Microsoft Sentinel 資料連接器
將 Microsoft Sentinel 上線至工作區之後,請使用資料連接器開始將資料內嵌至 Microsoft Sentinel。 Microsoft Sentinel 隨附許多立即可用的 Microsoft 服務連接器,可即時整合。 例如,Microsoft Defender 全面偵測回應 連接器是一種服務對服務連接器,可整合 Office 365、Microsoft Entra ID、適用於身分識別的 Microsoft Defender 和 適用於雲端的 Microsoft Defender Apps 的數據。
內建連接器可讓您連線至非 Microsoft 產品的更廣泛安全性生態系統。 例如,使用 Syslog、常見事件格式 (CEF) 或 REST API,將資料來源與 Microsoft Sentinel 連線。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Microsoft Defender 入口網站中的 Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
提供解決方案的數據連接器
Microsoft Sentinel 解決方案提供封裝的安全性內容,包括數據連接器、活頁簿、分析規則、劇本等等。 當您使用資料連線器部署解決方案時,您會將資料連線器與相同部署中的相關內容整合。
Microsoft Sentinel Data 連接器 頁面會列出已安裝或使用中的數據連接器。
若要新增更多資料連接器,請從內容中樞安裝與資料連接器相關聯的解決方案。 如需詳細資訊,請參閱下列文章:
- 尋找您的 Microsoft Sentinel 資料連線器
- 關於Microsoft Sentinel 內容和解決方案
- 探索及管理 Microsoft Sentinel 現用內容
- Microsoft Sentinel 內容中樞目錄
- Microsoft Sentinel 的進階安全性資訊模型 (ASIM) 型領域解決方案
資料連接器的 REST API 整合
許多安全性技術提供一組 API 來擷取記錄檔。 某些數據源可以使用這些 API 來連線到 sentinel Microsoft。
使用 API 的資料連接器會從提供者端整合,或使用 Azure Functions 進行整合,如下列各節所述。
提供者端的整合
提供者所建置的 API 整合會與提供者數據源連線,並使用 Azure 監視器數據收集器 API 將數據推送至Microsoft Sentinel 自定義記錄數據表。 如需詳細資訊,請參閱 使用 HTTP 資料收集器 API 將記錄資料傳送至 Azure 監視器。
若要瞭解 REST API 整合,請閱讀提供者檔,並將 數據源連線到Microsoft Sentinel 的 REST-API 內嵌數據。
使用 Azure Functions 進行整合
使用 Azure Functions 與提供者 API 連線的整合會先格式化資料,然後使用 Azure 監視器資料收集器 API 將其傳送至 Microsoft Sentinel 自訂記錄資料表。
如需詳細資訊,請參閱
- 使用 HTTP 資料收集器 API 將記錄資料傳送至 Azure 監視器
- 使用 Azure Functions 將數據源連線到 sentinel Microsoft
- Azure Functions 文件
使用 Azure Functions 的整合可能會有額外的數據擷取成本,因為您在 Azure 組織中裝載 Azure Functions。 深入瞭解 Azure Functions 定價。
資料連接器的代理程式型整合
Microsoft Sentinel 可以使用 Azure 監視器服務所提供的代理程式(Microsoft Sentinel 所依據),從任何可執行實時記錄串流的數據源收集數據。 例如,大部分的內部部署數據源會使用代理程式型整合進行連線。
下列各節說明不同類型的 Microsoft Sentinel 代理程式型資料連接器。 若要使用代理程式型機制設定連線,請遵循每個Microsoft Sentinel 數據連接器頁面中的步驟。
重要
Log Analytics 代理程式將於 2024 年 8 月 31 日淘汰,並由 Azure 監視器代理程式 (AMA) 成功。 如果您在Microsoft Sentinel 部署中使用Log Analytics代理程式,建議您開始規劃移轉至 AMA。 如需詳細資訊,請參閱 Microsoft Sentinel 的 AMA 移轉。
Syslog 和通用事件格式 (CEF)
您可以使用 Azure 監視器代理程式 (AMA) 將 Linux 型 Syslog 支援裝置的事件串流至 Microsoft Sentinel。 記錄格式會有所不同,但許多來源都支援以 CEF 為基礎的格式。 視裝置類型而定,代理程式會直接安裝在裝置上,或安裝在專用的 Linux 型記錄轉寄站上。 AMA 會透過 UDP 從 Syslog 精靈接收一般 Syslog 或 CEF 事件訊息。 Syslog 精靈會根據版本,在內部將事件轉送至代理程式,透過 TCP 或 UDS (Unix 網域套接字)進行通訊。 AMA 接著會將這些事件傳輸至 Microsoft Sentinel 工作區。
以下是一個簡單的流程,示範 Sentinel Microsoft 如何串流 Syslog 數據。
- 裝置的內建 Syslog 精靈會收集指定類型的本機事件,並在本機將事件轉送至代理程式。
- 代理程式會將事件串流至 Log Analytics 工作區。
- 成功設定之後,Syslog 訊息會出現在 Log Analytics Syslog 數據表中,以及 CommonSecurityLog 數據表中的 CEF 訊息。
如需詳細資訊,請參閱 透過 AMA 連接器Microsoft Sentinel 的 Syslog 和 Common Event Format (CEF)。
自訂的記錄
針對某些資料來源,您可以使用 Log Analytics 自訂記錄收集代理程式,將記錄收集為 Windows 或 Linux 電腦上的檔案。
若要使用 Log Analytics 自定義記錄收集代理程式進行連線,請遵循每個Microsoft Sentinel 數據連接器頁面中的步驟。 設定成功之後,資料會出現在自訂資料表中。
如需詳細資訊,請參閱 使用Log Analytics代理程式收集自定義記錄格式的數據,以Microsoft Sentinel。
資料連接器的服務對服務整合
Microsoft Sentinel 會使用 Azure 基礎,為 Microsoft 服務 和 Amazon Web Services 提供現用的服務對服務支援。
如需詳細資訊,請參閱下列文章:
資料連接器支援
Microsoft 和其他組織都會撰寫 Microsoft Sentinel 資料連接器。 每個數據連接器都有下列其中一種支援類型,列在 sentinel 的數據連接器頁面上Microsoft。
| 支援類型 | 描述 |
|---|---|
| 支援Microsoft | 適用於:
合作夥伴或社群支援由Microsoft以外的任何合作物件所撰寫的數據連接器。 |
| 合作夥伴支援 | 適用於 Microsoft 以外合作夥伴所撰寫的資料連線器。 合作夥伴公司會為這些資料連線器提供支援或維護。 合作夥伴公司可以是獨立軟體廠商、受控服務提供者(MSP/MSSP)、系統整合者(SI),或任何在該數據連接器的 [Microsoft Sentinel] 頁面上提供其連絡資訊的組織。 如需合作夥伴支援之數據連接器的任何問題,請連絡指定的數據連接器支持聯繫人。 |
| 社群支援 | 適用於Microsoft或合作夥伴開發人員所撰寫的數據連接器,這些連接器未列出Microsoft Sentinel 數據連接器頁面上數據連接器支援和維護的聯繫人。 如需這些數據連接器的問題,您可以在 sentinel GitHub 社群Microsoft提出問題。 |
如需詳細資訊,請參閱 尋找數據連接器的支援。
下一步
如需數據連接器的詳細資訊,請參閱下列文章。
如需 Bicep、Azure Resource Manager 和 Terraform 的基本基礎結構即程式代碼 (IaC) 參考,以在 Microsoft Sentinel 中部署數據連接器,請參閱 Microsoft Sentinel 數據連接器 IaC 參考。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應