适用性日志Stream名称:<在安装时提供的变量值>
  • 修补程序列表符合性日志Stream名称:<在安装时提供的变量值>
  • SCCM客户端运行状况日志Stream名称:<在安装时提供的变量值>
  • 威胁响应警报日志Stream名称:<在安装时提供的变量值>

3. 在 Tanium 中创建连接

在 Azure 中成功部署数据连接器后,请在连接模块中的 Tanium 服务器中创建所需的连接。 有关 Connect 模块的详细信息,请参阅 Tanium 帮助

  1. 下载 连接导入文件
  2. 将占位符替换为上面显示的参数。
  3. 在 Tanium 服务器中,打开“连接模块”。
  4. 使用导入功能导入新连接。



使用 Azure Functions) 的 Cymru Scout 数据连接器团队 (

支持者:Team Cymru

TeamCymruScout 数据连接器允许用户将 Team Cymru Scout IP、域和帐户使用情况数据引入Microsoft Sentinel进行扩充。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Cymru_Scout_Domain_Data_CL
Cymru_Scout_IP_Data_Foundation_CL
Cymru_Scout_IP_Data_Details_CL
Cymru_Scout_IP_Data_Communications_CL
Cymru_Scout_IP_Data_PDNS_CL
Cymru_Scout_IP_Data_Fingerprints_CL
Cymru_Scout_IP_Data_OpenPorts_CL
Cymru_Scout_IP_Data_x509_CL
Cymru_Scout_IP_Data_Summary_Details_CL
Cymru_Scout_IP_Data_Summary_PDNS_CL
Cymru_Scout_IP_Data_Summary_OpenPorts_CL
Cymru_Scout_IP_Data_Summary_Certs_CL
Cymru_Scout_IP_Data_Summary_Fingerprints_CL
Cymru_Scout_Account_Usage_Data_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • 向已注册的应用程序分配角色的权限:需要向Microsoft Entra ID中注册的应用程序分配角色的权限。
  • 团队 Cymru Scout 凭据/权限:团队 Cymru Scout 帐户凭据 (用户名、密码) 是必需的。

设置说明:

注意:此连接器使用 Azure Functions 连接到 Team Cymru Scout API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - 创建团队 Cymru Scout API 密钥的步骤

按照这些说明创建团队 Cymru Scout API 密钥。

  1. 请参阅 API 密钥 文档,生成 API 密钥以用作授权的替代形式。

步骤 2 - Microsoft Entra ID中应用程序的应用注册步骤

此集成需要在 Azure 门户 中注册应用。 按照本部分中的步骤在 Microsoft Entra ID 中创建新应用程序:

  1. 登录 Azure 门户
  2. 搜索并选择“Microsoft Entra ID”。
  3. “管理”下,选择“应用注册>新注册”。
  4. 输入应用程序的显示 名称
  5. 选择“ 注册 ”以完成初始应用注册。
  6. 注册完成后,Azure 门户将显示应用注册的“概述”窗格。 会看到 应用程序 (客户端) ID 和租户 ID。 需要客户端 ID 和租户 ID 作为 TeamCymruScout 数据连接器执行的配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app

步骤 3 - 在 Microsoft Entra ID 中添加应用程序的客户端密码

客户端密码有时称为应用程序密码,是执行 TeamCymruScout 数据连接器所需的字符串值。 按照本部分中的步骤创建新的客户端密码:

  1. 在“Azure 门户”中,在“应用注册”中选择应用程序。
  2. 选择 “证书”& 机密 > “”客户端机密 > “”新建客户端密码”。
  3. 添加客户端密码的说明。
  4. 选择机密的过期时间或指定自定义生存期。 限制为 24 个月。
  5. 选择“添加”。
  6. 记录要在客户端应用程序代码中使用的机密值。 离开此页面后,永远不会再次显示此机密值。 机密值作为执行 TeamCymruScout 数据连接器的配置参数是必需的。

参考链接:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步骤 4 - 在 Microsoft Entra ID 中获取应用程序的对象 ID

创建应用注册后,请按照此部分中的步骤获取对象 ID:

  1. 转到Microsoft Entra ID
  2. 从左侧菜单中选择“ 企业应用程序 ”。
  3. 在列表中查找新创建的应用程序, (可以按) 提供的名称进行搜索。
  4. 单击应用程序。
  5. 在“概述”页上,复制 “对象 ID”。这是 ARM 模板角色分配所需的 AzureEntraObjectId

步骤 5 - 在 Microsoft Entra ID 中为应用程序分配参与者角色

按照本部分中的步骤分配角色:

  1. 在Azure 门户转到“资源组”,然后选择资源组。
  2. 从左侧面板转到 访问控制 (IAM)
  3. 单击“ 添加”,然后选择“添加角色分配”。
  4. 选择 “参与者” 作为角色,然后单击“下一步”。
  5. “分配访问权限”中,选择 。User, group, or service principal
  6. 单击“ 添加成员”,然后键入已创建的应用名称 并选择它。
  7. 现在,单击“ 审阅 + 分配”,然后再次单击“审阅 + 分配”。

参考链接:/azure/role-based-access-control/role-assignments-portal

步骤 6 - 在监视列表中上传包含索引器的 csv

按照本部分中的步骤上传包含监视列表中的指标的 csv:

  1. 在Azure 门户转到Microsoft Sentinel并选择工作区。
  2. 从左侧面板转到 “配置”部分下的“监视列表 ”。
  3. 单击“ TeamCymruScoutDomainData”,然后从“更新监视列表”中选择“批量更新”。
  4. 在“上传文件输入”中上传包含域指示器的 csv 文件,然后单击“下一步:查看+创建”。
  5. 验证成功后,单击“ 更新”。
  6. 按照相同的步骤更新 Ip 指示器的 TeamCymruScoutIPData 监视列表。

参考链接:批量更新监视列表

步骤 7 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 TeamCymruScout 数据连接器之前,请准备好工作区 ID 和工作区主密钥 (可从以下随时可用的) 复制,以及 TeamCymruScout 凭据。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 TeamCymruScout 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入以下信息:Location WorkspaceName 函数名称 TeamCymruScoutBaseURL AuthenticationType 用户名 APIKey IPValues DomainValues APIType AzureClientId AzureClientSecret TenantId AzureEntraObjectId IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 TeamCymruScout 数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 CymruScoutXXXXX) 。

    e. 选择运行时: 选择 Python 3.12 或更高版本。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的值 (区分大小写) :CymruScoutBaseURL AuthenticationType TeamCymruScoutUsername TeamCymruScoutPassword APIKey IPValues DomainValues APIType AZURE_CLIENT_ID AZURE_CLIENT_SECRET AZURE_TENANT_ID IPTableName DomainTableName AccountUsageTableName Schedule AccountUsageSchedule LogLevel AZURE_DATA_COLLECTION_ENDPOINT AZURE_DATA_COLLECTION_RULE_ID_MAIN_TABLES AZURE_DATA_COLLECTION_RULE_ID_SUB_表

  12. 输入所有应用程序设置后,单击“ 保存”。



Tenable Identity Exposure

支持者:Tenable

Tenable Identity Exposure 连接器允许将暴露指示器、攻击指示器和跟踪流日志引入Microsoft Sentinel。借助不同的工作簿和数据分析器,可以更轻松地操作日志和监视 Active Directory 环境。 借助分析模板,可以自动响应不同的事件、暴露和攻击。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Tenable_IE_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • 访问 TenableIE 配置:配置 syslog 警报引擎的权限

设置说明:

此数据连接器依赖于基于 Kusto 函数的afad_parser,以按预期方式使用 Microsoft Sentinel 解决方案进行部署。

1.配置 Syslog 服务器

首先需要 一个 Linux Syslog 服务器,TenableIE 将向其发送日志。通常可以在 Ubuntu 上运行 rsyslog。 然后,可以根据需要配置此服务器,但建议能够在单独的文件中输出 TenableIE 日志。

配置 rsyslog 以接受来自 TenableIE IP 地址的日志。 选择下列选项之一:

选项 1:使用 AllowedSender 指令

此配置限制哪些主机可以在网络级别将日志发送到 syslog 服务器。 它更安全,因为它在处理未经授权的连接之前会拒绝这些连接。

  1. 下载配置文件: 80-tenable-allowedsender.conf
  2. 在 sudo 模式下运行: sudo -i
  3. 设置 TenableIE IP 地址: export TENABLE_IE_IP={Enter your IP address}
  4. 从下载的配置文件执行命令
  5. 重启 rsyslog: systemctl restart rsyslog

选项 2:按源 IP (筛选日志 对于具有多个 syslog 源) 的环境

此配置接受所有传入日志,但仅处理来自指定 TenableIE IP 地址的日志。 如果有多个 syslog 服务器或应用程序将日志发送到同一 syslog 服务器,并且希望仅选择性地处理 TenableIE 日志,则它特别有用。

  1. 下载配置文件: 80-tenable-filter.conf
  2. 在 sudo 模式下运行: sudo -i
  3. 设置 TenableIE IP 地址: export TENABLE_IE_IP={Enter your IP address}
  4. 从下载的配置文件执行命令
  5. 重启 rsyslog: systemctl restart rsyslog

2. 安装并载入 Linux 的 Microsoft 代理

OMS 代理将接收 TenableIE syslog 事件并将其发布到 Microsoft Sentinel :

选择代理的安装位置:

在 Azure Linux 虚拟机上安装代理

选择要安装代理的计算机,然后单击“ 连接”。

  • 安装代理: <在安装时提供的变量值>

在非Azure Linux计算机上安装代理

在相关计算机上下载代理,并按照说明进行操作。

  • 安装代理: <在安装时提供的变量值>

3. 检查 Syslog 服务器上的代理日志

tail -f /var/opt/microsoft/omsagent/log/omsagent.log

4.配置 TenableIE 以将日志发送到 Syslog 服务器

TenableIE 门户中,依次转到“系统”、“配置”“Syslog”。 从那里,可以针对 Syslog 服务器创建新的 Syslog 警报。

完成此操作后,检查日志正确收集到服务器上的单独文件中 (执行此操作,则可以在 TenableIE) 中使用 Syslog 警报配置中的“测试配置”按钮。 如果使用了快速入门模板,则默认情况下,Syslog 服务器将侦听 UDP 中的端口 514 和 TCP 中的端口 1514,而不侦听 TLS。

注意:步骤 1 中的两个配置选项都配置 syslog 服务器,以侦听 UDP 和 TCP 连接的端口 514。

5.配置自定义日志

配置代理以收集日志。

  1. 在Microsoft Sentinel中,转到“配置”->“设置”->“工作区设置”-“>自定义日志”。
  2. 单击“ 添加自定义日志”。
  3. 从运行 Syslog 服务器的Linux计算机上传示例TenableIE.log Syslog 文件,然后单击“下一步”
  4. 将记录分隔符设置为 “新建行”(如果还没有大小写),然后单击“下一步”。
  5. 选择“Linux”并输入 Syslog 文件的文件路径,依次单击“+”和“下一步”。 如果具有 Tenable 版本 <3.1.0,则文件/var/log/TenableIE.log的默认位置还必须添加此 linux 文件位置 /var/log/AlsidForAD.log
  6. “名称”设置为“Tenable_IE_CL (Azure 自动在名称末尾添加_CL,必须只有一个,请确保名称不是Tenable_IE_CL_CL) 。
  7. 单击“ 下一步”,你将看到简历,然后单击“创建”

6. 享受!

现在应该能够接收 Tenable_IE_CL 表中的日志,日志数据可以使用 afad_parser () 函数进行分析,该函数供所有查询示例、工作簿和分析模板使用。



使用 Azure Functions) 的可得漏洞管理 (

支持者:Tenable

TVM 数据连接器提供使用 TVM REST API 将资产、漏洞、合规性、WAS 资产和 WAS 漏洞数据引入Microsoft Sentinel的功能。 有关详细信息,请参阅 API 文档 。 连接器提供获取数据的功能,这些数据有助于检查潜在的安全风险、深入了解计算资产、诊断配置问题等

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Tenable_VM_Asset_CL
Tenable_VM_Vuln_CL
Tenable_VM_Compliance_CL
Tenable_WAS_Asset_CL
Tenable_WAS_Vuln_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:访问 Tenable REST API 需要 TenableAccessKeyTenableSecretKey 。 有关详细信息,请参阅 API。 检查所有 要求,并按照获取凭据的说明 进行操作。

设置说明:

注意:此连接器使用 Azure Durable Functions 连接到 TenableVM API,将资产漏洞符合性 ((如果选定) 定期)拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意:此数据连接器依赖于用于漏洞的 TenableVM 分析器和基于 Kusto 函数的资产的 TenableVM 分析程序,以便使用 Microsoft Sentinel 解决方案进行部署。

步骤 1 - TenableVM 的配置步骤

按照说明 获取所需的 API 凭据。

步骤 2 - Microsoft Entra ID中应用程序的应用注册步骤

此集成需要在 Azure 门户 中注册应用。 按照本部分中的步骤在 Microsoft Entra ID 中创建新应用程序:

  1. 登录 Azure 门户
  2. 搜索并选择“Microsoft Entra ID”。
  3. “管理”下,选择“应用注册>新注册”。
  4. 输入应用程序的显示 名称
  5. 选择“ 注册 ”以完成初始应用注册。
  6. 注册完成后,Azure 门户将显示应用注册的“概述”窗格。 会看到 应用程序 (客户端) ID 和租户 ID。 需要客户端 ID 和租户 ID 作为执行 TenableVM 数据连接器的配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app

步骤 3 - 在 Microsoft Entra ID 中添加应用程序的客户端密码

客户端密码有时称为应用程序密码,是执行 TenableVM 数据连接器所需的字符串值。 按照本部分中的步骤创建新的客户端密码:

  1. 在“Azure 门户”中,在“应用注册”中选择应用程序。
  2. 选择 “证书”& 机密 > “”客户端机密 > “”新建客户端密码”。
  3. 添加客户端密码的说明。
  4. 选择机密的过期时间或指定自定义生存期。 限制为 24 个月。
  5. 选择“添加”。
  6. 记录要在客户端应用程序代码中使用的机密值。 离开此页面后,永远不会再次显示此机密值。 执行 TenableVM 数据连接器时需要机密值作为配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步骤 4 - 在 Microsoft Entra ID 中获取应用程序的对象 ID

创建应用注册后,请按照此部分中的步骤获取对象 ID:

  1. 转到Microsoft Entra ID
  2. 从左侧菜单中选择“ 企业应用程序 ”。
  3. 在列表中查找新创建的应用程序, (可以按) 提供的名称进行搜索。
  4. 单击应用程序。
  5. 在“概述”页上,复制 “对象 ID”。这是 ARM 模板角色分配所需的 AzureEntraObjectId

步骤 5 - 从以下两个部署选项中选择一个来部署连接器和关联的Azure函数应用

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM 模板自动部署 TenableVM 漏洞管理报告数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选订阅 、资源组、FunctionApp 名称和位置

  3. 输入以下信息:

    a. WorkspaceName - 输入 log Analytics 工作区的工作区名称。

    b. TenableAccessKey - 输入用于使用 Tenable API 的访问密钥。

    c. TenableSecretKey - 输入 Tenable Secret Key 进行身份验证。

    d. AzureClientID - 输入Azure客户端 ID。

    e. AzureClientSecret - 输入Azure客户端密码。

    f. TenantID - 输入从上述步骤获取的租户 ID。

    g. AzureEntraObjectId - 输入从上述步骤获取Azure对象 ID。

    h. LowestSeveritytoStore - 要存储的最低漏洞严重性。 允许的值:信息、低、中、高、关键。 默认值为“信息”。

    i. ComplianceDataIngestion - 如果要从 Tenable VM 启用合规性数据引入,请选择 true。 默认为 false。

    j. WASAssetDataIngestion - 如果要从 Tenable VM 启用 WAS 资产数据引入,请选择 true。 默认为 false。

    k. WASVulnerabilityDataIngestion - 如果要从 Tenable VM 启用 WAS 漏洞数据引入,请选择 true。 默认为 false。

    我。 LowestSeveritytoStoreWAS - 为 WAS 存储的最低漏洞严重性。 允许的值:信息、低、中、高、关键。 默认值为“信息”。

    m. TenableExportScheduleInMinutes - 计划以分钟为单位从 Tenable VM 创建新的导出作业。 默认值为 1440。

    n. AssetTableName - 输入用于存储资产数据日志的表的名称。

    o. VulnTableName - 输入用于存储漏洞数据日志的表的名称。

    P。 ComplianceTableName - 输入用于存储合规性数据日志的表的名称。

    问。 WASAssetTableName - 输入用于存储 WAS 资产数据日志的表的名称。

    R。 WASVulnTableName - 输入用于存储 WAS 漏洞数据日志的表的名称。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 TenableVM 漏洞管理报告数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 TenableVMXXXXX) 。

    e. 选择运行时: 选择“Python 3.12”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :

    a. WorkspaceName - 输入 log Analytics 工作区的工作区名称。

    b. TenableAccessKey - 输入用于使用 Tenable API 的访问密钥。

    c. TenableSecretKey - 输入 Tenable Secret Key 进行身份验证。

    d. AzureClientID - 输入Azure客户端 ID。

    e. AzureClientSecret - 输入Azure客户端密码。

    f. TenantID - 输入从上述步骤获取的租户 ID。

    g. AzureEntraObjectId - 输入从上述步骤获取Azure对象 ID。

    h. LowestSeveritytoStore - 要存储的最低漏洞严重性。 允许的值:信息、低、中、高、关键。 默认值为“信息”。

    i. ComplianceDataIngestion - 如果要从 Tenable VM 启用合规性数据引入,请选择 true。 默认为 false。

    j. WASAssetDataIngestion - 如果要从 Tenable VM 启用 WAS 资产数据引入,请选择 true。 默认为 false。

    k. WASVulnerabilityDataIngestion - 如果要从 Tenable VM 启用 WAS 漏洞数据引入,请选择 true。 默认为 false。

    我。 LowestSeveritytoStoreWAS - 为 WAS 存储的最低漏洞严重性。 允许的值:信息、低、中、高、关键。 默认值为“信息”。

    m. TenableExportScheduleInMinutes - 计划以分钟为单位从 Tenable VM 创建新的导出作业。 默认值为 1440。

    n. AssetTableName - 输入用于存储资产数据日志的表的名称。

    o. VulnTableName - 输入用于存储漏洞数据日志的表的名称。

    P。 ComplianceTableName - 输入用于存储合规性数据日志的表的名称。

    问。 WASAssetTableName - 输入用于存储 WAS 资产数据日志的表的名称。

    R。 WASVulnTableName - 输入用于存储 WAS 漏洞数据日志的表的名称。

    s. PyTenableUAVendor - 值必须设置为Microsoft

    t. PyTenableUAProduct - 值必须设置为 Microsoft Sentinel

    美国。 PyTenableUABuild - 值必须设置为 3.1.0

  12. 输入所有应用程序设置后,单击“ 保存”。



基于租户的云Microsoft Defender

支持者:Microsoft Corporation

Microsoft Defender for Cloud 是一种安全管理工具,可用于检测和快速响应跨Azure、混合和多云工作负载的威胁。 此连接器允许将 MDC 安全警报从 Microsoft 365 Defender 流式传输到Microsoft Sentinel,以便可以利用 XDR 关联的优势,跨云资源、设备和标识连接点,并查看工作簿中的数据、查询以及调查和响应事件。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityAlert

