Připojení zdrojů datConnect data sources

Jakmile povolíte Azure Sentinel, je nejdřív potřeba udělat připojení ke zdrojům dat.Once you have enabled Azure Sentinel, the first thing you need to do is connect your data sources. Služba Azure Sentinel je dodávána s řadou konektorů pro řešení Microsoftu, které jsou dostupné mimo pole, a poskytuje integraci v reálném čase, včetně Microsoft 365 Defender (dříve Microsoft Threat Protection), Microsoft 365ch zdrojů (včetně Office 365), Azure AD, Microsoft Defenderu pro identitu (dřív Azure ATP), Microsoft Cloud App Security a dalších.Azure Sentinel comes with a number of connectors for Microsoft solutions, available out of the box and providing real-time integration, including Microsoft 365 Defender (formerly Microsoft Threat Protection) solutions, Microsoft 365 sources (including Office 365), Azure AD, Microsoft Defender for Identity (formerly Azure ATP), Microsoft Cloud App Security, and more. Kromě toho jsou k dispozici Integrované konektory k širšímu ekosystému zabezpečení pro řešení jiných výrobců než Microsoftu.In addition, there are built-in connectors to the broader security ecosystem for non-Microsoft solutions. Pomocí protokolu CEF (Common Event Format), syslog nebo REST-API můžete také připojit zdroje dat k Azure Sentinel.You can also use Common Event Format (CEF), Syslog or REST-API to connect your data sources with Azure Sentinel.

  1. V nabídce vyberte datové konektory.On the menu, select Data connectors. Tato stránka vám umožní zobrazit úplný seznam konektorů, které poskytuje Azure Sentinel, a jejich stav.This page lets you see the full list of connectors that Azure Sentinel provides and their status. Vyberte konektor, který chcete připojit, a vyberte stránku otevřít konektor.Select the connector you want to connect and select Open connector page.

    Galerie datových konektorů

  2. Na stránce konkrétní konektor se ujistěte, že jste splnili všechny předpoklady, a postupujte podle pokynů pro připojení dat ke službě Azure Sentinel.On the specific connector page, make sure you have fulfilled all the prerequisites and follow the instructions to connect the data to Azure Sentinel. Může chvíli trvat, než se protokoly spustí synchronizace s Sentinel Azure.It may take some time for the logs to start syncing with Azure Sentinel. Po připojení se zobrazí souhrn dat v grafu přijatá data a stav připojení datových typů.After you connect, you see a summary of the data in the Data received graph, and connectivity status of the data types.

    Konfigurace datových konektorů

  3. Kliknutím na kartu Další kroky zobrazíte seznam předem připraveného obsahu Azure Sentinel pro konkrétní datový typ.Click the Next steps tab to get a list of out-of-the-box content Azure Sentinel provides for the specific data type.

    Další kroky pro konektory

Metody datového připojeníData connection methods

Služba Azure Sentinel podporuje následující metody datového připojení:The following data connection methods are supported by Azure Sentinel:

Možnosti připojení agentaAgent connection options

Aby bylo možné připojit externí zařízení ke službě Azure Sentinel, musí být agent nasazen na vyhrazeném počítači (VM nebo místně), aby podporoval komunikaci mezi zařízením a službou Azure Sentinel.To connect your external appliance to Azure Sentinel, the agent must be deployed on a dedicated machine (VM or on premises) to support the communication between the appliance and Azure Sentinel. Agent může být nasazen automaticky nebo ručně.You can deploy the agent automatically or manually. Automatické nasazení je dostupné jenom v případě, že váš vyhrazený počítač je nový virtuální počítač, který vytváříte v Azure.Automatic deployment is only available if your dedicated machine is a new VM you are creating in Azure.

CEF v Azure

Případně můžete agenta nasadit ručně na existující virtuální počítač Azure, na virtuální počítač v jiném cloudu nebo na místní počítač.Alternatively, you can deploy the agent manually on an existing Azure VM, on a VM in another cloud, or on an on-premises machine.

