在你將 Microsoft Sentinel 導入工作空間後,使用資料連接器開始將資料匯入 Microsoft Sentinel。 Microsoft Sentinel 內建許多開箱即用的 Microsoft 服務連接器,這些連接器可即時整合。 例如,Microsoft Defender 全面偵測回應連接器是一種服務對服務連接器,整合了來自 Office 365、Microsoft Entra ID、適用於身分識別的 Microsoft Defender 以及 Microsoft Defender for Cloud Apps 的資料。
內建連接器使非 Microsoft 產品能連接更廣泛的安全生態系統。 例如,可以使用 Syslog、CEF) (Common Event Format 或 REST API 來將你的資料來源與Microsoft Sentinel連結。
注意事項
關於美國政府雲端功能可用性的資訊,請參閱 Microsoft Sentinel 在雲端中為美國政府客戶提供的功能可用性表格。
重要事項
根據 2024 年的公告,自 2026 年 9 月 14 日起,舊有的 HTTP Data Collector API 將不再支援。 使用 HTTP Data Collector API 的資料來源、自訂整合或連接器應轉換至支援的替代方案,以避免在此日期後可能的擷取中斷。
如果您目前正在使用 HTTP Data Collector API,我們建議您開始規劃遷移至 Logs Ingestion API 或 CCF) (Codeless Connector Framework 的遷移,以確保資料擷取不中斷、可靠性提升、可擴展性及長期支援。
Microsoft Sentinel 資料湖的資料管理考慮事項
以下考量必須納入您的合規與資料管理規劃:
GDPR與資料保存
- 租戶管理員可利用分析層級的清除功能行使 GDPR 權利。 這不影響資料湖層級。
- 特定紀錄無法從 Sentinel 資料湖中清除。 資料湖會保留所接收的資料,直到定義的保留期間,即使資料在來源或分析層被刪除。
Purview 整合。 Purview 設定的變更不會影響 Sentinel 資料湖中儲存的資料。
儲存位置 Sentinel 資料湖儲存位置由租戶管理員選擇,可能與來源服務的主要儲存位置不同。
重要事項
自 2027 年 3 月 31 日起,Microsoft Sentinel 將不再支援 Azure 入口網站,僅能在 Microsoft Defender 入口網站中使用。 所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶,將被重新導向至 Defender 入口網站,且僅在 Defender 入口網站使用 Microsoft Sentinel。
如果您仍在 Azure 入口網站使用 Microsoft Sentinel,建議您開始規劃轉換至 Defender 入口網站,以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。
資料連接器附解決方案
Microsoft Sentinel 解決方案提供打包的安全內容,包括資料連接器、工作簿、分析規則、操作手冊等。 當你部署包含資料連接器的解決方案時,你會在同一部署中同時取得資料連接器和相關內容。
Microsoft Sentinel 資料連接器頁面列出已安裝或正在使用的資料連接器。
若要新增更多資料連接器,請安裝內容 中心與資料連接器相關的解決方案。 如需詳細資訊,請參閱下列文章:
- 尋找你的 Microsoft Sentinel 資料連接器
- 關於 Microsoft Sentinel 內容與解決方案
- 發現並管理 Microsoft Sentinel 開箱即用的內容
- Microsoft Sentinel content hub catalog
- 基於 ASIM) (進階安全資訊模型(Advanced Security Information Model)Microsoft Sentinel領域解決方案
建立自訂連接器
如果你無法用現有解決方案將資料來源連接到 Microsoft Sentinel,可以考慮自行建立資料來源連接器。 例如,許多安全解決方案提供一組 API,用於從其產品或服務中擷取日誌檔案及其他安全資料。 這些 API 透過以下其中一種方式連接到 Microsoft Sentinel:
- 資料來源 API 採用 無碼連接器框架(Codeless Connector Framework)配置。
- 資料連接器使用 Azure Monitor 的日誌擷取 API,作為 Azure 函式或邏輯應用程式的一部分。