数据收集规则支持:工作区转换 DCR

设置说明:

将基于租户的 Microsoft Defender for Cloud 连接到 Microsoft Sentinel

连接此连接器后,云订阅的所有Microsoft Defender警报都将发送到此Microsoft Sentinel工作区。

Microsoft Defender云警报通过 Microsoft 365 Defender 连接到流式传输。 若要从自动将警报分组到事件中获益,请连接 Microsoft 365 Defender 事件连接器。 可以在事件队列中查看事件。



通过无代码连接器框架) 的Hive (

支持者:Microsoft Corporation

TheHive 数据连接器提供通过 REST API 将 TheHive 安全事件响应平台数据引入Microsoft Sentinel的功能。 有关详细信息,请参阅 API 文档 。 连接器提供从 TheHive 获取案例、任务和警报的功能,并在Microsoft Sentinel中将其可视化。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
TheHiveData

数据收集规则支持: 当前不支持

先决条件:

  • Hive API 访问TheHive API 需要 4 版及更高版本的 访问。

设置说明:

1.配置

按照说明配置 TheHive 连接器。

  • 基本 URL: (TheHive 实例基 URL (例如, https://thehive.example.com) ) 从 TheHive 用户配置文件设置获取 API 密钥。 为此创建的 (或专用用户)

  • Api 密钥: (适用于 TheHive API) 的 API 密钥

2. 连接

启用 TheHive 连接器。

  • 启用/禁用连接



Theom

支持者:Theom

借助 Theom 数据连接器,组织可以将其 Theom 环境连接到Microsoft Sentinel。 此解决方案使用户能够接收有关数据安全风险的警报、创建和扩充事件、检查统计信息并在 Microsoft Sentinel 中触发 SOAR playbook

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
TheomAlerts_CL

数据收集规则支持: 当前不支持

设置说明:

  1. Theom UI 控制台中,单击侧栏上的“管理 -> 警报 ”。
  2. 选择“Sentinel”选项卡。
  3. 单击“ 活动 ”按钮以启用配置。
  4. 将密钥输入 PrimaryAuthorization Token
  5. 输入 Endpoint URLhttps://<Workspace ID>.ods.opinsights.azure.com/api/logs?api-version=2016-04-01
  6. 单击 SAVE SETTINGS
  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



威胁情报 - TAXII

支持者:Microsoft Corporation

Microsoft Sentinel与 TAXII 2.0 和 2.1 数据源集成,以使用威胁情报进行监视、警报和搜寻。 使用此连接器可将受支持的 STIX 对象类型从 TAXII 服务器发送到Microsoft Sentinel。 威胁指示器可以包括 IP 地址、域、URL 和文件哈希。 有关详细信息,请参阅 Microsoft Sentinel 文档 >

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ThreatIntelligenceIndicator

数据收集规则支持:工作区转换 DCR

威胁情报平台

支持者:Microsoft Corporation

Microsoft Sentinel与 Microsoft Graph 安全性 API 数据源集成,以使用威胁情报进行监视、警报和搜寻。 使用此连接器可将威胁指标发送到威胁情报平台 (TIP) (例如 Threat Connect、Palo Alto Networks MindMeld、MISP 或其他集成应用程序)Microsoft Sentinel。 威胁指示器可以包括 IP 地址、域、URL 和文件哈希。 有关详细信息,请参阅 Microsoft Sentinel 文档 >

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ThreatIntelligenceIndicator

数据收集规则支持:工作区转换 DCR

威胁情报上传 API (预览版)

支持者:Microsoft Corporation

Microsoft Sentinel提供了一个数据平面 API,用于从威胁情报平台 (TIP) 引入威胁情报,例如 Threat Connect、Palo Alto Networks MineMeld、MISP 或其他集成应用程序。 威胁指示器可以包括 IP 地址、域、URL、文件哈希和电子邮件地址。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ThreatIntelligenceIndicator

数据收集规则支持:工作区转换 DCR

设置说明:

**可以通过以下任一方法将威胁情报数据源连接到Microsoft Sentinel: **

使用集成的威胁情报平台 (TIP) ,例如 Threat Connect、Palo Alto Networks MineMeld、MISP 等。

直接从另一个应用程序调用Microsoft Sentinel数据平面 API。

  • 注意:连接器的“状态”不会在此处显示为“已连接”,因为数据是通过进行 API 调用引入的。

**按照以下步骤连接到威胁情报:**

1. 获取Microsoft Entra ID访问令牌

若要向 API 发送请求,需要获取Microsoft Entra ID访问令牌。 可以按照此页面中的说明进行操作:/azure/databricks/dev-tools/api/latest/aad/app-aad-token#get-an-azure-ad-access-token

  • 注意:请请求范围值为 [variables ('managementUri') ] 的Microsoft Entra ID访问令牌

2. 将 STIX 对象发送到Sentinel

可以通过调用上传 API 发送支持的 STIX 对象类型。 有关 API 的详细信息, 请单击此处

HTTP 方法:POST

终结点: https://api.ti.sentinel.azure.com/workspaces/[WorkspaceID]/threatintelligence-stix-objects:upload?api-version=2024-02-01-preview

WorkspaceID:STIX 对象上传到的工作区。

标头值 1:“Authorization” = “Bearer [Microsoft Entra ID步骤 1 中的访问令牌]”

标头值 2:“Content-Type” = “application/json”

正文:正文是包含 STIX 对象数组的 JSON 对象。



使用 Azure Functions) 传输安全连接器 (

支持者:传输安全性

[传输安全性] 数据连接器提供通过 REST API 将常见的传输安全性 API事件引入Microsoft Sentinel的功能。 有关详细信息,请参阅 API 文档。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
TransmitSecurityActivity_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 客户端 ID需要 TransmitSecurityClientID 。 请参阅文档,了解有关 上的 https://developer.transmitsecurity.com/API 的详细信息。
  • REST API 客户端密码需要 TransmitSecurityClientSecret 。 请参阅文档,了解有关 上的 https://developer.transmitsecurity.com/API 的详细信息。

设置说明:

注意:此连接器使用Azure Functions连接到传输安全性 API将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - 传输安全性 API的配置步骤

按照说明获取凭据。

  1. 登录到传输安全门户。
  2. 配置 管理应用。 为应用指定合适的名称,例如 MyAzureSentinelCollector。
  3. 保存新用户的凭据,以便在数据连接器中使用。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署传输安全数据连接器之前,请从以下) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM 模板自动部署传输安全数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。

  1. 输入 TransmitSecurityClientID、TransmitSecurityClientSecret、TransmitSecurityPullEndpoint、TransmitSecurityTokenEndpoint 并部署。

  2. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  3. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署传输安全数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS Code

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在 主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。

    如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure”。

    如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 在Azure中选择“新建函数应用” (不要选择“高级”选项) 。

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。

    e. 选择运行时: 选择“Python 3.11”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置的Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. 选择“ 环境变量”。

  11. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :

    • TransmitSecurityClientID
    • TransmitSecurityClientSecret
    • TransmitSecurityPullEndpoint
    • TransmitSecurityTokenEndpoint
    • WorkspaceID
    • WorkspaceKey
    • logAnalyticsUri (可选)
  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 应用”。



Trellix Endpoint Security (通过无代码连接器框架)

支持者:Microsoft Corporation

使用 Trellix Endpoint Security 数据连接器可将安全事件从 Trellix ePO (ePolicy Orchestrator) 引入Microsoft Sentinel。 此连接器使用 OAuth2 客户端凭据身份验证并自动处理分页,以收集全面的终结点安全数据,包括威胁检测、分析器信息、源和目标系统详细信息以及威胁响应操作。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
TrellixEvents

数据收集规则支持: 当前不支持

设置说明:

1.API 配置

配置 Trellix ePO API 连接。

提供用于身份验证的 API 密钥。 这将在 x-api-key 标头中发送。

  • API 密钥: (输入 API 密钥)

注意:API 密钥将安全地存储,并用于使用 Trellix ePO API 进行身份验证。

2.身份验证配置

配置 OAuth2 身份验证凭据。

注意:OAuth2 身份验证提供对 API 终结点的安全访问。

3.启用连接器

激活 Trellix Endpoint Security 连接器

连接器激活

查看配置并启用连接器以开始收集安全事件。

  • 启用/禁用连接后连接

连接后,在 “数据 连接器”页中监视连接器状态。 数据应在 5-10 分钟内开始显示。



使用 Azure Functions) 的 Trend Vision One (

支持者:Trend Micro

Trend Vision One 连接器使你可以轻松地将 Workbench 警报数据与Microsoft Sentinel连接,以查看仪表板、创建自定义警报以及改进监视和调查功能。 这使你可以更深入地了解组织的网络/系统,并改进安全操作功能。

以下区域的 Microsoft Sentinel支持 Trend Vision One 连接器:澳大利亚东部、澳大利亚东南部、巴西南部、加拿大中部、加拿大东部、印度中部、美国中部、东亚、美国东部 2、法国中部、日本东部、韩国中部、美国中北部、北欧、挪威东部、南非北部、美国中南部、东南亚、瑞典中部、 瑞士北部、阿联酋北部、英国南部、英国西部、西欧、美国西部、美国西部 2、美国西部 3。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
TrendMicro_XDR_WORKBENCH_CL
TrendMicro_XDR_RCA_Task_CL
TrendMicro_XDR_RCA_Result_CL
TrendMicro_XDR_OAT_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • 趋势视觉一个 API 令牌:需要趋势愿景一个 API 令牌。 请参阅文档,详细了解 Trend Vision One API

设置说明:

注意:此连接器使用 Azure Functions 连接到 Trend Vision One API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - Trend Vision One API 的配置步骤

按照这些说明 创建帐户和 API 身份验证令牌。

步骤 2 - 使用以下部署选项部署连接器和关联的 Azure 函数

重要: 在部署 Trend Vision One 连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及 Trend Vision One API 授权令牌(随时可用)。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

Azure 资源管理器 (ARM) 模板部署

此方法使用 ARM Tempate 提供 Trend Vision One 连接器的自动部署。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入唯一的 函数名称、工作区 ID、工作区密钥、API 令牌和区域代码

  • 注意:根据 Trend Vision One 实例的部署位置提供相应的区域代码:us、eu、au、in、sg、jp
  • 注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档
  1. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。
  2. 单击“ 购买 ”进行部署。



Tropico 安全性 - 警报

支持者:TROPICO Security

以 OCSF 安全查找格式从 Tropico 安全平台引入安全警报。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
{{graphQueriesTableName}}

数据收集规则支持: 当前不支持

设置说明:

连接 Tropico 安全平台

在“Tropico 设置”中输入只读 API 密钥。

  • API 密钥: (trop_xxxx...)
  • 启用/禁用连接



Tropico 安全性 - 事件

支持者:TROPICO Security

以 OCSF 安全查找格式从 Tropico 安全平台引入安全事件。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
{{graphQueriesTableName}}

数据收集规则支持: 当前不支持

设置说明:

连接 Tropico 安全平台

在“Tropico 设置”中输入只读 API 密钥。

  • API 密钥: (trop_xxxx...)
  • 启用/禁用连接



Tropico 安全性 - 事件

支持者:TROPICO Security

从 Tropico 安全平台引入攻击者会话事件。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
{{graphQueriesTableName}}

数据收集规则支持: 当前不支持

设置说明:

连接 Tropico 安全平台

在“Tropico 设置”中输入只读 API 密钥。

  • API 密钥: (trop_xxxx...)
  • 启用/禁用连接



上风日志加载程序 (引入 API)

支持者:Upwind

Upwind 日志加载程序数据连接器使用 Azure 函数和 Azure Monitor 引入 API (DCE/DCR) 将计算平台资产从 Upwind 云安全平台引入到Microsoft Sentinel自定义表中。

Upwind 提供运行时支持的云安全性,将云状况与实时工作负载上下文相关联。 此连接器将上风清单(跨 AWS、GCP 和Azure的计算平台资产)直接显示在Microsoft Sentinel中,用于关联、搜寻和事件扩充。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
UpwindLogsAssets_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • 上风 API 凭据:需要上风 API 客户端 ID 和客户端密码。 在 “设置→ API 密钥”下,从 Upwind 平台获取这些密钥。 客户端凭据用于对 进行身份验证 https://auth.upwind.io/oauth/token 以获取持有者令牌。
  • 上风组织 ID:需要上风组织 ID。 在 Upwind 平台的 “设置”→“组织”下找到它。

设置说明:

注意:此连接器使用 Azure Functions 和 Azure Monitor 引入 API (DCE/DCR) 将 Upwind 日志推送到Microsoft Sentinel。 ARM 模板会自动创建数据收集终结点、自定义日志表 () UpwindLogsAssets_CL 、数据收集规则和角色分配。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页Azure监视器定价页

(可选) 在部署过程中,选择“密钥保管库”作为身份验证方法,以安全地存储 Upwind 客户端密码。 可以提供现有的密钥保管库名称,也可以让模板创建一个新名称。 用户分配的托管标识会自动配置所需的密钥保管库访问策略。

步骤 1 - 获取上风 API 凭据

  1. 登录到 Upwind 平台
  2. 导航到 “设置”→ API 密钥
  3. 创建新的 API 密钥并记下 客户端 ID 和客户端密码
  4. 导航到 “设置”→“组织”,并记下你的组织 ID

步骤 2 - 部署Azure函数应用

单击“部署”以Azure并填写参数。 该模板会自动创建 DCE、 UpwindLogs_CL 表、DCR、角色分配和函数应用。

aka.ms

要填写的参数:

参数 说明
WorkspaceName Log Analytics/Microsoft Sentinel工作区的名称
UpwindOrgId 步骤 1 中的上风组织 ID
UpwindClientId 步骤 1 中的上风 API 客户端 ID
UpwindClientSecret 步骤 1 中的上风 API 客户端密码
AppInsightsWorkspaceResourceID Log Analytics 工作区 (Log Analytics 工作区 的完整资源 ID → 属性)
  • 工作区 ID: <在安装时提供的变量值>



Vaikora AI 代理行为信号

支持者:Data443 Risk Mitigation, Inc.

使用无代码连接器框架 (CCF) 将 AI 代理行为信号从 Vaikora API 引入Microsoft Sentinel。 监视代理操作、策略决策、异常分数和风险级别,以检测环境中的可疑 AI 活动。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Vaikora_AgentSignals_CL

数据收集规则支持: 当前不支持

先决条件:

  • Vaikora API 密钥:对操作终结点具有读取访问权限的 Vaikora API 密钥 (vk_xxxxx) 。 从“设置 API 密钥”>下的 Vaikora 仪表板获取此密钥。

设置说明:

连接 Vaikora AI 代理行为信号

若要启用 Vaikora 连接器,请在下方输入 Vaikora API 密钥,然后单击“连接”。 代理 ID 是可选的;使用它将引入范围限定为单个代理,或将其留空,以便从密钥可以看到的所有代理引入操作。

可以在 Vaikora 仪表板“设置 API 密钥”>下获取 API 密钥。 代理 ID 是每个代理详细信息页上显示的 UUID。

  • Vaikora API 密钥: (vk_xxxxxxxxxxxxxxxxxxxxxxxx)
  • Vaikora 代理 ID (可选) : (留空以监视所有代理)
  • 启用/禁用连接



Valimail 强制配置事件

支持者:Valimail

Valimail 配置事件数据连接器允许将电子邮件域的配置事件从 Valimail 的报告 API 引入Microsoft Sentinel。 数据连接器基于无代码连接器框架Microsoft Sentinel构建。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ValimailEnforceEvents_CL

数据收集规则支持: 当前不支持

设置说明:

Valimail 事件 API 的配置步骤按照指南中的说明 生成一组报告 API 凭据。 存储创建的客户端 ID 和应用 ID 密钥。

  • 客户端帐户数据: (帐户数据)
  • API 客户端 ID: (客户端 ID 凭据)
  • API 应用 ID: (应用 ID 凭据)
  • 启用/禁用连接



Varonis Purview 推送连接器

支持者:Varonis

Varonis Purview 连接器提供将资源从 Varonis 同步到 Microsoft Purview 的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
VaronisResources_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。 通常需要Entra ID 应用程序开发人员角色或更高版本。
  • Microsoft Azure:对数据收集规则 (DCR) 分配监视指标发布者角色的权限。 通常需要Azure RBAC 所有者或用户访问管理员角色

设置说明:

1.运行此项以设置 Varonis Resoources 的引入

这将创建必要的 Log Analytics 表、数据收集规则 (DCR) ,以及用于安全地将数据发送到 DCR 的Entra应用程序。

自动配置和安全数据引入,Entra应用程序单击“部署”将触发创建 Log Analytics 表和数据收集规则 (DCR) 。 然后,它将创建一个Entra应用程序,将 DCR 链接到该应用程序,并在应用程序中设置输入的机密。 此设置允许使用Entra令牌将数据安全地发送到 DCR。

2. 将日志推送到工作区

使用以下参数在 Varonis 集成仪表板中配置 Varonis Purview 连接器。

  • 租户 ID (目录 ID) : <在安装时提供的变量值>
  • Entra应用注册应用程序 ID:<在安装时提供的变量值>
  • Entra应用注册机密:<在安装时提供的变量值>
  • 数据收集终结点 URI: <在安装时提供的变量值>
  • 数据收集规则不可变 ID: <在安装时提供的变量值>
  • 资源Stream名称:<在安装时提供的变量值>



Varonis SaaS

支持者:Varonis

Varonis SaaS 提供将 Varonis 警报引入Microsoft Sentinel的功能。

Varonis 优先考虑深度数据可见性、分类功能和自动修正数据访问。 Varonis 为数据构建了单一的优先风险视图,因此你可以主动、系统地消除内部威胁和网络攻击的风险。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
VaronisAlerts_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions

设置说明:

注意:此连接器使用 Azure Functions 连接到 Varonis DatAlert 服务,将警报拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅Azure Functions定价页

对于Azure函数和相关服务的安装使用:

portal.azure.com

步骤 1 - 获取 Varonis DatAlert 终结点 API 凭据。

若要生成客户端 ID 和 API 密钥,请执行以下操作:

