连接数据源

已完成

启用 Microsoft Sentinel 后,下一步是将其连接到要使用的服务。

服务到服务数据连接器

撰写本文时,有 56 个开箱即用的数据连接器支持公共数据源集成。 这些连接器归类为“服务到服务”,因为这些应用程序中内置了通信服务层。 通过通信服务层,Microsoft Sentinel 中的连接器服务可以与所选应用程序的通信服务进行通信。

本机服务到服务连接器

Microsoft Sentinel 以原生方式与这些 Azure 和非 Azure 服务进行互操作:

  • Azure 活动日志
  • Azure AD (审核日志和登录日志)
  • Microsoft Defender for Cloud
  • Azure AD 标识保护
  • Azure ATP
  • Amazon Web Services CloudTrail
  • Defender for Cloud Apps
  • 域名服务器
  • Office 365
  • Microsoft Defender ATP
  • Azure Web 应用程序防火墙
  • Windows Defender 防火墙
  • Windows 安全事件

由于这些解决方案使用 Azure Foundation 实现开箱即用的互操作性,因此只需几个步骤就可以将 Microsoft Sentinel 连接到它们。

通过 API 进行外部解决方案连接

某些数据源是通过使用连接的数据源提供的 API 连接的。 大多数安全技术都会提供一组 API,可通过这些 API 检索事件日志。 这些 API 连接到 Microsoft Sentinel,收集特定数据类型,并将数据存储在选定的 Azure Monitor Log Analytics 工作区中:

  • Alcide kAudit
  • Barracuda Web 应用程序防火墙
  • Barracuda CloudGen 防火墙
  • Citrix Analytics for Security
  • F5 BIG-IP
  • Forcepoint DLP
  • Perimeter 81 活动日志
  • Squadra Technologies secRMM
  • Symantec ICDx
  • Zimperium Mobile Threat Defense

连接到 Azure AD

收集数据的最直接方式是使用内置的 Microsoft Sentinel 连接器。 可通过 Microsoft Sentinel 界面访问内置连接器的列表。

Microsoft Sentinel 提供了应针对每个连接器安装的工作簿的建议,使每个连接器可以从数据中获取见解。

还可以选择要获取的 Azure AD 日志类型:

  • 登录日志:提供有关托管应用程序和用户登录活动的使用情况的信息。
  • 审核日志:提供有关用户和组管理、托管应用程序和目录活动的系统活动信息。

在此示例中,我们将从 Microsoft Sentinel 连接到 Azure AD:

  1. 在 Azure 门户上的“所有服务”选项下,选择“Microsoft Sentinel”。

  2. 在“导航”菜单中,选择“数据连接器”。 此页列出了 Microsoft Sentinel 提供的所有连接器及其状态。

    具有连接器列表的 Microsoft Sentinel 连接器页的屏幕截图。

  3. 在“数据连接器”页上,选择“Azure Active Directory”磁贴。 Microsoft Sentinel Azure Active Directory 连接器页会打开。

    Microsoft Sentinel Azure Active Directory 连接器页的屏幕截图。

  4. 阅读先决条件,并确保已满足这些条件。 然后按照说明连接数据源。

  5. 选择“Azure Active Directory 登录日志”和“Azure Active Directory 审核日志”。

    Microsoft Sentinel 连接器配置选项的屏幕截图。

验证数据源连接

将数据源连接到 Microsoft Sentinel 后,会获取数据可视化和分析,以便了解所有连接的数据源中发生的情况。

若要确认连接器是否正常工作,请转到 Azure 门户。 在 Azure 门户中,选择“Microsoft Sentinel”,然后选择启用 Microsoft Sentinel 时使用的工作区。

Microsoft Sentinel - 分析概述页面的屏幕截图。

概述页面的主体提供了对工作区安全状态的见解。 以下屏幕截图显示了一段时间发生的事件和警报部分。

一段时间发生的事件和警报部分的屏幕截图。

一段时间发生的事件和警报部分列出事件数和从这些事件创建的警报数。 如果正在注册事件,则表明连接器正常工作。

根据 Contoso 管理员最初连接到的服务,某些警报显示之前可能出现延迟。 信息性警报应是第一个显示的警报。

威胁检测规则模板

将数据源连接到 Microsoft Sentinel 后,你希望在发生可疑情况时收到通知。 为此,Microsoft Sentinel 提供了威胁检测规则模板,你可以按原样使用或自定义这些模板。 这些模板由 Microsoft 安全专家和分析师设计。 它们基于已知威胁、常见攻击途径和可疑活动上报链。

基于这些模板创建的规则自动在整个环境中搜索任何看起来可疑的活动。 可以自定义许多模板以搜索活动,或根据需要进行筛选。

Microsoft Sentinel 使用融合技术将这些规则作为事件生成的警报相关联。 事件是相关警报组,它们一起创建可在环境中分配和调查的操作事件。 可以查看内置仪表板中的日志,并在 Log Analytics 中生成查询以调查数据。

内置工作簿

Microsoft Sentinel 提供用于日志和查询分析的工作簿。 这些工作簿基于“监视”工作簿。 除内置表和图表外,他们还使用 Azure 中现成可用的工具。 可以使用内置工作簿、自定义现有工作簿,还可以从头开始创建新工作簿。

内置工作簿提供来自连接的数据源的集成数据。 借助内置工作簿,可以检查这些服务生成的事件。 内置工作簿包括 Azure AD、Azure 活动事件和本地事件。 这些本地事件可以包括来自 Windows 事件、来自服务器或来自 Microsoft 警报的数据。

也可以从任何非 Microsoft 服务收集事件。 这些事件包括防火墙流量日志、Office 365 和不安全且基于 Windows 事件的协议。