Microsoft Sentinel 資料連接器
將 Microsoft Sentinel 上線至工作區之後,請使用資料連接器開始將資料內嵌至 Microsoft Sentinel。 Microsoft Sentinel 隨附許多立即可用的 Microsoft 服務連接器,可即時整合。 例如,Microsoft Defender XDR 連接器是一個服務對服務連接器,整合了來自 Office 365、Microsoft Entra ID、適用於身分識別的 Microsoft Defender 和 Microsoft Defender for Cloud Apps 的資料。
內建連接器可讓您連線至非 Microsoft 產品的更廣泛安全性生態系統。 例如,使用 Syslog、常見事件格式 (CEF) 或 REST API,將資料來源與 Microsoft Sentinel 連線。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
解決方案隨附的資料連接器
Microsoft Sentinel 解決方案提供安全性內容套件,包括資料連接器、活頁簿、分析規則、劇本等等。 當您使用資料連線器部署解決方案時,您會將資料連線器與相同部署中的相關內容整合。
Microsoft Sentinel 資料連接器 頁面列出已安裝或使用中的資料連接器。
若要新增更多資料連接器,請從內容中樞安裝與資料連接器相關聯的解決方案。 如需詳細資訊,請參閱下列文章:
- 尋找您的 Microsoft Sentinel 資料連線器
- 關於 Microsoft Sentinel 內容和解決方案
- 探索及管理 Microsoft Sentinel 現用內容
- Microsoft Sentinel 內容中樞目錄
- 適用於 Microsoft Sentinel 的進階安全性資訊模型 (ASIM) 區域解決方案
資料連接器的 REST API 整合
許多安全性技術會提供一組用於擷取記錄檔的 API。 某些資料來源可以使用這些 API 連線到 Microsoft Sentinel。
使用 API 的資料連接器會從提供者端整合,或使用 Azure Functions 進行整合,如下列各節所述。
提供者端的整合
提供者建置的 API 整合會與提供者資料來源連線,並使用 Azure 監視器資料收集器 API 將資料推送至 Microsoft Sentinel 自訂記錄資料表。 如需詳細資訊,請參閱 使用 HTTP 資料收集器 API 將記錄資料傳送至 Azure 監視器。
若要了解 REST API 整合,請參閱您的提供者文件和將資料來源連線至 Microsoft Sentinel 的 REST-API 以擷取資料。
使用 Azure Functions 的整合
使用 Azure Functions 與提供者 API 連線的整合會先格式化資料,然後使用 Azure 監視器資料收集器 API 將其傳送至 Microsoft Sentinel 自訂記錄資料表。
如需詳細資訊,請參閱
- 使用 HTTP 資料收集器 API 將記錄資料傳送至 Azure 監視器
- 使用 Azure Functions 將資料來源連線至 Microsoft Sentinel
- Azure Functions 文件
使用 Azure Functions 的整合可能會產生額外的資料擷取成本,因為您將 Azure Functions 託管於 Azure 租用戶上。 深入了解 Azure Functions 定價。
資料連接器的代理程式型整合
Microsoft Sentinel 可以使用 Azure 監視器服務 (Microsoft Sentinel 的基礎) 提供的代理程式來收集任何能執行即時記錄串流的資料來源的資料。 例如,大部分的內部部署資料來源都會使用代理程式型整合進行連線。
下列各節說明不同類型的 Microsoft Sentinel 代理程式型資料連接器。 若要使用代理程式型機制設定連線,請遵循 Microsoft Sentinel 各資料連接器頁面中的步驟。
重要
Log Analytics 代理程式將於 2024 年 8 月 31 日淘汰,並由 Azure 監視器代理程式 (AMA) 接續。 如果您在 Microsoft Sentinel 部署中使用記錄分析代理程式,我們建議您開始規劃移轉至 AMA。 如需詳細資訊,請參閱 適用於 Microsoft Sentinel 的 AMA 移轉。
Syslog 和常見事件格式 (CEF)
您可以使用 Azure 監視器代理程式 (AMA) 將事件從支援 Syslog 的 Linux 型裝置串流到 Microsoft Sentinel。 記錄格式會有所不同,但許多來源都支援以 CEF 為基礎的格式。 視裝置類型而定,代理程式會直接安裝在裝置上,或安裝在專用的 Linux 型記錄轉寄站上。 AMA 會透過 UDP 接收一般 Syslog 或來自 Syslog 精靈的 CEF 事件訊息。 Syslog 精靈會在內部將事件轉送至代理程式,透過 TCP 或 UDS (Linux 網域 Socket) 通訊,視版本而定。 AMA 接著會將這些事件傳輸至 Microsoft Sentinel 工作區。
以下是說明 Microsoft Sentinel 如何串流 Syslog 資料的簡單流程。
- 裝置的內建 Syslog 精靈會收集指定類型的本機事件,並在本機將事件轉送至代理程式。
- 代理程式會將事件串流至 Log Analytics 工作區。
- 組態成功後,Syslog 訊息會出現在 Log Analytics Syslog 資料表中,且 CEF 訊息會出現在 CommonSecurityLog 資料表中。
如需詳細資訊,請參閱 透過 AMA 連接器將 Syslog 和常見事件格式 (CEF) 內嵌於 Microsoft Sentinel。
自訂的記錄
針對某些資料來源,您可以使用 Log Analytics 自訂記錄收集代理程式,將記錄收集為 Windows 或 Linux 電腦上的檔案。
若要使用 Log Analytics 自訂記錄收集代理程式進行連線,請遵循 Microsoft Sentinel 各資料連接器頁面的步驟。 設定成功之後,資料會出現在自訂資料表中。
如需詳細資訊,請參閱使用 Log Analytics 代理程式將自訂記錄格式的資料收集到 Microsoft Sentinel。
資料連接器的服務對服務整合
Microsoft Sentinel 使用 Azure 基礎來提供 Microsoft 服務和 Amazon Web Services 的現成服務對服務支援。
如需詳細資訊,請參閱下列文章:
資料連接器支援
Microsoft 和其他組織都會撰寫 Microsoft Sentinel 資料連接器。 每個資料連接器在下列支援類型中都有一項列在 Microsoft Sentinel 的資料連結器頁面上。
| 支援類型 | 描述 |
|---|---|
| Microsoft 支援 | 適用於:
合作夥伴或社群支援由 Microsoft 以外的任何合作方撰寫的資料連接器。 |
| 合作夥伴支援 | 適用於 Microsoft 以外合作夥伴所撰寫的資料連線器。 合作夥伴公司會為這些資料連線器提供支援或維護。 合作夥伴公司可以是獨立軟體廠商、受管理的服務提供者 (MSP/MSSP)、系統整合者 (SI),或任何在 Microsoft Sentinel 頁面上針對資料連接器提供連絡資訊的組織。 針對合作夥伴支援資料連接器的任何問題,請連絡指定的資料連接器支援連絡人。 |
| 社群支援 | 適用於 Microsoft 或合作夥伴開發人員撰寫的資料連接器,這些連接器並未在 Microsoft Sentinel 的指定資料連接器頁面上列出資料連接器支援和維護的連絡人。 若有與這些資料連接器相關的疑問或問題,請在 Microsoft Sentinel GitHub 社群中提出問題。 |
如需詳細資訊,請參閱 尋找資料連接器的支援。
下一步
如需連接器概念的詳細資訊,請參閱下列文章。
如需 Bicep、Azure Resource Manager 和 Terraform 的基礎結構即程式碼 (IaC) 的基本參考,以便在 Microsoft Sentinel 中部署資料連接器,請參閱 Microsoft Sentinel 資料連接器 IaC 參考。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應