  1. 启动 Varonis Web 界面。
  2. 导航到“配置 -> API 密钥”。 将显示“API 密钥”页。
  3. 单击“创建 API 密钥”。 右侧显示“添加新 API 密钥”设置。
  4. 填写名称和说明。
  5. 单击“生成密钥”按钮。
  6. 复制 API 密钥机密并将其保存在方便的位置。 你将无法再次复制它。

有关其他信息,请检查:Varonis 文档

步骤 2 - 部署连接器和关联的 Azure 函数。

  • 工作区名称: <在安装时提供的变量值>

使用此方法使用 ARM 模板自动部署数据连接器。

  1. 单击“部署到Azure”按钮。

    portal.azure.com

  2. 选择首选的“订阅”、“资源组”、“区域”、“存储帐户类型”。

  3. 输入 Log Analytics 工作区名称、Varonis FQDN、Varonis SaaS API 密钥。

  4. 单击“查看 + 创建”、“创建”。



使用 Azure Functions) 的 Vectra XDR (

支持者:Vectra 支持

Vectra XDR 连接器允许通过 Vectra REST API 将 Vectra 检测、审核、实体评分、锁定、运行状况和实体数据引入Microsoft Sentinel。 有关详细信息,请参阅 API 文档 https://support.vectra.ai/s/article/KB-VS-1666

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Detections_Data_CL
Audits_Data_CL
Entity_Scoring_Data_CL
Lockdown_Data_CL
Health_Data_CL
Entities_Data_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:运行状况、实体评分、实体、检测、锁定和审核数据收集需要 Vectra 客户端 ID客户端密码 。 请参阅文档,了解有关 上的 https://support.vectra.ai/s/article/KB-VS-1666API 的详细信息。

设置说明:

注意:此连接器使用 Azure Functions 连接到 Vectra API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意:此数据连接器依赖于基于 Kusto 函数分析程序才能按预期工作。 按照 检测分析器审核分析程序实体评分分析器锁定分析 器和 运行状况分析器 的步骤创建 Kusto 函数别名、VectraDetections、VectraAudits、VectraEntityScoring、VectraLockdown 和 VectraHealth。

步骤 1 - Vectra API 凭据的配置步骤

按照这些说明创建 Vectra 客户端 ID 和客户端密码。

  1. 登录到 Vectra 门户
  2. 导航到“管理 -> API 客户端”
  3. 在“API 客户端”页中,选择“添加 API 客户端”以创建新客户端。
  4. 添加“客户端名称”,选择“角色”,然后单击“生成凭据”以获取客户端凭据。
  5. 请务必记录客户端 ID 和密钥,以便进行安全保护。 需要这两条信息才能从 Vectra API 获取访问令牌。 需要访问令牌才能向所有 Vectra API 终结点发出请求。

步骤 2 - Microsoft Entra ID中应用程序的应用注册步骤

此集成需要在 Azure 门户 中注册应用。 按照本部分中的步骤在 Microsoft Entra ID 中创建新应用程序:

  1. 登录 Azure 门户
  2. 搜索并选择“Microsoft Entra ID”。
  3. “管理”下,选择“应用注册>新注册”。
  4. 输入应用程序的显示 名称
  5. 选择“ 注册 ”以完成初始应用注册。
  6. 注册完成后,Azure 门户将显示应用注册的“概述”窗格。 会看到 应用程序 (客户端) ID 和租户 ID。 执行 Vectra 数据连接器时,需要将客户端 ID 和租户 ID 作为配置参数。

参考链接:/azure/active-directory/develop/quickstart-register-app

步骤 3 - 在 Microsoft Entra ID 中添加应用程序的客户端密码

有时称为应用程序密码,客户端密码是执行 Vectra 数据连接器所需的字符串值。 按照本部分中的步骤创建新的客户端密码:

  1. 在“Azure 门户”中,在“应用注册”中选择应用程序。
  2. 选择 “证书”& 机密 > “”客户端机密 > “”新建客户端密码”。
  3. 添加客户端密码的说明。
  4. 选择机密的过期时间或指定自定义生存期。 限制为 24 个月。
  5. 选择“添加”。
  6. 记录要在客户端应用程序代码中使用的机密值。 离开此页面后,永远不会再次显示此机密值。 机密值作为执行 Vectra 数据连接器的配置参数是必需的。

参考链接:/azure/active-directory/develop/quickstart-register-app#add-a-client-secret

步骤 4 - 在 Microsoft Entra ID 中获取应用程序的对象 ID

创建应用注册后,请按照此部分中的步骤获取对象 ID:

  1. 转到Microsoft Entra ID
  2. 从左侧菜单中选择“ 企业应用程序 ”。
  3. 在列表中查找新创建的应用程序, (可以按) 提供的名称进行搜索。
  4. 单击应用程序。
  5. 在“概述”页上,复制 “对象 ID”。这是 ARM 模板角色分配所需的 AzureEntraObjectId

步骤 5 - 在 Microsoft Entra ID 中为应用程序分配参与者角色

按照本部分中的步骤分配角色:

  1. 在Azure 门户转到“资源组”,然后选择资源组。
  2. 从左侧面板转到 访问控制 (IAM)
  3. 单击“ 添加”,然后选择“添加角色分配”。
  4. 选择 “参与者” 作为角色,然后单击“下一步”。
  5. “分配访问权限”中,选择 。User, group, or service principal
  6. 单击“ 添加成员”,然后键入已创建的应用名称 并选择它。
  7. 现在,单击“ 审阅 + 分配”,然后再次单击“审阅 + 分配”。

参考链接:/azure/role-based-access-control/role-assignments-portal

步骤 6 - 创建 Keyvault

按照这些说明创建新的 Keyvault。

  1. 在Azure 门户,转到密钥保管库,然后单击“创建”。
  2. 选择“子项”、“资源组”,并提供 keyvault 的唯一名称。

步骤 7 - 在 Keyvault 中创建访问策略

按照这些说明在 Keyvault 中创建访问策略。

  1. 转到 keyvaults,选择 keyvault,转到左侧面板上的“访问策略”,单击“创建”。
  2. 选择 & 机密权限的所有密钥。 单击“下一步”。
  3. 在主体部分中,按步骤 2 中生成的应用程序名称搜索。 单击“下一步”。

注意:确保密钥保管库的访问配置中的权限模型设置为“保管库访问策略”

步骤 8 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 Vectra 数据连接器之前,请准备好 Vectra API 授权凭据。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 Vectra 连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入以下信息:函数名称工作区名称 Vectra 基本 URL (https://< vectra-portal-url>) Vectra 客户端 ID - Health Vectra 客户端密钥 - Health Vectra 客户端 ID - 实体评分 Vectra 客户端密码 - 实体评分 Vectra 客户端 ID - 检测 Vectra 客户端密码 - 检测 Vectra 客户端 ID - 审核 Vectra 客户端密码 - 审核 Vectra 客户端 ID - 锁定 Vectra 客户端密码 - 锁定 Vectra 客户端 ID - Host-Entity Vectra 客户端密码 - Host-Entity Vectra 客户端 ID - Account-Entity Vectra 客户端密码 - Account-Entity 密钥保管库 名称Azure客户端 ID Azure客户端机密租户 ID Azure Entra ObjectID StartTime (IN MM/DD/YYYY HH:MM:SS 格式) 包括分数降低审核表名称检测表名称实体评分表名称锁定表名称 运行状况表名称 实体表名称 排除组详细信息从检测日志级别 (默认值:INFO) 锁定计划运行状况计划检测计划审核计划实体评分计划实体计划

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Vectra 数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 VECTRAXXXXX) 。

    e. 选择运行时: 选择 Python 3.8 或更高版本。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。

  11. 单独添加以下每个应用程序设置: 及其各自的值 (区分大小写) :工作区 ID 工作区密钥 Vectra 基 URL (https://< vectra-portal-url>) Vectra 客户端 ID - Health Vectra 客户端密钥 - Health Vectra 客户端 Id - 实体评分 Vectra 客户端密码 - 实体评分 Vectra 客户端 ID - 检测 Vectra 客户端机密 - 检测 Vectra 客户端 ID - 审核 Vectra 客户端密码 - 审核 Vectra 客户端 ID - 锁定 Vectra 客户端机密 - 锁定 Vectra 客户端 ID - Host-Entity Vectra 客户端密码 - Host-Entity Vectra 客户端 ID - Account-Entity Vectra 客户端密码 - Account-Entity 密钥保管库 名称Azure客户端 ID Azure客户端机密租户 ID StartTime (Azure MM/DD/YYYY 格式的 HH:MM:SS 格式) 包括分数降低审核表名称检测表名称实体评分表名称锁定表名称运行状况表名称实体表名称日志级别 (默认值: INFO) 锁定计划运行状况计划检测计划审核计划实体评分计划实体计划日志AnalyticsUri (可选)

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



使用 Azure Functions) 的 Veeam 数据连接器 (

支持者:Veeam Software

Veeam 数据连接器允许将 Veeam 遥测数据从多个自定义表引入到Microsoft Sentinel。

该连接器支持与 Veeam 备份 & 复制、Veeam ONE 和 Coveware 平台集成,以提供全面的监视和安全分析。 数据通过Azure Functions收集,并存储在具有专用数据收集规则的自定义 Log Analytics 表中, (DCR) 和数据收集终结点 (DCE) 。

包含的自定义表:

  • VeeamMalwareEvents_CL:Veeam 备份 & 复制中的恶意软件检测事件
  • VeeamSecurityComplianceAnalyzer_CL:从 Veeam 备份基础结构组件收集的安全 & 合规性分析器结果
  • VeeamAuthorizationEvents_CL:授权和身份验证事件
  • VeeamOneTriggeredAlarms_CL:从 Veeam ONE 服务器触发的警报
  • VeeamCovewareFindings_CL:Coveware 解决方案的安全发现
  • VeeamSessions_CL:Veeam 会话

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
VeeamMalwareEvents_CL
VeeamSecurityComplianceAnalyzer_CL
VeeamOneTriggeredAlarms_CL
VeeamAuthorizationEvents_CL
VeeamCovewareFindings_CL
VeeamSessions_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Veeam 基础结构访问:需要访问 Veeam 备份 & 复制 REST API 和 Veeam ONE 监视平台。 这包括正确的身份验证凭据和网络连接。

设置说明:

注意:此连接器使用 Azure Functions 连接到 Veeam API 并将数据拉取到Microsoft Sentinel自定义表中。 这可能会导致额外的数据引入成本。 有关详细信息,请参阅Azure Functions定价页

步骤 1 - 为 Veeam 数据连接器和关联的Azure Functions选择部署选项

重要: 在部署 Veeam 数据连接器之前,请从以下) 中复制工作区名称 (。

  • 工作区名称: <在安装时提供的变量值>

Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM 模板自动部署 Veeam 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    portal.azure.com

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入Microsoft Sentinel工作区名称

  4. 单击“ 查看 + 创建”、“创建”。



VersasecCms

支持者:Versasec 支持

VersasecCms 数据连接器允许将日志引入Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
VersasecCmsSysLogs_CL
VersasecCmsErrorLogs_CL

数据收集规则支持: 当前不支持

设置说明:

配置

输入 VersasecCms 的凭据。

  • 管理 URL
  • API 基路径
  • API 令牌
  • 轮询间隔 (分钟)
  • 启用/禁用连接



适用于 Microsoft Sentinel 的 VirtualMetric DataStream

支持者:VirtualMetric

VirtualMetric DataStream 连接器部署数据收集规则,以将安全遥测引入Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CommonSecurityLog

数据收集规则支持:工作区转换 DCR

先决条件:

  • 应用注册或Azure托管标识:VirtualMetric DataStream 需要Entra ID 标识进行身份验证,并将日志发送到Microsoft Sentinel。 可以选择使用客户端 ID 和客户端密码创建应用注册,或使用Azure托管标识增强安全性而无需凭据管理。
  • 资源组角色分配:必须将所选标识 (应用注册或托管标识) 分配给包含数据收集终结点的资源组,该资源组具有以下角色:监视用于日志引入) 的指标发布者 (和用于读取流配置) 的监视读取者 (。

设置说明:

为 Microsoft Sentinel 配置 VirtualMetric DataStream

配置 VirtualMetric DataStream 以便Microsoft Sentinel发送数据。

在 Microsoft Entra ID (可选) 中注册应用程序

选择身份验证方法:选项 A:使用Azure托管标识 (推荐)

  • 如果计划使用 Azure 托管标识进行身份验证,请跳过此步骤。
  • Azure托管标识提供更安全的身份验证方法,而无需管理凭据。

选项 B:注册服务主体应用程序

  1. 打开Microsoft Entra ID页

    • 单击提供的链接以在新选项卡中打开Microsoft Entra ID注册页。
    • 确保使用具有 应用程序管理员或全局管理员 权限的帐户登录。

  2. 创建新应用程序

    • Microsoft Entra ID门户中,从左侧导航栏中选择“应用注册”。
    • 单击“ + 新建注册”。
    • 填写以下字段:
  • 名称:输入应用的描述性名称 (例如“VirtualMetric ASIM 连接器”) 。
  • 支持的帐户类型:选择此组织目录中仅 (单租户) 帐户。
  • 重定向 URI:将此留空。
    • 单击“ 注册 ”以创建应用程序。

  1. 复制应用程序和租户 ID

    • 注册应用后,请从“概述”页记下 “应用程序 (客户端) ID”和“目录 (租户) ID ”。 VirtualMetric DataStream 配置需要这些。

  2. 创建客户端密码

    • “证书 & 机密”部分中,单击“+ 新建客户端密码”。
    • 添加说明 (例如“VirtualMetric ASIM 机密”) 并设置适当的到期期限。
    • 单击“添加”
    • 立即复制客户端机密值,因为它不会再次显示。 安全地存储此数据,用于 VirtualMetric DataStream 配置。

分配所需权限

(资源组中的服务主体或托管标识) ,将所需角色分配给所选的身份验证方法。

对于服务主体 ((如果已完成步骤 1) ):

  1. 导航到资源组

    • 打开Azure门户,导航到包含 Log Analytics 工作区的资源组,并将在其中部署数据收集规则 (DCR)

  2. 分配监视指标发布者角色

    • “资源组”中,单击左侧菜单中的“访问控制 (IAM) ”。
    • 单击“ + 添加”,然后选择“添加角色分配”。
    • “角色”选项卡中,搜索并选择“监视指标发布者”。
    • 单击“ 下一步”转到“成员 ”选项卡。
    • “分配访问权限”下,选择“用户、组或服务主体”。
    • 单击“ + 选择成员” ,然后按名称或客户端 ID 搜索已注册的应用程序。
    • 选择应用程序并单击“ 选择”。
    • 单击“ 查看 + 分配 ”两次以完成分配。

  3. 分配监视读取者角色

    • 重复相同的过程以分配 “监视读取者” 角色:
    • 单击“ + 添加”,然后选择“添加角色分配”。
    • “角色”选项卡中,搜索并选择“监视读取者”。
    • 按照上述相同的成员选择过程进行操作。
    • 单击“查看 + 分配”两次以完成分配。对于Azure托管标识:

  4. 创建或标识托管标识

    • 如果使用系统分配的托管标识:请在Azure资源 (VM、App 服务等 ) 上启用它。
    • 如果使用 用户分配的托管标识:如果不存在,请在资源组中创建一个托管标识。

  5. 分配监视指标发布者角色

    • 按照上述步骤进行操作,但在“ 成员 ”选项卡中:
    • “分配访问权限”下,选择“托管标识”。
    • 单击“ + 选择成员 ”,然后选择适当的托管标识类型,然后选择标识。
    • 单击 “选择”,然后单击“查看 + 分配 ”两次以完成。

  6. 分配监视读取者角色

    • 重复此过程,将 “监视读取者”角色分配给同一托管标识。所需的权限摘要: 分配的角色提供以下功能:
  • 监视指标发布服务器:将数据写入数据收集终结点 (DCE) ,并通过数据收集规则 (DCR) 发送遥测数据
  • 监视读取器:读取流配置并访问 ASIM 表引入的 Log Analytics 工作区

部署Azure基础结构

使用 ARM 模板为Microsoft Sentinel表部署所需的数据收集终结点 (DCE) 和数据收集规则 (DCR) 。

  1. 部署到Azure

    • 单击下面的“部署到Azure”按钮,自动部署所需的基础结构:
    • portal.azure.com
    • 这会直接转到Azure 门户以启动部署。

  2. 配置部署参数

    • 在自定义部署页上,配置以下设置:

    项目详细信息:

    • 订阅:从下拉列表中选择Azure订阅
    • 资源组:选择现有资源组或单击“新建”以新建一个新实例详细信息:
    • 区域:选择 Log Analytics 工作区所在的Azure区域 (例如西欧)
    • 工作区:输入 Log Analytics 工作区名称
    • DCE 名称:提供数据收集终结点的名称 (例如“vmetric-dce”)
    • DCR 名称前缀:为数据收集规则 (提供前缀,例如“vmetric-dcr”)

  3. 完成部署

    • 单击“ 查看 + 创建 ”以验证模板。
    • 查看参数并单击“ 创建 ”以部署资源。
    • 等待部署完成 (通常需要 2-5 分钟) 。

  4. 验证已部署的资源

    • 部署后,验证是否已创建以下资源:
  • 数据收集终结点 (DCE) :检查Azure门户>监视>数据收集终结点
  • 数据收集规则 (DCR) :检查Azure门户>监视>数据收集规则
    • 从 DCE 概述页复制 DCE 日志引入 URI , (格式: https://<dce-name>.<region>.ingest.monitor.azure.com)
    • 从 DCE 概述页复制 DCE 资源 ID , (格式: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
    • 对于每个 DCR,请记下 “概述”页中的不可变 ID - VirtualMetric DataStream 配置需要这些 ID。

配置 VirtualMetric DataStream 集成

设置 VirtualMetric DataStream 以将安全遥测数据发送到Microsoft Sentinel表。

  1. 访问 VirtualMetric DataStream 配置

    • 登录到 VirtualMetric DataStream 管理控制台。
    • 导航到 “队列管理 > 目标” 部分。
    • 单击“ 添加新目标 ”按钮。
    • 选择Microsoft Sentinel目标。

  2. 配置常规设置

    • 名称:输入目标 (的名称,例如“cus01-ms-sentinel”)
    • 说明:(可选)提供目标配置的说明

  3. 配置Azure身份验证 (选择基于步骤 1) :对于服务主体身份验证:

    • Azure的托管标识:保持禁用状态
    • 租户 ID:输入步骤 1 中的目录 (租户) ID
    • 客户端 ID:输入步骤 1 中的应用程序 (客户端) ID
    • 客户端密码:输入步骤 1 中用于Azure托管标识的客户端密码值:
    • Azure的托管标识:设置为“已启用”