你也可以直接使用 Azure Monitor Agent 或 Logstash 來建立自訂連接器。 欲了解更多資訊,請參閱建立 Microsoft Sentinel 自訂連接器的資源。
基於代理的資料連接器整合
Microsoft Sentinel 可以利用 Microsoft Sentinel 所依據的 Azure Monitor 服務 (提供的代理程式) 從任何能執行即時日誌串流的資料來源收集資料。 例如,大多數本地資料來源透過代理式整合來連接。
以下章節將介紹不同類型的 Microsoft Sentinel 代理式資料連接器。 要使用代理機制配置連線,請依照每個 Microsoft Sentinel 資料連接器頁面中的步驟操作。
Syslog 與 CEF (Common Event Format)
你可以透過 AMA) (Azure Monitor Agent,將基於 Linux 的 Broadcast 事件串流到 Microsoft Sentinel。 日誌格式各異,但許多來源支援基於 CEF 的格式化。 依裝置類型不同,代理程式會直接安裝在裝置上,或安裝在專用的 Linux 日誌轉發器上。 AMA 透過 UDP 接收來自 Syslog 守護程序的純 Syslog 或 CEF 事件訊息。 Syslog 守護進程會將事件轉發給代理程式內部,依版本不同,透過 TCP 或 UDS (Unix 網域套接字) 通訊。 AMA 接著將這些事件傳送至 Microsoft Sentinel 工作空間。
這裡有一個簡單的流程,展示 Microsoft Sentinel 如何串流 Syslog 資料。
- 裝置內建的 Syslog 守護進程會收集指定類型的本地事件,並將事件本地轉發給代理程式。
- 代理會將事件串流到你的日誌分析工作區。
- 設定成功後,Syslog 訊息會出現在 Log Analytics 的 Syslog 資料表中,CEF 訊息則會出現在 CommonSecurityLog 的資料表中。
欲了解更多資訊,請參閱 Syslog 及 CEF) (透過 AMA 連接器Microsoft Sentinel常見事件格式。
自訂日誌
對於某些資料來源,你可以在 Windows 或 Linux 電腦上使用 Log Analytics 的自訂日誌收集代理程式,將日誌以檔案形式收集。
要使用 Log Analytics 的自訂日誌收集代理程式連接,請依照每個 Microsoft Sentinel 資料連接器頁面中的步驟操作。 設定成功後,資料會出現在自訂資料表中。
欲了解更多資訊,請參閱透過 AMA 資料連接器自訂日誌 - 從特定應用程式設定資料擷取至 Microsoft Sentinel。
資料連接器的服務對服務整合
Microsoft Sentinel 利用 Azure 基礎,為 Microsoft 服務與 Amazon Web Services 提供開箱即用的服務對服務支援。
如需詳細資訊,請參閱下列文章:
資料連接器支援
Microsoft 及其他組織皆開發 Microsoft Sentinel 資料連接器。 每個資料連接器都有以下一種支援類型,這些類型在 Microsoft Sentinel 的資料連接器頁面上列出。
| 支援類型 | 描述 |
|---|---|
| Microsoft 支援 | 適用於:
合作夥伴或社群支持非 Microsoft 任何方所撰寫的資料連接器。 |
| 夥伴支持型 | 適用於由非 Microsoft 所撰寫的資料連接器。 合作夥伴公司提供這些資料連接器的支援或維護。 合作公司可以是獨立軟體供應商、MSP/MSSP) (管理服務提供者、系統整合商 (SI) ,或任何在該資料連接器Microsoft Sentinel頁面提供聯絡資訊的組織。 如有合作夥伴支援資料連接器的問題,請聯絡指定的資料連接器支援聯絡人。 |
| 社群支持 | 適用於由 Microsoft 或合作夥伴開發者撰寫的資料連接器,且在 Microsoft Sentinel 的資料連接器頁面中未列出資料連接器支援與維護的聯絡人。 如對這些資料連接器有疑問或問題,您可以在 Microsoft Sentinel GitHub 社群提出問題。 |
欲了解更多資訊,請參閱 尋找資料連接器的支援。
後續步驟
欲了解更多資料連接器相關資訊,請參閱以下文章。
關於 Bicep、Azure Resource Manager 和 Terraform 在 Microsoft Sentinel 部署資料連接器) 基本的基礎基礎架構作為代碼 (IaC,請參見Microsoft Sentinel資料連接器 IaC 參考資料。