Místní CEF

Mapování datových typů na možnosti připojení služby Azure SentinelMap data types with Azure Sentinel connection options

Datový typData type Jak se připojitHow to connect Datový konektor?Data connector? KomentářeComments
AWSCloudTrailAWSCloudTrail Připojení AWSConnect AWS
AzureActivityAzureActivity Přehled připojení aktivit a protokolů aktivit AzureConnect Azure Activity and Activity logs overview
AuditLogsAuditLogs Připojení Azure ADConnect Azure AD
SigninLogsSigninLogs Připojení Azure ADConnect Azure AD
AzureFirewallAzureFirewall Diagnostika AzureAzure Diagnostics
InformationProtectionLogs_CLInformationProtectionLogs_CL Sestavy Azure Information ProtectionAzure Information Protection reports
Připojení služby Azure Information ProtectionConnect Azure Information Protection
To obvykle používá funkci InformationProtectionEvents společně s datovým typem.This usually uses the InformationProtectionEvents function in addition to the data type. Další informace najdete v tématu Postup úpravy sestav a vytváření vlastních dotazů .For more information, see How to modify the reports and create custom queries
AzureNetworkAnalytics_CLAzureNetworkAnalytics_CL Analýza provozu analytického schématu provozuTraffic analytic schema Traffic analytics
CommonSecurityLogCommonSecurityLog Připojit CEFConnect CEF
OfficeActivityOfficeActivity Připojení Office 365Connect Office 365
SecurityEventsSecurityEvents Připojení událostí zabezpečení systému WindowsConnect Windows security events Sešity nezabezpečených protokolů najdete v tématu Nastavení sešitu nezabezpečených protokolů .For the Insecure Protocols workbooks, see Insecure protocols workbook setup
SyslogSyslog Připojení SysloguConnect Syslog
Firewall webových aplikací Microsoft (WAF) – (AzureDiagnostics)Microsoft Web Application Firewall (WAF) - (AzureDiagnostics) Připojení brány firewall webových aplikací od MicrosoftuConnect Microsoft Web Application Firewall
SymantecICDx_CLSymantecICDx_CL Připojit SymantecConnect Symantec
ThreatIntelligenceIndicatorThreatIntelligenceIndicator Připojení analýzy hrozebConnect threat intelligence
VMConnectionVMConnection
ServiceMapComputer_CLServiceMapComputer_CL
ServiceMapProcess_CLServiceMapProcess_CL
Mapa služby Azure MonitorAzure Monitor service map
Azure Monitor připojování k VIRTUÁLNÍm počítačůmAzure Monitor VM insights onboarding
Povolení Azure Monitorch přehledů virtuálních počítačůEnable Azure Monitor VM insights
Použití samostatného připojení k virtuálnímu počítačiUsing Single VM On-boarding
Použití při připojování prostřednictvím zásadUsing On-boarding Via Policy
Sešit VM InsightsVM insights workbook
DnsEventsDnsEvents Připojit DNSConnect DNS
W3CIISLogW3CIISLog Připojit protokoly služby IISConnect IIS logs
WireDataWireData Připojení dat o kabelechConnect Wire Data
WindowsFirewallWindowsFirewall Připojit bránu Windows FirewallConnect Windows Firewall
AADIP SecurityAlertAADIP SecurityAlert Připojení Azure AD Identity ProtectionConnect Azure AD Identity Protection
AATP SecurityAlertAATP SecurityAlert Připojení programu Microsoft Defender k identitě (dříve atp. Azure)Connect Microsoft Defender for Identity (formerly Azure ATP)
SecurityAlert ASCASC SecurityAlert Připojení výstrah v programu Azure Defender z Azure Security CenterConnect Azure Defender alerts from Azure Security Center
MCAS SecurityAlertMCAS SecurityAlert Připojit Microsoft Cloud App SecurityConnect Microsoft Cloud App Security
SecurityAlertSecurityAlert
Sysmon (událost)Sysmon (Event) Připojit SysmonConnect Sysmon
Připojit události systému WindowsConnect Windows Events
Získání analyzátoru SysmonGet the Sysmon Parser
Kolekce Sysmon není ve výchozím nastavení ve virtuálních počítačích nainstalovaná.Sysmon collection is not installed by default on virtual machines. Další informace o tom, jak nainstalovat agenta Sysmon, najdete v tématu Sysmon.For more information on how to install the Sysmon Agent, see Sysmon.
ConfigurationDataConfigurationData Automatizace inventáře virtuálních počítačůAutomate VM inventory
ConfigurationChangeConfigurationChange Automatizace sledování virtuálních počítačůAutomate VM tracking
F5 BIG-IPF5 BIG-IP Připojení F5 BIG-IPConnect F5 BIG-IP
McasShadowItReportingMcasShadowItReporting
Barracuda_CLBarracuda_CL Připojení BarracudyConnect Barracuda

Další krokyNext steps