  4. 配置Stream属性

    • 终结点:选择配置方法:
  • 对于手动流配置:输入 DCE 日志引入 URI (格式: https://<dce-name>.<region>.ingest.monitor.azure.com)
  • 对于自动流检测:输入 DCE 资源 ID (格式: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
    • 流:选择“自动” 进行自动流检测,或根据需要配置特定流
  1. 在 Microsoft Sentinel 中验证数据引入
    • 返回到 Log Analytics 工作区
    • 对 ASIM 表运行示例查询,以确认正在接收数据: 
      ASimNetworkSessionLogs
| where TimeGenerated > ago(1h)
| take 10
    • 有关新的数据源和事件计数,请查看Microsoft Sentinel概述仪表板。



用于Microsoft Sentinel数据湖的 VirtualMetric DataStream

支持者:VirtualMetric

VirtualMetric DataStream 连接器部署数据收集规则,以将安全遥测引入Microsoft Sentinel数据湖。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CommonSecurityLog

数据收集规则支持:工作区转换 DCR

先决条件:

  • 应用注册或Azure托管标识:VirtualMetric DataStream 需要Entra ID 标识才能对Microsoft Sentinel数据湖进行身份验证并发送日志。 可以选择使用客户端 ID 和客户端密码创建应用注册,或使用Azure托管标识增强安全性而无需凭据管理。
  • 资源组角色分配:必须将所选标识 (应用注册或托管标识) 分配给包含数据收集终结点的资源组,该资源组具有以下角色:监视用于日志引入) 的指标发布者 (和用于读取流配置) 的监视读取者 (。

设置说明:

为Microsoft Sentinel数据湖配置 VirtualMetric DataStream

配置 VirtualMetric DataStream,以便Microsoft Sentinel数据湖发送数据。

在 Microsoft Entra ID (可选) 中注册应用程序

选择身份验证方法:选项 A:使用Azure托管标识 (推荐)

  • 如果计划使用 Azure 托管标识进行身份验证,请跳过此步骤。
  • Azure托管标识提供更安全的身份验证方法,而无需管理凭据。

选项 B:注册服务主体应用程序

  1. 打开Microsoft Entra ID页

    • 单击提供的链接以在新选项卡中打开Microsoft Entra ID注册页。
    • 确保使用具有 应用程序管理员或全局管理员 权限的帐户登录。

  2. 创建新应用程序

    • Microsoft Entra ID门户中,从左侧导航栏中选择“应用注册”。
    • 单击“ + 新建注册”。
    • 填写以下字段:
  • 名称:输入应用的描述性名称 (例如“VirtualMetric ASIM 连接器”) 。
  • 支持的帐户类型:选择此组织目录中仅 (单租户) 帐户。
  • 重定向 URI:将此留空。
    • 单击“ 注册 ”以创建应用程序。

  1. 复制应用程序和租户 ID

    • 注册应用后,请从“概述”页记下 “应用程序 (客户端) ID”和“目录 (租户) ID ”。 VirtualMetric DataStream 配置需要这些。

  2. 创建客户端密码

    • “证书 & 机密”部分中,单击“+ 新建客户端密码”。
    • 添加说明 (例如“VirtualMetric ASIM 机密”) 并设置适当的到期期限。
    • 单击“添加”
    • 立即复制客户端机密值,因为它不会再次显示。 安全地存储此数据,用于 VirtualMetric DataStream 配置。

分配所需权限

(资源组中的服务主体或托管标识) ,将所需角色分配给所选的身份验证方法。

对于服务主体 ((如果已完成步骤 1) ):

  1. 导航到资源组

    • 打开Azure门户,导航到包含 Log Analytics 工作区的资源组,并将在其中部署数据收集规则 (DCR)

  2. 分配监视指标发布者角色

    • “资源组”中,单击左侧菜单中的“访问控制 (IAM) ”。
    • 单击“ + 添加”,然后选择“添加角色分配”。
    • “角色”选项卡中,搜索并选择“监视指标发布者”。
    • 单击“ 下一步”转到“成员 ”选项卡。
    • “分配访问权限”下,选择“用户、组或服务主体”。
    • 单击“ + 选择成员” ,然后按名称或客户端 ID 搜索已注册的应用程序。
    • 选择应用程序并单击“ 选择”。
    • 单击“ 查看 + 分配 ”两次以完成分配。

  3. 分配监视读取者角色

    • 重复相同的过程以分配 “监视读取者” 角色:
    • 单击“ + 添加”,然后选择“添加角色分配”。
    • “角色”选项卡中,搜索并选择“监视读取者”。
    • 按照上述相同的成员选择过程进行操作。
    • 单击“查看 + 分配”两次以完成分配。对于Azure托管标识:

  4. 创建或标识托管标识

    • 如果使用系统分配的托管标识:请在Azure资源 (VM、App 服务等 ) 上启用它。
    • 如果使用 用户分配的托管标识:如果不存在,请在资源组中创建一个托管标识。

  5. 分配监视指标发布者角色

    • 按照上述步骤进行操作,但在“ 成员 ”选项卡中:
    • “分配访问权限”下,选择“托管标识”。
    • 单击“ + 选择成员 ”,然后选择适当的托管标识类型,然后选择标识。
    • 单击 “选择”,然后单击“查看 + 分配 ”两次以完成。

  6. 分配监视读取者角色

    • 重复此过程,将 “监视读取者”角色分配给同一托管标识。所需的权限摘要: 分配的角色提供以下功能:
  • 监视指标发布服务器:将数据写入数据收集终结点 (DCE) ,并通过数据收集规则 (DCR) 发送遥测数据
  • 监视读取器:读取流配置并访问 ASIM 表引入的 Log Analytics 工作区

部署Azure基础结构

使用 ARM 模板为Microsoft Sentinel data Lake 表部署所需的数据收集终结点 (DCE) 和数据收集规则 (DCR) 。

  1. 部署到Azure

    • 单击下面的“部署到Azure”按钮,自动部署所需的基础结构:
    • portal.azure.com
    • 这会直接转到Azure 门户以启动部署。

  2. 配置部署参数

    • 在自定义部署页上,配置以下设置:

    项目详细信息:

    • 订阅:从下拉列表中选择Azure订阅
    • 资源组:选择现有资源组或单击“新建”以新建一个新实例详细信息:
    • 区域:选择 Log Analytics 工作区所在的Azure区域 (例如西欧)
    • 工作区:输入 Log Analytics 工作区名称
    • DCE 名称:提供数据收集终结点的名称 (例如“vmetric-dce”)
    • DCR 名称前缀:为数据收集规则 (提供前缀,例如“vmetric-dcr”)

  3. 完成部署

    • 单击“ 查看 + 创建 ”以验证模板。
    • 查看参数并单击“ 创建 ”以部署资源。
    • 等待部署完成 (通常需要 2-5 分钟) 。

  4. 验证已部署的资源

    • 部署后,验证是否已创建以下资源:
  • 数据收集终结点 (DCE) :检查Azure门户>监视>数据收集终结点
  • 数据收集规则 (DCR) :检查Azure门户>监视>数据收集规则
    • 从 DCE 概述页复制 DCE 日志引入 URI , (格式: https://<dce-name>.<region>.ingest.monitor.azure.com)
    • 从 DCE 概述页复制 DCE 资源 ID , (格式: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
    • 对于每个 DCR,请记下 “概述”页中的不可变 ID - VirtualMetric DataStream 配置需要这些 ID。

配置 VirtualMetric DataStream 集成

设置 VirtualMetric DataStream 以将安全遥测发送到Microsoft Sentinel data Lake 表。

  1. 访问 VirtualMetric DataStream 配置

    • 登录到 VirtualMetric DataStream 管理控制台。
    • 导航到 “队列管理 > 目标” 部分。
    • 单击“ 添加新目标 ”按钮。
    • 选择Microsoft Sentinel目标。

  2. 配置常规设置

    • 名称:输入目标 (的名称,例如“cus01-ms-sentinel”)
    • 说明:(可选)提供目标配置的说明

  3. 配置Azure身份验证 (选择基于步骤 1) :对于服务主体身份验证:

    • Azure的托管标识:保持禁用状态
    • 租户 ID:输入步骤 1 中的目录 (租户) ID
    • 客户端 ID:输入步骤 1 中的应用程序 (客户端) ID
    • 客户端密码:输入步骤 1 中用于Azure托管标识的客户端密码值:
    • Azure的托管标识:设置为“已启用”

  4. 配置Stream属性

    • 终结点:选择配置方法:
  • 对于手动流配置:输入 DCE 日志引入 URI (格式: https://<dce-name>.<region>.ingest.monitor.azure.com)
  • 对于自动流检测:输入 DCE 资源 ID (格式: /subscriptions/<subscription-id>/resourceGroups/<resource-group-name>/providers/Microsoft.Insights/dataCollectionEndpoints/<dce-name>)
    • 流:选择“自动” 进行自动流检测,或根据需要配置特定流
  1. 验证数据湖中的数据引入Microsoft Sentinel
    • 返回到 Log Analytics 工作区
    • 对 ASIM 表运行示例查询,以确认正在接收数据: 
      ASimNetworkSessionLogs
| where TimeGenerated > ago(1h)
| take 10
    • 有关新的数据源和事件计数,请查看Microsoft Sentinel概述仪表板。



VirtualMetric 控制器代理

支持者:VirtualMetric

VirtualMetric Director 代理部署Azure Function App,以安全地将 VirtualMetric DataStream 与Microsoft Sentinel、Azure 数据资源管理器和Azure存储等Azure服务桥接。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CommonSecurityLog

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure函数应用:必须部署Azure函数应用来托管控制器代理。 需要对资源组中的 Microsoft.Web/sites 资源具有读取、写入和删除权限才能创建和管理函数应用。
  • VirtualMetric DataStream 配置:需要配置有身份验证凭据的 VirtualMetric DataStream 才能连接到控制器代理。 控制器代理充当 VirtualMetric DataStream 与 Azure 服务之间的安全桥梁。
  • 目标Azure服务:配置目标Azure服务,例如Microsoft Sentinel数据收集终结点、Azure 数据资源管理器群集或控制器代理将转发数据的Azure存储帐户。

设置说明:

部署 VirtualMetric 控制器代理

部署用作 VirtualMetric DataStream 与 Microsoft Sentinel 之间的安全代理的 Azure Function App。

先决条件和部署顺序

建议的部署顺序:

为了获得最佳配置,请考虑首先部署目标连接器:

  1. 部署Microsoft Sentinel连接器:首先为Microsoft Sentinel连接器部署 VirtualMetric DataStream,以创建所需的数据收集终结点和规则。

  2. 部署Microsoft Sentinel data Lake Connector (可选) :如果使用Microsoft Sentinel数据湖表,请为Microsoft Sentinel数据湖连接器部署 VirtualMetric DataStream。

  3. 部署控制器代理 (此步骤) :然后可以使用Microsoft Sentinel目标配置控制器代理。 注意: 建议使用此顺序,但不是必需的。 可以独立部署控制器代理,并在以后使用目标对其进行配置。

部署 Azure 函数应用

使用“部署到Azure”按钮Azure函数应用部署 VirtualMetric 控制器代理。

  1. 部署到Azure

    • 单击下面的“部署到Azure”按钮部署函数应用:
    • portal.azure.com

  2. 配置部署参数

    • 订阅:选择Azure订阅
    • 资源组:选择与Microsoft Sentinel工作区相同的资源组或创建新资源组
    • 区域:选择Azure区域 (应与Microsoft Sentinel工作区区域)
    • 函数应用名称:提供函数应用 (的唯一名称,例如“vmetric-director-proxy”)

  3. 完成部署

    • 单击“ 查看 + 创建 ”以验证参数
    • 单击“ 创建 ”以部署函数应用
    • 等待部署完成 (通常需要 3-5 分钟)
    • 请注意函数应用 URL: https://<function-app-name>.azurewebsites.net

配置函数应用权限

为函数应用的托管标识分配访问Microsoft Sentinel资源所需的权限。

  1. 启用 System-Assigned 托管标识

    • 导航到 Azure 门户中已部署的函数应用
    • 转到“设置”下的 “标识
    • 将系统分配标识的“状态”切换为“打开”
    • 单击“ 保存 并确认”

  2. 导航到“资源组”:

    • 转到包含Microsoft Sentinel工作区和数据收集终结点的资源组

  3. 分配所需角色

    • 打开 访问控制 (IAM)
    • 单击“+ 添加>添加角色分配
    • 将以下角色分配给函数应用的系统分配的托管标识:
  • 监视指标发布服务器:用于将数据发送到数据收集终结点
  • 监视读取器:用于读取数据收集规则配置

  1. 选择函数应用标识

    • “成员”选项卡中,选择“托管标识”
    • 选择 函数应用 ,然后选择已部署的控制器代理函数应用
    • 完成角色分配

  2. 获取函数应用访问令牌 (可选的函数密钥身份验证) :

    • 导航到函数应用
    • 转到“函数”下的“应用密钥”
    • 复制默认主机密钥或创建新的功能密钥进行身份验证

配置 VirtualMetric DataStream 集成

设置 VirtualMetric DataStream 以通过控制器代理将安全遥测数据发送到Microsoft Sentinel。

  1. 访问 VirtualMetric DataStream 配置

    • 登录到 VirtualMetric DataStream 管理控制台
    • 导航到 “目标” 部分
    • 单击“Microsoft Sentinel目标”
    • 单击“添加新目标”或编辑现有Microsoft Sentinel目标

  2. 配置常规设置

    • 名称:输入目标 (的名称,例如“sentinel-with-proxy”)
    • 说明:(可选)提供目标配置的说明

  3. 配置Azure身份验证:对于服务主体身份验证:

    • Azure的托管标识:保持禁用状态
    • 租户 ID:输入Azure Active Directory 租户 ID
    • 客户端 ID:输入服务主体应用程序 ID
    • 客户端密码:输入服务主体客户端密码,用于Azure托管标识:
    • Azure的托管标识:设置为“已启用”

  4. 在“Azure属性”选项卡中配置控制器代理 () :

    • 终结点地址:输入步骤 2 中的函数应用 URL (格式: https://<function-app-name>.azurewebsites.net)
    • 访问令牌:输入步骤 3 中的函数应用主机密钥 (可选(如果使用托管标识)

  5. 配置Stream属性

    • 终结点:输入 DCE 日志引入 URI (格式: https://<dce-name>.<region>.ingest.monitor.azure.com)
    • 流:选择“自动” 进行自动流检测,或根据需要配置特定流

  6. 在 Microsoft Sentinel 中验证数据引入

    • 返回到 Log Analytics 工作区
    • 运行示例查询以确认正在接收数据: 
      CommonSecurityLog
| where TimeGenerated > ago(1h)
| take 10
    • 查看Microsoft Sentinel概述仪表板中是否有新的数据源和事件计数



使用 Azure Functions) 的 VMRayThreatIntelligence (

支持者:VMRay

VMRayThreatIntelligence 连接器自动生成所有提交到 VMRay 的威胁情报并将其馈送,从而在Sentinel改进威胁检测和事件响应。 这种无缝集成使团队能够主动应对新出现的威胁。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ThreatIntelligenceIndicator

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure订阅:需要具有所有者角色的Azure订阅才能在 azure Active Directory () 中注册应用程序,并将参与者的角色分配给资源组中的应用。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:需要 VMRay API 密钥

设置说明:

注意:此连接器使用 Azure Functions 连接到 VMRay API,将 VMRay 威胁 IOC 拉入Microsoft Sentinel。 这可能会导致额外的数据引入成本,以及将数据存储在Azure Blob 存储成本中。 有关详细信息,请查看Azure Functions定价页Azure Blob 存储定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

部署 VMRay 威胁情报连接器

  1. 确保满足所有必需的先决条件: 客户端 ID、租户 ID、客户端密码、VMRay API 密钥和 VMRay 基 URL

  2. 若要获取客户端 ID、客户端密码和租户 ID, 请按照以下说明操作

  3. 对于“弹性消耗计划”,请单击下面的“部署到Azure”按钮:

    aka.ms

  4. 对于高级计划,请单击下面的“部署到Azure”按钮:

    aka.ms



VMware Carbon Black Cloud 通过 AWS S3 (通过无代码连接器框架)

支持者:Microsoft

通过 AWS S3 数据连接器的 VMware Carbon Black Cloud 提供通过 AWS S3 引入监视列表、警报、身份验证和终结点事件并将其流式传输到 ASIM 规范化表的功能。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CarbonBlack_Alerts_CL

数据收集规则支持: 当前不支持

先决条件:

  • 环境:必须定义和配置以下 AWS 资源:S3、简单队列服务 (SQS) 、IAM 角色和权限策略
  • 环境:必须具有 Carbon black 帐户和所需的权限才能创建转发到 AWS S3 存储桶的数据。 有关详细信息,请参阅 碳黑数据转发器文档

设置说明:

  1. AWS CloudFormation 部署 若要在 AWS 上配置访问权限,已生成两个模板来设置 AWS 环境,以将日志从 S3 存储桶发送到 Log Analytics 工作区。

对于每个模板,请在 AWS 中创建 Stack:

  1. 转到 AWS CloudFormation Stacks
  2. 在 AWS 中,选择“上传模板文件”选项,然后单击“选择文件”。 选择下载的模板
  3. 单击“下一步”和“创建堆栈”
  • 模板 1:OpenID Connect 身份验证部署: <在安装时提供的变量值>
  • 模板 2:AWS Carbon Black 资源部署: <在安装时> 提供的变量值部署“模板 2:AWS Carbon Black 资源部署”模板时,需要提供一些参数
  • 堆栈名称:所选 (的堆栈名称将显示在 AWS 中的堆栈列表中)
  • 角色名称:必须以“OIDC_”前缀开头,具有默认值。
  • 存储桶名称:选择的存储桶名称,如果已有存储桶,请将名称粘贴到此处
  • CreateNewBucket:如果已有要用于此连接器的现有存储桶,请为此选项选择“false”,否则将从此堆栈创建一个名称为“Bucket Name”中输入的存储桶。
  • 区域:这是基于 Carbon Black 映射的 AWS 资源区域 - 有关详细信息,请参阅 Carbon Black 文档
  • SQSQueuePrefix:堆栈创建多个队列,此前缀将添加到每个队列中。
  • WorkspaceID:使用下面提供的工作区 ID。
  • 工作区 ID: <在安装时> 提供的变量值 部署完成后 ,转到“输出”选项卡,你将看到:已创建角色 ARN、S3 存储桶和 4 个 SQS 资源。 在下一步配置 Carbon Black 的数据转发器和数据连接器时,你将需要这些资源。

  1. Carbon Black 数据转发器配置 创建所有 AWS 资源后,需要配置 Carbon Black 以将事件转发到 AWS 存储桶,以便Microsoft Sentinel引入它们。 按照 Carbon Black 的文档操作,了解如何创建“数据转发器” 使用第一个推荐选项。 当系统要求输入存储桶名称时,请使用在上一步中创建的存储桶。 需要为每个转发器添加“S3 前缀”,请使用以下映射:

    事件类型 S3 前缀
    通知 carbon-black-cloud-forwarder/Alerts
    身份验证事件 carbon-black-cloud-forwarder/Auth
    终结点事件 carbon-black-cloud-forwarder/Endpoint
    关注列表命中 carbon-black-cloud-forwarder/Watchlist

2.1. 测试数据转发器 (可选) 若要验证数据转发器是否按预期配置,请在 Carbon Black 的门户中搜索刚刚创建的数据转发器,然后单击“操作”列下的“测试转发器”按钮,这将在 S3 Bucket 中生成“HealthCheck”文件,应立即看到它出现。

  1. 连接新收集器 若要为Microsoft Sentinel启用 AWS S3,请单击“添加新收集器”按钮,填写所需信息,在步骤 1 中创建 ARN 角色和 SQS URL,请注意,需要输入正确的 SQS URL 并从下拉列表中选择适当的事件类型,例如,如果要引入警报事件,则需要复制警报 SQS URL 并选择“警报”事件类型下拉列表
  • 数据连接器网格 (门户中配置)



通过 AMA 的 Windows DNS 事件

支持者:Microsoft Corporation

使用 Windows DNS 日志连接器,可以使用Azure监视代理 (AMA) 轻松筛选所有分析日志并将其流式传输到Microsoft Sentinel工作区。 在Microsoft Sentinel中使用此数据可帮助你识别问题和安全威胁,例如:

  • 尝试解析恶意域名。
  • 过时的资源记录。
  • 经常查询域名和对话 DNS 客户端。
  • 对 DNS 服务器执行的攻击。

可以从Microsoft Sentinel获取对 Windows DNS 服务器的以下见解:

  • 所有日志集中在一个位置。
  • DNS 服务器上的请求负载。
  • 动态 DNS 注册失败。

高级 SIEM 信息模型支持 Windows DNS 事件, (ASIM) 并将数据流式传输到 ASimDnsActivityLogs 表。 了解详细信息

有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ASimDnsActivityLogs

数据收集规则支持:工作区转换 DCR

Windows 防火墙

支持者:Microsoft Corporation

Windows 防火墙是一个Microsoft Windows 应用程序,用于筛选从 Internet 传入系统的信息并阻止可能有害的程序。 该软件会阻止大多数程序通过防火墙进行通信。 用户只需将程序添加到允许的程序列表中即可允许它通过防火墙进行通信。 使用公用网络时,Windows 防火墙还可以通过阻止所有主动尝试连接到计算机来保护系统。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入

数据收集规则支持: 当前不支持

通过 AMA 的 Windows 防火墙事件

支持者:Microsoft Corporation

Windows 防火墙是一种Microsoft Windows 应用程序,用于筛选从 Internet 传入系统的信息,并阻止可能有害的程序。 防火墙软件阻止大多数程序通过防火墙进行通信。 若要流式传输从计算机收集的 Windows 防火墙应用程序日志,请使用 Azure Monitor 代理 (AMA) 将这些日志流式传输到Microsoft Sentinel工作区。

需要配置 (DCE) 的数据收集终结点链接到为 AMA 收集日志创建的数据收集规则 (DCR) 。 对于此连接器,DCE 会在工作区所在的同一区域中自动创建。 如果已使用存储在同一区域中的 DCE,则可以更改默认创建的 DCE,并通过 API 使用现有 DCE。 DCE 可以位于资源名称中具有 SentinelDCE 前缀的资源中。

有关详细信息,请参阅以下文章:

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入

数据收集规则支持: 当前不支持

Windows 转发事件

支持者:Microsoft Corporation

可以使用 Azure Monitor 代理 (AMA) 流式传输连接到 Microsoft Sentinel 工作区的 Windows Server 的所有 Windows 事件转发 (WEF) 日志。 此连接使你能够查看仪表板、创建自定义警报和改进调查。 这使你可以更深入地了解组织的网络,并改进安全操作功能。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
WindowsEvent

数据收集规则支持:工作区转换 DCR

通过 AMA Windows 安全中心事件

支持者:Microsoft Corporation

可以使用 Windows 代理从连接到Microsoft Sentinel工作区的 Windows 计算机流式传输所有安全事件。 此连接使你能够查看仪表板、创建自定义警报和改进调查。 这使你可以更深入地了解组织的网络,并改进安全操作功能。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityEvent

数据收集规则支持:工作区转换 DCR

WithSecure Elements API (Azure Function)

支持者:WithSecure

WithSecure Elements 是基于云的统一网络安全平台,旨在降低风险、复杂性和低效性。

将终结点的安全性提升到云应用程序。 从有针对性的攻击到零时差勒索软件,武装自己免受各种网络威胁。

WithSecure Elements 结合了强大的预测、预防和响应式安全功能 - 所有功能都通过单个安全中心进行管理和监视。 我们的模块化结构和灵活的定价模型可让你自由发展。 凭借我们的专业知识和见解,你将始终获得授权 , 你永远不会孤单。

通过Microsoft Sentinel集成,可以将 WithSecure Elements 解决方案中的安全事件数据与其他源的数据相关联,从而全面概述整个环境并加快对威胁的反应。

使用此解决方案Azure Function 部署到租户,定期轮询 WithSecure Elements 安全事件。

有关详细信息,请访问我们的网站: https://www.withsecure.com

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
WsSecurityEvents_CL

数据收集规则支持:工作区转换 DCR

先决条件:

设置说明:

1. 使用安全元素 API 凭据创建

按照 用户指南 创建元素 API 凭据。 将凭据保存在安全的位置。

2.创建Microsoft Entra应用程序

创建新的Microsoft Entra应用程序和凭据。 按照说明操作,将目录 (租户) ID、对象 ID、应用程序 (客户端) ID 和客户端机密 (的值存储在客户端凭据字段) 。 请记住将客户端密码存储在安全的位置。

3.部署函数应用

注意:此连接器使用 Azure Functions 从 WithSecure Elements 拉取日志。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储Microsoft Entra客户端凭据和 WithSecure Elements API 客户端凭据。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

重要:在部署 WithSecure Elements 连接器之前,请准备好可从以下) 复制工作区名称 (、Microsoft Entra (Directory (租户中的数据) ID、对象 ID、应用程序 (客户端) ID 和客户端机密) ,以及 WithSecure Elements 客户端凭据。

  • 工作区名称: <在安装时提供的变量值>

部署与连接器相关的所有资源

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入工作区 ID、Entra客户端 ID、Entra客户端密码、Entra租户 ID、元素 API 客户端 ID、元素 API 客户端密码

注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档。 4.还可以填写可选字段: 元素 API URL、引擎、引擎组。除非有一些特殊情况,否则请使用元素 API URL 的默认值。引擎和引擎组 映射到 安全事件请求参数,如果只对来自特定引擎或引擎组的事件感兴趣,请填写这些参数,以防你想要接收所有安全事件,请将字段保留默认值。 5. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。 6.单击“ 购买 ”进行部署。



使用 Azure Functions) 的 Wiz (

支持者:Wiz

借助 Wiz 连接器,可以轻松地将 Wiz 问题、漏洞发现和审核日志发送到Microsoft Sentinel。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL)
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL)
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL)

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Wiz 服务帐户凭据:确保具有 Wiz 服务帐户客户端 ID 和客户端密码、API 终结点 URL 以及身份验证 URL。 可以在 Wiz 文档中找到说明。

设置说明:

注意:此连接器:使用 Azure Functions 连接到 Wiz API,将 Wiz 问题、漏洞发现和审核日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页。 创建一个Azure 密钥保管库,其中包含存储为机密的所有必需参数。

步骤 1 - 获取 Wiz 凭据

按照 Wiz 文档中 的说明获取有问题凭据。

步骤 2 - 部署连接器和关联的Azure函数

重要: 在部署 Wiz 连接器之前,请从以下) 以及上一步中的 Wiz 凭据复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1:使用 Azure 资源管理器 (ARM) 模板进行部署

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入以下参数:

  • 为新资源选择 KeyVaultName 和 FunctionName

  • 输入步骤 1 中的以下 Wiz 凭据: WizAuthUrl、WizEndpointUrl、WizClientId 和 WizClientSecret

  • 输入工作区凭据 AzureLogsAnalyticsWorkspaceId 和 AzureLogAnalyticsWorkspaceSharedKey

  • 选择要发送到Microsoft Sentinel的 Wiz 数据类型,从“Wiz 问题”、“漏洞发现”和“审核日志”中选择至少一种。

  • (可选) 按照 Wiz 文档 添加 IssuesQueryFilter、VulnerbailitiesQueryFilter 和 AuditLogsQueryFilter

  1. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。
  2. 单击“ 购买 ”进行部署。

选项 2:手动部署Azure函数

按照 Wiz 文档 手动部署连接器。



Workday 用户活动

支持者:Microsoft Corporation

Workday 用户活动数据连接器提供将用户活动日志从 Workday API 引入Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ASimAuditEventLogs

数据收集规则支持:工作区转换 DCR

先决条件:

  • Workday 用户活动 API 访问权限:需要通过 Oauth 访问 Workday 用户活动 API。 API 客户端需要具有范围:系统,它需要由具有系统审核权限的帐户授权。

设置说明:

连接到 Workday 以开始收集Microsoft Sentinel中的用户活动日志

  1. 在 Workday 中,访问“编辑租户设置 - 安全性”任务,验证“OAuth 2.0 设置”部分,确保勾选“OAuth 2.0 客户端已启用”检查框。
  2. 在 Workday 中,访问“编辑租户设置 - 系统”任务,验证“用户活动日志记录”部分,确保勾选“启用用户活动日志记录”检查框。
  3. 在 Workday 中,访问“注册 API 客户端”任务。
  4. 定义客户端名称,选择“客户端授权类型”:“授权代码授予”,然后选择“访问令牌类型”:“持有者”
  5. 输入在以下表单中找到的“重定向 URI”
  6. 在“ (功能区域) ”部分,选择“系统”,然后单击底部的“确定”
  7. 在离开页面之前,请复制客户端 ID 和客户端密码,并安全地存储它。
  8. 在Sentinel的连接器页中,提供所需的令牌、授权和用户活动日志终结点,以及上一步中的客户端 ID 和客户端密码。 然后单击“连接”。
  9. 此时将显示一个 Workday 弹出窗口,以完成 API 客户端的 OAuth2 身份验证和授权。 在这里,你需要为 Workday 帐户提供具有“系统审核”权限的凭据, (可以是 Workday 帐户或集成系统用户) 。
  10. 完成后,将显示消息以授权 API 客户端



使用 Azure Functions) 从Facebook (工作区

支持者:Microsoft Corporation

工作区数据连接器提供通过 Webhook 将常见 Workplace 事件引入Microsoft Sentinel的功能。 Webhook 使自定义集成应用能够订阅 Workplace 中的事件并实时接收更新。 当 Workplace 中发生更改时,包含事件信息的 HTTPS POST 请求将发送到回调数据连接器 URL。 有关详细信息,请参阅 Webhook 文档 。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Workplace_Facebook_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Webhook 凭据/权限:工作 Webhook 需要 WorkplaceAppSecret、WorkplaceVerifyToken、回调 URL。 请参阅文档,详细了解如何配置 Webhook 和配置权限

设置说明:

注意:此数据连接器使用基于 HTTP 触发器的Azure Functions来等待带有日志的 POST 请求,以将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure Functions 应用配合使用。

注意: 此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该分析程序部署为解决方案的一部分。 若要在 Log Analytics 中查看函数代码,请打开 Log Analytics/Microsoft Sentinel“日志”边栏选项卡,单击“函数”并搜索别名 WorkplaceFacebook 并加载函数代码,或者在查询的第二行上单击此处,输入 Workplace Facebook 设备的主机名 () () 以及日志流的任何其他唯一标识符。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。

步骤 1 - 工作区的配置步骤

按照说明配置 Webhook。

  1. 使用管理员用户凭据登录到工作区。
  2. 在“管理员”面板中,单击“集成”。
  3. “所有集成”视图中,单击“创建自定义集成”
  4. 输入名称和说明,然后单击“ 创建”。
  5. “集成详细信息”面板中,显示“应用机密 ”和“复制”。
  6. “集成权限 ”中,设置所有读取权限。 有关详细信息,请参阅 权限页
  7. 现在,继续执行步骤 2,按照部署Azure函数) 选项 1 或 2 中列出的步骤 (。
  8. 输入请求的参数,并输入所选的令牌。 复制此令牌/记下后续步骤。
  9. 部署Azure Functions成功完成后,打开“函数应用”页,选择应用,转到“函数”,单击“获取函数 URL”并复制此/记下后续步骤。
  10. 从 Facebook 返回到 Workplace。 在每个选项卡的“配置 Webhook”面板中,将“回调 URL”设置为你在上述点 9 中复制的相同值,并将“验证令牌”设置为在部署的第 Azure Functions 2 步中获取的相同值。
  11. 单击"保存"。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的Azure Functions

重要: 在部署工作区数据连接器之前,请从以下) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署工作区数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3. 输入 WorkplaceVerifyToken (可以是任何表达式,复制并保存步骤 1) WorkplaceAppSecret 和部署。 4.将标记为 “我同意上述条款和条件”的复选框。 5.单击“ 购买 ”进行部署。 6. 部署打开的 Function App 页面后,选择你的应用,转到 “函数”并单击“获取函数 URL ”复制它,然后按照步骤 1 中的第 7 页操作。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Sophos Endpoint Protection 数据连接器。

步骤 1 - 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。
  2. 按照函数应用手动部署说明使用 VSCode 部署 Azure Functions 应用。
  3. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。
  2. “应用程序设置”选项卡中,选择“新建应用程序设置”。
  3. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :WorkplaceAppSecret WorkplaceVerifyToken WorkspaceID WorkspaceKey logAnalyticsUri (可选)
  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



XBOW 安全平台通过Azure函数) (

支持者:XBOW

XBOW 数据连接器将 XBOW 安全平台中的资产快照、漏洞发现和评估活动引入Microsoft Sentinel。 Azure函数在计时器上轮询 XBOW API,并将资产 JSON 快照推送到 XbowAssets_CL中,使用 Azure Monitor 引入 API ( (DCE/DCR) ,将) 的证据、PoC 方案、影响和缓解) XbowFindings_CL结果和评估生命周期事件推送到 XbowAssessments_CL中。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
XbowAssets_CL
XbowFindings_CL
XbowAssessments_CL

数据收集规则支持: 当前不支持

先决条件:

  • XBOW API 令牌:需要 XBOW 个人访问令牌。 在 XBOW 控制台中的“设置个人访问令牌”>下生成一个。 将令牌范围限定为要监视的组织。
  • XBOW 组织 ID:XBOW 帐户中的组织 ID。 在 XBOW 控制台 URL 中或通过 API 找到它。
  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • 自定义先决条件(如有必要),否则请删除此海关标记:任何自定义先决条件的说明
  • Azure AD 应用注册:需要) Azure AD 应用注册 (服务主体。 部署后,必须手动将数据收集规则上的 监视指标发布者 角色 (DCR) 分配给此应用注册。

设置说明:

注意:此连接器使用 Azure Functions 和 Azure Monitor 引入 API (DCE/DCR) 将 XBOW 资产、发现和评估引入Microsoft Sentinel。 ARM 模板会自动创建数据收集终结点、自定义日志表 (XbowAssets_CLXbowFindings_CLXbowAssessments_CL) 、数据收集规则和函数应用。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页Azure监视器定价页

(可选步骤) 安全地将 XBOW API 令牌和应用注册凭据存储在 Azure 密钥保管库 中。 按照这些说明将Azure 密钥保管库引用与Azure函数应用配合使用。

步骤 1 - 生成 XBOW API 令牌

  1. 使用管理员访问权限登录到 XBOW 控制台
  2. 单击右上角) (个人资料图标,然后选择 “设置”。
  3. 在左侧边栏中,单击“ 个人访问令牌”。
  4. 单击“ 生成新令牌”,提供名称,然后选择组织范围。
  5. 复制并安全地存储令牌 - 不会再次显示。
  6. 查看组织时,请从 XBOW 控制台或 URL 记下你的组织 ID

步骤 2 - 创建Azure AD 应用注册和授予 DCR 角色

  1. Azure门户中,导航到“Azure Active Directory > 应用注册>新注册”。
  2. 提供 (名称,例如 Xbow-Sentinel-Connector) 和注册。
  3. “证书 & 机密”下,创建新的客户端密码。记下租户 ID、客户端 ID 和客户端密码
  4. 使用下面的步骤 3 部署连接器,然后返回此处。
  5. 从部署输出打开已部署 的数据收集规则 (,或者在资源组) 中搜索。
  6. 转到 “访问控制 (IAM) > 添加角色分配”。
  7. 选择“ 角色监视指标发布者”。
  8. 分配对上面创建的应用注册 (服务主体) 的访问权限。
  9. 在验证引入之前,请等待几分钟进行 RBAC 传播。

步骤 3 - 部署Azure函数应用

单击“部署”以Azure并填写参数。 模板将自动创建数据收集终结点、 XbowAssets_CLXbowFindings_CLXbowAssessments_CL 表、数据收集规则和函数应用。

aka.ms

要填写的参数:

参数 说明
WorkspaceName Log Analytics/Microsoft Sentinel工作区的名称
XbowApiToken 步骤 1 中的 XBOW 个人访问令牌
XbowOrgId 步骤 1 中的 XBOW 组织 ID
TenantId Azure步骤 2 中的 AD 租户 ID
ClientId 步骤 2 中的应用注册客户端 ID
ClientSecret 步骤 2 中的应用注册客户端密码
AppInsightsWorkspaceResourceID Log Analytics 工作区的完整资源 ID (Log Analytics 工作区 > 属性)
FunctionAppLocation 函数应用资源的可选Azure区域 (默认为资源组位置)
  • 工作区 ID: <在安装时提供的变量值>



零网络段 (推送)

支持者:Zero Networks

零网络段推送连接器允许 Zero Networks 直接将审核、网络活动、标识活动和 RPC 活动发送到实时Microsoft Sentinel。 部署连接器以 (DCR) 和Microsoft Entra应用创建数据收集规则;然后使用连接详细信息配置 Zero Networks 应用程序以推送事件。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ZNAudit_CL
ZNNetworkActivity_CL
ZNIdentityActivity_CL
ZNRPCActivity_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft Entra:在 Microsoft Entra ID 中创建应用注册的权限。 通常需要Entra ID 应用程序开发人员角色或更高版本。
  • Microsoft Azure:对数据收集规则 (DCR) 分配监视指标发布者角色的权限。 通常需要Azure RBAC 所有者或用户访问管理员角色。

设置说明:

1. 创建 ARM 资源并提供所需权限

部署推送连接器以创建 Log Analytics 表、数据收集规则 (DCR) 、数据收集终结点 (DCE) 以及Microsoft Entra应用。 然后,使用连接详细信息配置 Zero Networks 应用程序。

自动配置单击“部署”将创建 DCR 和 DCE,然后使用客户端密码Microsoft Entra应用注册,并授予对 DCR 的权限。 然后,应用程序可以使用 OAuth 2.0 客户端凭据安全地发送数据。

2.配置 Zero Networks 应用程序

使用以下值将 Zero Networks 应用程序配置为将审核、网络活动、标识活动和 RPC 活动推送到Microsoft Sentinel。

  • 租户 ID (目录 ID) : <在安装时提供的变量值>
  • Entra应用程序 ID:<在安装时提供的变量值>
  • Entra应用程序机密:<在安装时提供的变量值>
  • 数据收集终结点 URI: <在安装时提供的变量值>
  • 数据收集规则不可变 ID: <在安装时提供的变量值>
  • Stream:审核:<在安装时提供的变量值>
  • Stream:网络活动:<在安装时提供的变量值>
  • Stream:标识活动:<在安装时提供的变量值>
  • Stream:RPC 活动:<在安装时提供的变量值>



零网络段审核

支持者:Zero Networks

零网络段审核数据连接器提供通过 REST API 将零网络审核事件引入Microsoft Sentinel的功能。 此数据连接器使用Microsoft Sentinel本机轮询功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ZNSegmentAuditNativePoller_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • 零网络 API 令牌:REST API 需要 ZeroNetworksAPIToken 。 请参阅 API 指南,并按照获取凭据的说明进行操作。

设置说明:

将 Zero Networks 连接到Microsoft Sentinel

输入 Zero Networks API URL (例如 portal.zeronetworks.com) 。 连接器会自动添加 https:// 和 /api/v1/audit。 然后提供 API 密钥并单击“连接”。

  • 零网络 API URL: (portal.zeronetworks.com)
  • ApiKey: (ApiKey)
  • 启用/禁用连接
  • 数据连接器网格 (门户中配置)



ZeroFox CTI

支持者:ZeroFox

ZeroFox CTI 数据连接器提供将不同的 ZeroFox 网络威胁情报警报引入Microsoft Sentinel的功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ZeroFox_CTI_advanced_dark_web_CL
ZeroFox_CTI_botnet_CL
ZeroFox_CTI_breaches_CL
ZeroFox_CTI_C2_CL
ZeroFox_CTI_compromised_credentials_CL
ZeroFox_CTI_credit_cards_CL
ZeroFox_CTI_dark_web_CL
ZeroFox_CTI_discord_CL
ZeroFox_CTI_disruption_CL
ZeroFox_CTI_email_addresses_CL
ZeroFox_CTI_exploits_CL
ZeroFox_CTI_irc_CL
ZeroFox_CTI_malware_CL
ZeroFox_CTI_national_ids_CL
ZeroFox_CTI_phishing_CL
ZeroFox_CTI_phone_numbers_CL
ZeroFox_CTI_ransomware_CL
ZeroFox_CTI_telegram_CL
ZeroFox_CTI_threat_actors_CL
ZeroFox_CTI_vulnerabilities_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • ZeroFox API 凭据/权限ZeroFox CTI REST API 需要 ZeroFox 用户名、ZeroFox 个人访问令牌

设置说明:

注意:此连接器使用 Azure Functions 连接到 ZeroFox CTI REST API,将日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - 检索 ZeroFox 凭据:

按照这些说明设置日志记录并获取凭据。

  1. 登录到 ZeroFox 的网站。 使用用户名和密码 2 - 单击“设置”按钮并转到“数据连接器”部分。 3 - 选择“API 数据馈送”选项卡,然后转到页面底部,在“API 信息”框中选择“重置>>”<<,以获取要与用户名一起使用的个人访问令牌。

步骤 2 - 使用 Azure 资源管理器 模板部署 Azure 函数数据连接器:

重要: 在部署 ZeroFox CTI 数据连接器之前,请准备好工作区 ID 和工作区主密钥 (可从以下随时可用) 复制。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

准备用于部署的资源。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”、“Log Analytics 工作区”和“位置”。

  3. 输入 工作区 ID、工作区密钥、ZeroFox 用户名、ZeroFox 个人访问令牌

  5. 单击“ 查看 + 创建” 进行部署。



ZeroFox Enterprise - 轮询 CCF) (警报

支持者:ZeroFox

从 ZeroFox API 收集警报。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ZeroFoxAlertPoller_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • ZeroFox 个人访问令牌 (PAT) :需要 ZeroFox PAT。 可以在数据连接器 >API 数据馈送中获取它。

设置说明:

将 ZeroFox 连接到 Microsoft Sentinel

将 ZeroFox 连接到 Microsoft Sentinel

  • 提供 ZeroFox PAT: (Zerofox PAT)
  • 启用/禁用连接



Zimperium 移动威胁防御

支持者:Zimperium

Zimperium 移动威胁防御连接器使你能够将 Zimperium 威胁日志与Microsoft Sentinel连接,以查看仪表板、创建自定义警报和改进调查。 这使你可以更深入地了解组织的移动威胁环境,并增强安全操作能力。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ZimperiumThreatLog_CL

数据收集规则支持: 当前不支持

设置说明:

配置并连接 Zimperium MTD

  1. 在 zConsole 中,单击导航栏上的“ 管理 ”。
  2. 单击“ 集成 ”选项卡。
  3. 单击“ 威胁报告”按钮,然后单击“添加集成” 按钮。
  4. 创建集成:
  • 从可用的集成中,选择“Microsoft Microsoft Sentinel”。
  • 在以下字段中输入工作区 ID 和主键,单击“ 下一步”。
  • 填写Microsoft Sentinel集成的名称。
  • 选择要推送到Microsoft Sentinel的威胁数据的筛选器级别。
  • 单击“完成”
  1. 有关其他说明,请参阅 Zimperium 客户支持门户
  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



使用Azure Functions) 缩放报表 (

支持者:Microsoft Corporation

Zoom Reports 数据连接器提供通过 REST API 将 Zoom Reports 事件引入Microsoft Sentinel的功能。 有关详细信息,请参阅 API 文档 。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Zoom_CL

数据收集规则支持:工作区转换 DCR

先决条件:

设置说明:

注意:此连接器使用 Azure Functions 连接到 Zoom API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意: 此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该分析程序部署为解决方案的一部分。 若要查看 Log Analytics 中的函数代码,请打开 Log Analytics/Microsoft Sentinel“日志”边栏选项卡,单击“函数”并搜索别名“缩放并加载函数代码”或单击此处。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。

步骤 1 - 缩放 API 的配置步骤

按照说明 获取凭据。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 Zoom Reports 数据连接器之前,请从以下) 复制工作区 ID 和工作区主键 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署 Zoom Audit 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“区域”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3.输入 AccountID、ClientID、ClientSecret、WorkspaceID、WorkspaceKey、函数名称 ,然后单击“查看 + 创建”。 4.最后单击“ 创建 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Zoom Reports 数据连接器。

步骤 1 - 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 ZoomXXXXX) 。

    e. 选择运行时: 选择“Python 3.11”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户

步骤 2 - 配置函数应用

  1. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。
  2. “应用程序设置”选项卡中,选择“新建应用程序设置”。
  3. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :AccountID ClientId ClientSecret WorkspaceID WorkspaceKey logAnalyticsUri (可选) 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  4. 输入所有应用程序设置后,单击“ 保存”。



通过无代码连接器框架 (缩放报表连接器)

支持者:Microsoft Corporation

借助 Zoom Reports 数据连接器,可以通过 Zoom REST API v2 将 Zoom Reports 数据引入Microsoft Sentinel,从而监视和审核整个组织的 Zoom 使用情况。 此连接器使用服务器到服务器 OAuth 帐户凭据进行身份验证,并支持引入多种报告类型,包括会议统计信息和使用情况指标的每日使用情况报告、活动/非活动用户主机信息的用户报告、电话服务使用情况统计信息的电话报告、云存储和记录使用情况的云录制使用情况报告、用于管理操作和审核跟踪的操作日志、 和用户登录/注销活动的活动日志。 使用 NextPageToken 在具有自动分页支持的单独轮询配置中收集每个报表类型。 数据连接器基于Microsoft Sentinel无代码连接器框架构建,并支持基于 DCR 的引入时间转换,以优化查询性能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
ZoomV2_CL

数据收集规则支持: 当前不支持

先决条件:

  • 缩放 API 访问权限:使用帐户凭据访问 Zoom REST API v2

设置说明:

1. 缩放配置

配置服务器到服务器 OAuth 应用并收集凭据

步骤 1:设置 Zoom Server 到服务器 OAuth 应用,请按照 创建应用进行操作。 请确保向应用添加与报表相关的范围:

  • report:read:list_users:admin
  • report:read:cloud_recording:admin
  • report:read:daily_usage:admin
  • report:read:operation_logs:admin
  • report:read:telephone:admin
  • report:read:user_activities:admin

有关详细信息,请参阅 Zoom Server-to-Server OAuth 文档报表 API

步骤 2:获取应用凭据

在 Zoom 应用市场的页面上查找应用凭据 (帐户 ID、客户端 ID 和客户端密码) Personal app management

安全说明

  • 安全地存储帐户 ID、客户端 ID 和客户端密码

  • 定期轮换凭据以增强安全性

2. 连接

启用缩放报表连接器

激活连接器

查看在步骤 2 中找到的 Zoom 应用凭据,然后启用连接器以开始收集 Zoom 报表数据。

监控

使用以下查询检查数据到达:

检查所有报表类型:

ZoomV2_CL
| where TimeGenerated > ago(30m)
| summarize Records = count() by EventType

检查特定报告类型:

ZoomV2_CL
| where EventType == 'dates'
| where TimeGenerated > ago(1h)
| limit 10

监视连接器运行状况:

ZoomV2_CL
| where TimeGenerated > ago(24h)
| summarize LastRecord = max(TimeGenerated), RecordCount = count() by EventType
| order by LastRecord desc
  • 启用/禁用连接



已弃用Sentinel数据连接器

注意

下表列出了已弃用的数据连接器和旧数据连接器。 不再支持已弃用的连接器。

[已弃用]使用 Azure 函数) (使用 Azure Functions) 的 Auth0 日志 (

支持者:Microsoft Corporation

使用 Azure Function) 数据连接器的 Auth0 日志 ( 提供将 Auth0 日志事件引入Microsoft Sentinel

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Auth0AM_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:需要 API 令牌 。 有关详细信息,请参阅 API 令牌

设置说明:

注意:此连接器使用 Azure Functions 连接到 Auth0 管理 API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - Auth0 管理 API 的配置步骤

按照说明获取凭据。

  1. 在“Auth0 仪表板”中,转到 “应用程序 > 应用程序”。
  2. 选择应用程序。 这应该是配置了至少 具有 read:logs 和 read:logs_users 权限的“计算机到计算机”应用程序。
  3. 复制 域、ClientID、客户端密码

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 Auth0 访问管理数据连接器之前,请从以下) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM 模板自动部署 Auth0 访问管理数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3.输入 域、ClientID、客户端密码、AzureSentinelWorkspaceId、AzureSentinelSharedKey。 4.将标记为 “我同意上述条款和条件”的复选框。 5.单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过Visual Studio Code) 通过Azure Functions (部署手动部署 Auth0 访问管理数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 Auth0AMXXXXX) 。

    e. 选择运行时: 选择“Python 3.11”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :DOMAIN CLIENT_ID CLIENT_SECRET WorkspaceID WorkspaceKey logAnalyticsUri (可选)

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



[已弃用]GitHub 企业审核日志

支持者:Microsoft Corporation

GitHub 审核日志连接器提供将 GitHub 日志引入Microsoft Sentinel的功能。 通过将 GitHub 审核日志连接到Microsoft Sentinel,可以在工作簿中查看此数据,使用它创建自定义警报并改进调查过程。

注意:如果打算将 GitHub 订阅的事件引入Microsoft Sentinel,请参阅使用“数据连接器”库中的 Webhook) 连接器的 GitHub (。

注意:此数据连接器已弃用,请考虑移动到解决方案中提供的 CCF 数据连接器,该连接器通过 已弃用的 HTTP 数据收集器 API 替换引入。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
GitHubAuditLogPolling_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • GitHub API 个人访问令牌:需要 GitHub 个人访问令牌才能为组织审核日志启用轮询。 可以使用具有“read:org”范围的经典令牌,也可以使用具有“管理:只读”作用域的精细令牌。
  • GitHub Enterprise 类型:此连接器仅适用于 GitHub Enterprise Cloud;它不支持 GitHub Enterprise Server。

设置说明:

将 GitHub Enterprise 组织级审核日志连接到Microsoft Sentinel

启用 GitHub 审核日志。 按照 本指南 创建或查找个人访问令牌。



[已弃用]Infoblox SOC Insight 数据连接器通过旧版代理

支持者:Infoblox

利用 Infoblox SOC Insight 数据连接器,可以轻松地将 Infoblox BloxOne SOC Insight 数据与Microsoft Sentinel连接。 通过将日志连接到Microsoft Sentinel,可以针对每个日志利用搜索 & 关联、警报和威胁情报扩充。

此数据连接器使用旧版 Log Analytics 代理将 Infoblox SOC Insight CDC 日志引入 Log Analytics 工作区。

Microsoft建议通过 AMA 连接器安装 Infoblox SOC Insight 数据连接器。 旧连接器使用 Log Analytics 代理,该代理将于 2024 年 8 月 31 日弃用,并且应仅在不支持 AMA 的情况下安装。

在同一台计算机上使用 MMA 和 AMA 可能会导致日志重复和额外的引入成本。 更多详细信息

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CommonSecurityLog

数据收集规则支持:工作区转换 DCR

设置说明:

工作区密钥

若要将 playbook 用作此解决方案的一部分,请在下面找到 工作区 ID 和工作区主密钥 ,以便方便使用。

  • 工作区 ID: <在安装时提供的变量值>
  • 工作区键: <在安装时提供的变量值>

解析 器

此数据连接器依赖于基于 Kusto 函数分析程序才能按预期工作,称为 InfobloxCDC_SOCInsights,该Microsoft Sentinel解决方案部署。

SOC 见解

此数据连接器假定你有权访问 Infoblox BloxOne 威胁防御 SOC 见解。 可 在此处找到有关 SOC 见解的详细信息。

Infoblox 云数据连接器

此数据连接器假定已在 Infoblox 云服务 门户中 (CSP) 中创建并配置 Infoblox 数据连接器主机。 由于 Infoblox 数据连接器 是 BloxOne 威胁防御的一项功能,因此需要访问相应的 BloxOne 威胁防御订阅。 有关详细信息和许可要求,请参阅此 快速入门指南

1. Linux Syslog 代理配置

安装和配置 Linux 代理,以收集 CEF) Syslog 消息 (通用事件格式,并将其转发到 Microsoft Sentinel。

请注意,来自所有区域的数据将存储在所选工作区中

1.1 选择或创建Linux计算机

选择或创建Linux计算机,Microsoft Sentinel将用作安全解决方案之间的代理,Microsoft Sentinel此计算机可以位于本地环境、Azure或其他云中。

1.2 在Linux计算机上安装 CEF 收集器

在 Linux 计算机上安装 Microsoft Monitoring Agent,并将计算机配置为侦听必要的端口并将消息转发到 Microsoft Sentinel 工作区。 CEF 收集器在端口 514 TCP 上收集 CEF 消息。

  1. 使用以下命令确保计算机上具有 Python:python -version。

  2. 必须在计算机上具有提升的权限 (sudo) 。

  • 运行以下命令以安装和应用 CEF 收集器:: <在安装时提供的变量值>

2. 在 Infoblox 云服务门户中,配置 Infoblox BloxOne 以将 CEF Syslog 数据发送到 Infoblox 云数据连接器以转发到 Syslog 代理

按照以下步骤配置 Infoblox CDC,以便通过 Linux Syslog 代理将 BloxOne 数据发送到 Microsoft Sentinel。

  1. 导航到 “管理 > 数据连接器”。
  2. 单击顶部的“ 目标配置 ”选项卡。
  3. 单击“ 创建 > Syslog”。
  • 名称:为新目标指定一个有意义的名称,例如 Microsoft-Sentinel-Destination
  • 说明:(可选)为其提供有意义的说明
  • 状态:将状态设置为“已启用”。
  • 格式:将格式设置为 CEF
  • FQDN/IP:输入安装Linux代理的Linux设备的 IP 地址。
  • 端口:将端口号保留为 514
  • 协议:选择所需的协议和 CA 证书(如果适用)。
  • 单击“保存并关闭”
  1. 单击顶部的“ 流量流配置 ”选项卡。
  2. 单击“创建”。
  • 名称:为新的流量流指定一个有意义的名称,例如 Microsoft-Sentinel-Flow
  • 说明:(可选)为其提供有意义的说明
  • 状态:将状态设置为“已启用”。
  • 展开“ 服务实例” 部分。
  • 服务实例:选择为其启用了数据连接器服务的所需服务实例。
  • 展开“ 源配置” 部分。
  • 源:选择“BloxOne 云源”。
  • 选择“ 内部通知 日志类型”。
  • 展开“ 目标配置” 部分。
  • 选择刚刚创建 的目标
  • 单击“保存并关闭”
  1. 让配置有一段时间激活。

3.验证连接

按照说明验证连接性:

打开 Log Analytics 以检查是否使用 CommonSecurityLog 架构收到日志。

连接可能需要大约 20 分钟才能将数据流式传输到工作区。

如果未收到日志,请运行以下连接验证脚本:

  1. 使用以下命令确保计算机上具有 Python:python -version

  2. 必须在计算机上具有提升的权限 (sudo)

  • 运行以下命令以验证连接性:: <在安装时提供的变量值>

**4. 保护计算机 **

确保根据组织的安全策略配置计算机的安全性

了解更多信息 >



[已弃用]IONIX 安全日志 (推送)

支持者:IONIX

⚠️ 此连接器已弃用,将于 2026 年 6 月删除。 请改用新的“IONIX 安全日志 (通过无代码连接器框架) ”连接器,该连接器提供每日自动轮询,而无需在 IONIX 门户中手动配置。

IONIX 安全日志数据连接器将日志从 IONIX 系统直接引入到Sentinel。 连接器允许用户可视化其数据、创建警报和事件以及改进安全调查。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CyberpionActionItems_CL

数据收集规则支持: 当前不支持

先决条件:

设置说明:

按照说明将 IONIX 安全警报集成到Sentinel。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>



[已弃用]望风

支持者:Lookout

Lookout 数据连接器提供通过移动风险 API 将 Lookout 事件引入Microsoft Sentinel的功能。 有关详细信息,请参阅 API 文档Lookout 数据连接器提供获取事件的功能,有助于检查潜在的安全风险等。

注意:此数据连接器已弃用,请考虑移动到解决方案中提供的 CCF 数据连接器,该连接器通过 已弃用的 HTTP 数据收集器 API 替换引入。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Lookout_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • 移动风险 API 凭据/权限:移动风险 API 需要 EnterpriseName & ApiKey 。 有关详细信息,请参阅 API。 检查所有 要求,并按照获取凭据的说明 进行操作。

设置说明:

注意:Lookout 数据连接器使用 Azure Functions 连接到移动风险 API,将其事件拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

注意:此数据连接器依赖于基于 Kusto 函数的分析程序,以按预期方式使用 Microsoft Sentinel 解决方案部署的 LookoutEvents 工作。

步骤 1 - 移动风险 API 的配置步骤

按照说明 获取凭据。

步骤 2 - 按照以下说明部署 Lookout 数据连接器和关联的 Azure 函数

重要: 在开始部署 Lookout 数据连接器之前,请确保准备好工作区 ID 和工作区密钥, (可以从以下) 复制。

  • 工作区 ID: <在安装时提供的变量值>
  • 工作区键: <在安装时提供的变量值>

Azure 资源管理器 (ARM) 模板

按照以下步骤使用 ARM 模板自动部署 Lookout 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“区域”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3. 输入 函数名称、工作区 ID工作区密钥企业名称 & API 密钥 并部署。 4.单击“ 创建 ”进行部署。



[已弃用]Microsoft Exchange 日志和事件

支持者:Community

已弃用,请使用“ESI-Opt”dataconnectors。 可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有 Exchange 审核事件、IIS 日志、HTTP 代理日志和安全事件日志。 此连接使你能够查看仪表板、创建自定义警报和改进调查。 Microsoft Exchange 安全工作簿使用此工作簿来提供本地 Exchange 环境的安全见解

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Event
SecurityEvent
W3CIISLog
MessageTrackingLog_CL
ExchangeHttpProxy_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Azure Log Analytics 将被弃用,若要从非Azure VM 收集数据,建议Azure Arc。 了解更多
  • 详细文档:>注意:在此处找到有关安装过程和使用情况的详细文档

设置说明:

注意: 此解决方案基于选项。 这允许你选择将引入哪些数据,因为某些选项可能会生成非常大的数据量。 根据要收集的内容,在工作簿、分析规则、搜寻功能中跟踪,你将选择 () 部署的选项。 每个选项对一个选项相互独立。 若要详细了解每个选项,请参阅 “Microsoft Exchange Security”wiki

1. 下载并安装收集Microsoft Sentinel日志所需的代理

(Exchange Server、链接到 Exchange Server 的域控制器或所有域控制器) 的服务器类型取决于要部署的选项。

部署 Monitor 代理

仅当这是你第一次载入 Exchange Server/域控制器时,才需要此步骤

选择要在服务器中安装哪个代理来收集日志:

[首选]通过 Azure Arc Azure监视代理

部署Azure Arc 代理 了解详细信息

Azure 2024 年 8 月 31 日弃用的 Log Analytics 代理 (安装)

  1. 下载 Azure Log Analytics 代理,并在以下链接中选择部署方法。
  • 安装代理: <在安装时提供的变量值>

2. 按照所选选项部署日志

[选项 1]MS Exchange 管理日志收集

选择如何流式传输 MS Exchange 管理员审核事件日志

MS Exchange 管理员审核事件日志

数据收集规则 - 使用 Azure Monitor 代理时

启用数据收集规则Microsoft Exchange 管理员审核事件日志仅从 Windows 代理收集。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 DCR。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区名称 “和/或其他必填字段”。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure 自动化

使用以下分步说明手动部署数据收集规则。

A. 创建 DCR,类型事件日志

  1. 在Azure门户中,导航到Azure数据收集规则
  2. 单击顶部的“ + 创建 ”。
  3. 在“ 基本信息 ”选项卡中,填写必填字段,选择“Windows”作为平台类型,并为 DCR 指定名称。
  4. 在“ 资源 ”选项卡中,输入 Exchange Server。
  5. 在“收集和传递”中,添加数据源类型“Windows 事件日志”并选择“自定义”选项,输入“MSExchange Management”作为表达式,然后添加它。
  6. “进行其他首选的配置更改”(如果需要),然后单击“ 创建”。

将 DCR 分配给所有 Exchange 服务器

将所有 Exchange 服务器添加到 DCR

数据收集规则 - 使用旧Azure Log Analytics 代理时

配置要收集的日志

配置要收集的事件及其严重性。

  1. 在“工作区 旧代理管理”下,选择“Windows 事件日志”。
  2. 单击“ 添加 Windows 事件日志”,并输入 MSExchange Management 作为日志名称。
  3. 收集错误、警告和信息类型
  4. 单击保存
  • 安装代理: <在安装时提供的变量值>

[选项 2]Exchange 服务器的安全/应用程序/系统日志

选择如何流式传输 Exchange Server 的安全/应用程序/系统日志

安全事件日志收集

数据收集规则 - 安全事件日志

为安全日志启用数据收集规则 安全事件日志仅从 Windows 代理收集。

  1. 在“ 资源 ”选项卡上添加 Exchange Server。
  2. 选择“安全日志级别”

通用级别 是所需的最低级别。 请在 DCR 定义中选择“常见”或“所有安全事件”。

  • 安装代理: <在安装时提供的变量值>

应用程序和系统事件日志收集

数据收集规则 - 使用 Azure Monitor 代理时

启用数据收集规则 仅从 Windows 代理收集应用程序和系统事件日志。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 DCR。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区名称 “和/或其他必填字段”。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure 自动化

使用以下分步说明手动部署数据收集规则。

A. 创建 DCR,类型事件日志

  1. 在Azure门户中,导航到Azure数据收集规则
  2. 单击顶部的“ + 创建 ”。
  3. 在“ 基本信息 ”选项卡中,填写必填字段,选择“Windows”作为平台类型,并为 DCR 指定名称。
  4. 在“ 资源 ”选项卡中,输入 Exchange Server。
  5. 在“收集和传递”中,添加数据源类型“Windows 事件日志”,然后选择“基本”选项。
  6. 对于“应用程序”,请选择“严重”、“错误”和“警告”。 对于“系统”,选择“严重/错误/警告/信息”。
  7. “进行其他首选的配置更改”(如果需要),然后单击“ 创建”。

将 DCR 分配给所有 Exchange 服务器

将所有 Exchange 服务器添加到 DCR

数据收集规则 - 使用旧Azure Log Analytics 代理时

配置要收集的日志

配置要收集的事件及其严重性。

  1. 在“工作区高级设置 配置”下,选择“数据”,然后选择“Windows 事件日志”。
  2. 单击“ 添加 Windows 事件日志”,并搜索“应用程序” 作为日志名称。
  3. 单击“ 添加 Windows 事件日志”,并搜索“系统” 作为日志名称。
  4. 收集所有) 的错误 (、系统) 类型的所有) 警告 (和信息 (
  5. 单击保存
  • 安装代理: <在安装时提供的变量值>

[选项 3 和 4]域控制器的安全日志

选择如何流式传输域控制器的安全日志。 如果要实现选项 3,只需在 Exchange Server 所在的同一站点上选择“DC”。 如果要实现选项 4,可以选择林的所有 DC。

[选项 3]仅列出与 Exchange Server 相同的站点上的域控制器,供下一步使用

这限制了入的数据量,但某些事件无法检测到。

[选项 4]列出 Active-Directory 林的所有域控制器,供下一步使用

这允许收集所有安全事件

安全事件日志收集

数据收集规则 - 安全事件日志

为安全日志启用数据收集规则 安全事件日志仅从 Windows 代理收集。

  1. 在“ 资源 ”选项卡上添加所选 DC。
  2. 选择“安全日志级别”

通用级别 是所需的最低级别。 请在 DCR 定义中选择“常见”或“所有安全事件”。

  • 安装代理: <在安装时提供的变量值>

[选项 5]Exchange Server 的 IIS 日志

选择 Exchange 服务器的 IIS 日志流式传输方式

数据收集规则 - 使用 Azure Monitor 代理时

启用数据收集规则 IIS 日志仅从 Windows 代理收集。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 DCE 和 DCR。

A. 创建 DCE ((如果尚未为 Exchange Server) 创建)

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 可以更改建议的 DCE 名称。

  4. 单击“ 创建 ”进行部署。

B. 部署数据连接规则

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID “和/或其他必填字段”。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure 自动化

使用以下分步说明手动部署数据收集规则。

A. 创建 DCE ((如果尚未为 Exchange Server) 创建)

  1. 在Azure门户中,导航到“Azure数据收集终结点”。
  2. 单击顶部的“ + 创建 ”。
  3. 在“ 基本信息 ”选项卡中,填写必填字段,并为 DCE 指定名称。
  4. “进行其他首选的配置更改”(如果需要),然后单击“ 创建”。

B. 创建 DCR,键入 IIS 日志

  1. 在Azure门户中,导航到Azure数据收集规则
  2. 单击顶部的“ + 创建 ”。
  3. 在“ 基本信息 ”选项卡中,填写必填字段,选择“Windows”作为平台类型,并为 DCR 指定名称。 选择创建的 DCE。
  4. 在“ 资源 ”选项卡中,输入 Exchange Server。
  5. 在“收集和传递”中,添加数据源类型“IIS 日志” (如果默认配置了 IIS 日志路径,则不要输入路径) 。 单击“添加数据源”
  6. “进行其他首选的配置更改”(如果需要),然后单击“ 创建”。

将 DCR 分配给所有 Exchange 服务器

将所有 Exchange 服务器添加到 DCR

数据收集规则 - 使用旧Azure Log Analytics 代理时

配置要收集的日志

配置要收集的事件及其严重性。

  1. 在“工作区高级设置 配置”下,选择“数据”,然后选择“IIS 日志”。
  2. 检查 收集 W3C 格式 IIS 日志文件
  3. 单击保存
  • 安装代理: <在安装时提供的变量值>

[选项 6]Exchange Server 的邮件跟踪

选择 Exchange Server 的邮件跟踪流式传输方式

数据收集规则 - 使用 Azure Monitor 代理时

启用数据收集规则 消息跟踪仅从 Windows 代理收集。

注意: 注意,监视代理中的自定义日志为预览版。 在 2023 年 3 月) (,目前部署无法按预期工作。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 DCE 和 DCR。

A. 创建 DCE ((如果尚未为 Exchange Server) 创建)

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 可以更改建议的 DCE 名称。

  4. 单击“ 创建 ”进行部署。

B. 部署数据连接规则和自定义表

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID “和/或其他必填字段”。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure 自动化

使用以下分步说明手动部署数据收集规则。

A. 创建 DCE ((如果尚未为 Exchange Server) 创建)

  1. 在Azure门户中,导航到“Azure数据收集终结点”。
  2. 单击顶部的“ + 创建 ”。
  3. 在“ 基本信息 ”选项卡中,填写必填字段,并为 DCE 指定名称,例如 ESI-ExchangeServers。
  4. “进行其他首选的配置更改”(如果需要),然后单击“ 创建”。

B. 创建自定义 DCR 表

  1. Microsoft Sentinel GitHub 下载示例文件。

  2. 在Azure门户中,导航到“工作区分析”并选择目标工作区。

  3. 单击“表”,单击 顶部的“+ 创建”,然后选择“新建自定义日志 (基于 DCR 的)

  4. “基本信息”选项卡中,在“表名称”上输入 MessageTrackingLog,创建名为 DCR-Option6-MessageTrackingLogs 的数据收集规则 (例如) 并选择以前创建的数据收集终结点。

  5. “架构和转换”选项卡中,选择下载的示例文件,然后单击“转换编辑器”。

  6. 在转换字段中,输入以下 KQL 请求: source | extend TimeGenerated = todatetime (['date-time']) | extend clientHostname = ['client-hostname'],clientIP = ['client-ip'],connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'],internalMessageId = ['internal-message-id'],logId = ['log-id'],messageId = ['message-id'],messageInfo = ['message-info'],messageSubject = ['message-subject'],networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'],messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] |project-away ['client-ip'],['client-hostname'],['connector-id'],['custom-data'],['date-time'],['event-id'],['internal-message-id'],['log-id'],['message-id'],['message-info'],['message-subject'], ['network-message-id'],['original-client-ip'],['original-server-ip'],['recipient-address'],['recipient-count'],['recipient-status'],['related-recipient-address'],['return-path'],['sender-address'],['server-hostname'],['server-ip'],['source-context'],['schema-version'],['tenant-id'],['total-bytes'],['transport-traffic-type']

  7. 单击“运行”,并在“应用”之后单击。

  8. 单击“ 下一步”,然后单击“创建”。

C. 修改创建的 DCR,键入自定义日志

  1. 在Azure门户中,导航到Azure数据收集规则
  2. 选择以前创建的 DCR,例如 DCR-Option6-MessageTrackingLogs
  3. 在“ 资源 ”选项卡中,输入 Exchange Server。
  4. “数据源”中,添加数据源类型“自定义文本日志”,并在文件模式中输入“C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log”,在表名称中输入“MessageTrackingLog_CL”。 6.in 转换字段中,输入以下 KQL 请求: source | extend TimeGenerated = todatetime (['date-time']) | extend clientHostname = ['client-hostname'],clientIP = ['client-ip'],connectorId = ['connector-id'], customData = ['custom-data'], eventId = ['event-id'],internalMessageId = ['internal-message-id'],logId = ['log-id'],messageId = ['message-id'],messageInfo = ['message-info'],messageSubject = ['message-subject'],networkMessageId = ['network-message-id'], originalClientIp = ['original-client-ip'], originalServerIp = ['original-server-ip'], recipientAddress= ['recipient-address'], recipientCount= ['recipient-count'], recipientStatus= ['recipient-status'], relatedRecipientAddress= ['related-recipient-address'], returnPath= ['return-path'], senderAddress= ['sender-address'], senderHostname= ['server-hostname'], serverIp= ['server-ip'], sourceContext= ['source-context'], schemaVersion=['schema-version'],messageTrackingTenantId = ['tenant-id'], totalBytes = ['total-bytes'], transportTrafficType = ['transport-traffic-type'] |project-away ['client-ip'],['client-hostname'],['connector-id'],['custom-data'],['date-time'],['event-id'],['internal-message-id'],['log-id'],['message-id'],['message-info'],['message-subject'], ['network-message-id'],['original-client-ip'],['original-server-ip'],['recipient-address'],['recipient-count'],['recipient-status'],['related-recipient-address'],['return-path'],['sender-address'],['server-hostname'],['server-ip'],['source-context'],['schema-version'],['tenant-id'],['total-bytes'],['transport-traffic-type']
  5. 单击“添加数据源”。

将 DCR 分配给所有 Exchange 服务器

将所有 Exchange 服务器添加到 DCR

数据收集规则 - 使用旧Azure Log Analytics 代理时

配置要收集的日志

  1. 在“工作区 设置”部件下,选择“表”,单击“+ 创建”,然后单击“新建自定义日志 (基于 MMA 的)
  2. 选择示例文件 MessageTracking 示例 ,然后单击“下一步”
  3. 选择键入 Windows,然后输入路径 C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\MessageTracking*.log。 单击"下一步"。
  4. 输入 MessageTrackingLog 作为表名称,然后单击“下一步”。
  5. 单击保存
  • 安装代理: <在安装时提供的变量值>

[选项 7]Exchange 服务器的 HTTP 代理

选择 Exchange 服务器的 HTTP 代理流式传输方式

数据收集规则 - 使用 Azure Monitor 代理时

启用数据收集规则 消息跟踪仅从 Windows 代理收集。

注意: 注意,监视代理中的自定义日志为预览版。 在 2023 年 3 月) (,目前部署无法按预期工作。

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法自动部署 DCE 和 DCR。

A. 创建 DCE ((如果尚未为 Exchange Server) 创建)

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 可以更改建议的 DCE 名称。

  4. 单击“ 创建 ”进行部署。

B. 部署数据连接规则

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID “和/或其他必填字段”。

  4. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。

  5. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure 自动化

使用以下分步说明手动部署数据收集规则。

A. 创建 DCE ((如果尚未为 Exchange Server) 创建)

  1. 在Azure门户中,导航到“Azure数据收集终结点”。
  2. 单击顶部的“ + 创建 ”。
  3. 在“ 基本信息 ”选项卡中,填写必填字段,并为 DCE 指定名称。
  4. “进行其他首选的配置更改”(如果需要),然后单击“ 创建”。

B. 创建自定义 DCR 表

  1. Microsoft Sentinel GitHub 下载示例文件。
  2. 在Azure门户中,导航到“工作区分析”并选择目标工作区。
  3. 单击“表”,单击 顶部的“+ 创建”,然后选择“新建自定义日志 (基于 DCR 的)
  4. “基本信息”选项卡中,在“表名称”上输入 ExchangeHttpProxy,创建名为 DCR-Option7-HTTPProxyLogs (的数据收集规则 ,例如) 并选择以前创建的数据收集终结点。
  5. “架构和转换”选项卡中,选择下载的示例文件,然后单击“转换编辑器”。
  6. 在转换字段中,输入以下 KQL 请求: *source |extend TimeGenerated = todatetime (DateTime) |project-away DateTime
  1. 单击“运行”,并在“应用”之后单击。
  2. 单击“ 下一步”,然后单击“创建”。

C. 修改创建的 DCR,键入自定义日志

  1. 在Azure门户中,导航到Azure数据收集规则
  2. 选择以前创建的 DCR,例如 DCR-Option7-HTTPProxyLogs
  3. 在“ 资源 ”选项卡中,输入 Exchange Server。
  4. “数据源”中,添加数据源类型“自定义文本日志”,并在文件模式中输入“C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log”,在表名称中输入“ExchangeHttpProxy_CL”。 6.in 转换字段中,输入以下 KQL 请求: source | extend TimeGenerated = todatetime (DateTime) | project-away DateTime
  5. 单击“添加数据源”。

将 DCR 分配给所有 Exchange 服务器

将所有 Exchange 服务器添加到 DCR

数据收集规则 - 使用旧Azure Log Analytics 代理时

配置要收集的日志

  1. 在“工作区 设置”部件下,选择“表”,单击“+ 创建”,然后单击“新建自定义日志 (基于 MMA 的)
  2. 选择示例文件 MessageTracking 示例 ,然后单击“下一步”
  3. 选择“Windows”,然后输入以下所有路径 C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Autodiscover*.log、C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Eas*.log、C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ecp*.log, C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Ews*.log,C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Mapi*.log,C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Oab*.log,C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\Owa*.log,C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\OwaCalendar*.log,C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\PowerShell*.log 和 C:\Program Files\Microsoft\Exchange Server\V15\Logging\HttpProxy\RpcHttp*.log 。 单击"下一步"。
  4. 输入 ExchangeHttpProxy 作为表名称,然后单击“下一步”。
  5. 单击保存
  • 安装代理: <在安装时提供的变量值>

注意: 此数据连接器依赖于基于 Kusto 函数分析程序才能按预期工作。 分析程序随解决方案一起自动部署。 按照步骤创建 Kusto Functions 别名: ExchangeAdminAuditLogs

分析程序在解决方案部署期间自动部署。 如果要手动部署,请执行以下步骤

手动分析程序部署

1. 下载分析器文件

最新版本的文件 ExchangeAdminAuditLogs

2. 创建分析器 ExchangeAdminAuditLogs 函数

在Microsoft Sentinel日志分析的“日志”资源管理器中,将文件的内容复制到日志资源管理器

3. 保存分析器 ExchangeAdminAuditLogs 函数

单击“保存”按钮。 此分析程序不需要参数。 再次单击“保存”。



[已弃用]使用 Azure 函数) (使用 Azure Functions) 的 Okta 单 Sign-On (

支持者:Microsoft Corporation

使用 Azure Function) 连接器的 Okta 单 Sign-On (SSO) ( 提供了将审核和事件日志从 Okta API 引入到Microsoft Sentinel的功能。 连接器提供Microsoft Sentinel中的这些日志类型的可见性,以查看仪表板、创建自定义警报以及改进监视和调查功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Okta_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • Okta API 令牌:需要 Okta API 令牌。 有关 Okta 系统日志 API 的详细信息,请参阅文档。

设置说明:

注意:此连接器使用 Azure Functions 连接到 Okta SSO,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

注意:此连接器已更新,如果以前部署了早期版本并想要更新,请在重新部署此版本之前删除现有的 Okta Azure 函数。

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - Okta SSO API 的配置步骤

按照这些说明 创建 API 令牌。

注意 - 有关 Okta 强制实施的速率限制的详细信息,请参阅 文档

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 Okta SSO 连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及 Okta SSO API 授权令牌(随时可用)。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

此方法使用 ARM Tempate 提供 Okta SSO 连接器的自动部署。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID、工作区密钥、API 令牌和 URI

  • uri 值使用以下架构: https://<OktaDomain>/api/v1/logs?since= 将 替换为 <OktaDomain> 域。 单击此处 了解有关如何标识 Okta 域命名空间的更多详细信息。 无需向 URI 添加时间值,函数应用将以正确的格式将日志的初始开始时间动态追加到当前 UTC 日期的 UTC 0:00 作为时间值追加到 URI。
  • 注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档
  1. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。
  2. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Okta SSO 连接器。

步骤 1 - 部署函数应用

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。
  2. 按照函数应用手动部署说明使用 VSCode 部署 Azure Functions 应用。
  3. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。
  3. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。
  4. 分别添加以下 5 个 (5 个) 应用程序设置,其各自的字符串值 (区分大小写) :apiToken workspaceID workspaceKey uri logAnalyticsUri (可选)
  • uri 值使用以下架构: https://<OktaDomain>/api/v1/logs?since= 将 替换为 <OktaDomain> 域。 单击此处 了解有关如何标识 Okta 域命名空间的更多详细信息。 无需向 URI 添加时间值,函数应用将以正确的格式将日志的初始开始时间动态追加到当前 UTC 日期的 UTC 0:00 作为时间值追加到 URI。
  • 注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档
  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://< CustomerId.ods.opinsights.azure.us>。
  1. 输入所有应用程序设置后,单击“ 保存”。



[已弃用]使用 Azure Function) (Azure Functions) 的 SentinelOne (

支持者:Microsoft Corporation

SentinelOne 数据连接器提供通过 REST API 将常见的 SentinelOne 服务器对象(如威胁、代理、应用程序、活动、策略、组等事件)引入Microsoft Sentinel的功能。 有关详细信息, https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview 请参阅 API 文档。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SentinelOne_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:需要 SentinelOneAPIToken 。 请参阅文档,了解有关 上的 https://<SOneInstanceDomain>.sentinelone.net/api-doc/overviewAPI 的详细信息。

设置说明:

注意:此连接器使用 Azure Functions 连接到 SentinelOne API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意: 此数据连接器依赖于基于 Kusto 函数的分析程序才能按预期工作,该分析程序部署为解决方案的一部分。 若要查看 Log Analytics 中的函数代码,请打开 Log Analytics/Microsoft Sentinel“日志”边栏选项卡,单击“函数”并搜索别名 SentinelOne 并加载函数代码或单击此处。 安装/更新解决方案后,函数通常需要 10-15 分钟才能激活。

步骤 1 - SentinelOne API 的配置步骤

按照说明获取凭据。

  1. 使用管理员用户凭据登录到 SentinelOne 管理控制台。
  2. 在管理控制台中,单击“设置”。
  3. “设置”视图中,单击“用户”
  4. 单击“ 新建用户”。
  5. 输入新控制台用户的信息。
  6. 在“角色”中,选择“管理员”。
  7. 单击“ 保存”
  8. 保存新用户的凭据,以便在数据连接器中使用。

注意:- 可以使用自定义角色委托管理员访问权限。 请查看 SentinelOne 文档 ,了解有关自定义 RBAC 的详细信息。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 SentinelOne 数据连接器之前,请从以下) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署 SentinelOne 审核数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3. 输入 SentinelOneAPIToken、SentinelOneUrl(https://<SOneInstanceDomain>.sentinelone.net) 并部署。 4.将标记为 “我同意上述条款和条件”的复选框。 5.单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 使用 Azure Functions (部署手动部署 SentinelOne 报表数据连接器。

  1. 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。

  2. 启动 VS Code。 在主菜单中选择“文件”,然后选择“打开文件夹”。

  3. 从提取的文件中选择顶级文件夹。

  4. 选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“部署到函数应用”按钮。 如果尚未登录,请选择“活动”栏中的“Azure”图标,然后在“Azure:函数”区域中,选择“登录到Azure如果已登录,请转到下一步。

  5. 在提示符下提供以下信息:

    a. 选择文件夹: 从工作区中选择一个文件夹,或浏览到包含函数应用的文件夹。

    b. 选择“订阅”: 选择要使用的订阅。

    c. 选择“在 Azure 中创建新的函数应用” (不要选择“高级”选项)

    d. 输入函数应用的全局唯一名称: 键入在 URL 路径中有效的名称。 将验证键入的名称,以确保它在Azure Functions中是唯一的。 (例如 SOneXXXXX) 。

    e. 选择运行时: 选择“Python 3.11”。

    f. 选择新资源的位置。 为了获得更好的性能和更低的成本,请选择Microsoft Sentinel所在的同一区域

  6. 部署将开始。 创建函数应用并应用部署包后,会显示通知。

  7. 转到函数应用配置Azure门户。

  8. 配置函数应用

  9. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  10. “应用程序设置”选项卡中,选择“新建应用程序设置”。

  11. 单独添加以下每个应用程序设置,其各自的字符串值 (区分大小写) :SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceIDKey logAnalyticsUri (可选)

  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



[已弃用]使用 Azure Function) (Azure Functions) (Sophos Endpoint Protection

支持者:Microsoft Corporation

Sophos Endpoint Protection 数据连接器提供将 Sophos 事件引入Microsoft Sentinel的功能。 有关详细信息,请参阅 Sophos Central 管理员文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SophosEP_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • REST API 凭据/权限:需要 API 令牌 。 有关详细信息,请参阅 API 令牌

设置说明:

注意:此连接器使用 Azure Functions 连接到 Sophos Central API,将其日志拉取到Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

注意:此数据连接器依赖于基于 Kusto 函数分析程序才能按预期方式使用 Microsoft Sentinel 解决方案部署的 SophosEPEvent

步骤 1 - Sophos Central API 的配置步骤

按照说明获取凭据。

  1. 在 Sophos Central 管理员中,转到“全局设置 > API 令牌管理”。
  2. 若要创建新令牌,请单击屏幕右上角的“ 添加令牌 ”。
  3. 选择 令牌名称,然后单击“保存”。此时 会显示此令牌的 API 令牌摘要。
  4. 单击“ 复制”,将 API 访问 URL + 标头从“API 令牌摘要 ”部分复制到剪贴板。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 Sophos Endpoint Protection 数据连接器之前,请从以下) 复制工作区 ID 和工作区主密钥 (。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

使用此方法使用 ARM Tempate 自动部署 Sophos Endpoint Protection 数据连接器。

  1. 单击下面的“部署到Azure”按钮。

    aka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

注意:在同一资源组中,不能在同一区域中混合使用 Windows 和 Linux 应用。 选择不包含 Windows 应用的现有资源组,或创建新的资源组。 3.输入 Sophos API 访问 URL 和标头、AzureSentinelWorkspaceId、AzureSentinelSharedKey。 4.将标记为 “我同意上述条款和条件”的复选框。 5.单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过 Visual Studio Code) 通过 Azure Functions (部署手动部署 Sophos Endpoint Protection 数据连接器。

步骤 1 - 部署函数应用

注意:需要为Azure函数开发准备 VS 代码

  1. 下载 Azure Function App 文件。 将存档提取到本地开发计算机。
  2. 按照函数应用手动部署说明使用 VSCode 部署 Azure Functions 应用。
  3. 成功部署函数应用后,请按照后续步骤对其进行配置。

步骤 2 - 配置函数应用

  1. 转到函数应用配置Azure门户。
  2. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。
  3. “应用程序设置”选项卡中,选择“新建应用程序设置”。
  4. 单独添加以下每个应用程序设置,并 (区分大小写) 各自的字符串值:SOPHOS_TOKEN WorkspaceID WorkspaceKey logAnalyticsUri (可选)
  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



[已弃用]使用 Azure 函数) (使用 Azure Functions) 的 VMware Carbon Black Cloud (

支持者:Microsoft

VMware Carbon Black Cloud 连接器提供将 Carbon Black 数据引入Microsoft Sentinel的功能。 连接器提供对Microsoft Sentinel中的审核、通知和事件日志的可见性,以查看仪表板、创建自定义警报以及改进监视和调查功能。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
CarbonBlackEvents_CL
CarbonBlackNotifications_CL
CarbonBlackAuditLogs_CL

数据收集规则支持: 当前不支持

先决条件:

  • Microsoft.Web/sites 权限:需要对Azure Functions具有读取和写入权限才能创建 Function App。 有关详细信息,请参阅 Azure Functions
  • VMware Carbon Black API Key (s) :需要碳黑 API 和/或 SIEM 级别 API 密钥 () 。 有关 碳黑 API 的详细信息,请参阅文档。
  • 审核事件日志需要碳黑 API 访问级别 API ID 和密钥。
  • 通知警报需要碳黑 SIEM 访问级别 API ID 和密钥。
  • Amazon S3 REST API 凭据/权限:Amazon S3 REST API 需要 AWS 访问密钥 IDAWS 机密访问密钥AWS S3 存储桶名称、AWS S3 存储桶中的文件夹名称

设置说明:

注意:此连接器使用 Azure Functions 连接到 VMware Carbon Black,将其日志拉入Microsoft Sentinel。 这可能会导致额外的数据引入成本。 有关详细信息,请查看Azure Functions定价页

(可选步骤) 在 Azure 密钥保管库 中安全地存储工作区和 API 授权密钥 () 或令牌 () 。 Azure 密钥保管库提供了一种安全机制来存储和检索密钥值。 按照这些说明将 Azure 密钥保管库 与 Azure 函数应用配合使用。

步骤 1 - VMware Carbon Black API 的配置步骤

按照这些说明 创建 API 密钥。

步骤 2 - 从以下两个部署选项中选择一个以部署连接器和关联的 Azure 函数

重要: 在部署 VMware Carbon Black 连接器之前,请准备好可从以下) 复制工作区 ID 和工作区主密钥 (,以及随时可用的 VMware Carbon Black API 授权密钥 () 。

  • 工作区 ID: <在安装时提供的变量值>
  • 主键: <在安装时提供的变量值>

选项 1 - Azure 资源管理器 (ARM) 模板

此方法使用 ARM Tempate 提供 VMware Carbon Black 连接器的自动部署。

  1. 单击下面的“部署到Azure”按钮。

    aka.msaka.ms

  2. 选择首选的 “订阅”、“资源组”和“位置”。

  3. 输入 工作区 ID、工作区密钥、日志类型、API ID () 、API 密钥 () 、Carbon Black 组织密钥、S3 存储桶名称、AWS 访问密钥 ID、AWS 机密访问密钥、EventPrefixFolderNameAlertPrefixFolderName,并验证 URI

  • 输入与你的区域对应的 URI。 可在此处找到 API URL 的完整列表
  • 默认 时间间隔 设置为拉取过去 5 (5) 分钟的数据。 如果需要修改时间间隔,建议在function.json文件中相应地更改函数应用计时器触发器,) 部署后 (,以防止重叠的数据引入。
  • Carbon Black 需要一组单独的 API ID/密钥来引入通知警报。 输入 SIEM API ID/密钥值或留空(如果不需要)。
  • 注意:如果对上述任何值使用Azure 密钥保管库机密,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档
  1. 将标记为 “我同意上述条款和条件”的复选框标记为“我同意”。
  2. 单击“ 购买 ”进行部署。

选项 2 - 手动部署Azure Functions

使用以下分步说明通过Azure Functions手动部署 VMware Carbon Black 连接器。

  1. 创建函数应用

  2. 在Azure门户中,导航到“函数应用”,然后选择“+ 添加”。

  3. “基本信息”选项卡中,确保“运行时堆栈”设置为 Powershell Core

  4. “托管”选项卡中,确保选择了“消耗 (无服务器) 计划类型。

  5. 根据需要进行其他首选的配置更改,然后单击“ 创建”。

  6. 导入函数应用代码

  7. 在新创建的 Function App 中,选择 左窗格中的“函数”,然后单击“+ 添加”。

  8. 选择“ 计时器触发器”。

  9. 输入唯一的函数名称,并根据需要修改 cron 计划。默认值设置为每 5 分钟运行一次函数应用。 (注意:计时器触发器应匹配以下timeInterval值,以防止数据) 重叠,请单击“创建”。

  10. 单击左窗格中的“ 代码 + 测试 ”。

  11. 复制 函数应用代码 并粘贴到函数应用 run.ps1 编辑器中。

  12. 单击保存

  13. 配置函数应用

  14. 在函数应用中,选择“函数应用名称”,然后选择“ 配置”。

  15. “应用程序设置”选项卡中,选择“+ 新建应用程序设置”。

  16. 分别添加以下 13 到 16 个 (13-16 个) 应用程序设置, 及其各自的字符串值 (区分大小写的) :apiId apiKey workspaceIDKeyKeykey timeInterval CarbonBlackOrgKey CarbonBlackLogTypes s3BucketName EventPrefixFolderName AlertPrefixFolderName AWSAccessKeyId AWSSecretAccessKey SIEMapiId (Optional) SIEMapiKey (Optional) logAnalyticsUri (optional)

  • 输入与你的区域对应的 URI。 可 在此处找到 API URL 的完整列表。 该值 uri 必须遵循以下架构: https://<API URL>.conferdeploy.net - 无需向 URI 添加时间后缀,函数应用将以正确的格式动态将时间值追加到 URI。
  • timeInterval (以分钟为单位) 设置为 默认值 5 ,以对应于每 5 分钟的默认计时器触发器。 如果需要修改时间间隔,建议相应地更改函数应用计时器触发器,以防止数据引入重叠。
  • Carbon Black 需要一组单独的 API ID/密钥来引入通知警报。 如果需要, SIEMapiId 请输入 和 SIEMapiKey 值,如果不需要,则省略 。
  • 注意:如果使用 Azure 密钥保管库,请使用@Microsoft.KeyVault(SecretUri={Security Identifier})架构来代替字符串值。 有关更多详细信息,请参阅密钥保管库参考文档
  • 使用 logAnalyticsUri 替代专用云的 log Analytics API 终结点。 例如,对于公有云,请将 值留空;对于 Azure GovUS 云环境,请指定以下格式的值:https://<CustomerId>.ods.opinsights.azure.us
  1. 输入所有应用程序设置后,单击“ 保存”。



Island Enterprise Browser 管理员 事件 (旧版)

支持者:Island

这是旧连接器,不再建议这样做。 请改用 Island Enterprise Browser V2 数据连接器 ,该连接器支持单个连接器中的用户、管理员和系统事件。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Island_Admin_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • 岛 API 密钥:需要岛 API 密钥。

设置说明:

将岛连接到Microsoft Sentinel

这是旧连接器。 有关完整的设置说明,请参阅 官方的 Island 文档 , (需要登录到 Island 管理控制台) 。



Island Enterprise Browser 用户事件 (旧版)

支持者:Island

这是旧连接器,不再建议这样做。 请改用 Island Enterprise Browser V2 数据连接器 ,该连接器支持单个连接器中的用户、管理员和系统事件。

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Island_User_CL

数据收集规则支持:工作区转换 DCR

先决条件:

  • 岛 API 密钥:需要岛 API 密钥。

设置说明:

将岛连接到Microsoft Sentinel

这是旧连接器。 有关完整的设置说明,请参阅 官方的 Island 文档 , (需要登录到 Island 管理控制台) 。



通过旧版代理的安全事件

支持者:Microsoft Corporation

可以使用 Windows 代理从连接到Microsoft Sentinel工作区的 Windows 计算机流式传输所有安全事件。 此连接使你能够查看仪表板、创建自定义警报和改进调查。 这使你可以更深入地了解组织的网络,并改进安全操作功能。 有关详细信息,请参阅Microsoft Sentinel文档

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityEvent

数据收集规则支持:工作区转换 DCR

基于订阅的云Microsoft Defender (旧版)

支持者:Microsoft Corporation

Microsoft Defender for Cloud 是一种安全管理工具,可用于检测和快速响应跨Azure、混合和多云工作负载的威胁。 此连接器允许将安全警报从 Microsoft Defender for Cloud 流式传输到Microsoft Sentinel,以便可以查看工作簿中的 Defender 数据,对其进行查询以生成警报,以及调查和响应事件。

详细信息>

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
SecurityAlert

数据收集规则支持:工作区转换 DCR

通过旧版代理的 Syslog

支持者:Microsoft Corporation

Syslog 是一种常见的事件日志记录协议,Linux。 应用程序将发送可能存储在本地计算机上或传递到 Syslog 收集器的消息。 安装 Linux 代理后,它会配置本地 Syslog 守护程序以将消息转发到代理。 然后,代理会将消息发送到工作区。

了解更多信息 >

Log Analytics 表 () :

表格 DCR 支持 仅限湖的引入
Syslog

数据收集规则支持:工作区转换 DCR

后续步骤

有关更多信息,请参阅:

  • Last updated on