Datové konektory Microsoft Sentinelu
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Poznámka
Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tématu věnovaném tabulkám Sentinel Microsoftu v cloudu dostupnost funkcí pro státní správu USA.
Po připojení Microsoft Sentinelu do pracovního prostoru připojte zdroje dat a začněte ingestovat data do Microsoft Sentinelu. Microsoft Sentinel obsahuje řadu konektorů pro produkty Microsoftu, které jsou k dispozici předem a poskytují integraci v reálném čase. Například konektory service-to-service zahrnují konektory Microsoft 365 Defender a zdroje Microsoft 365, jako jsou Office 365, Azure Active Directory (Azure AD), Microsoft Defender for Identity a Microsoft Defender for Cloud Apps.
Pro produkty jiných společností než Microsoft můžete také povolit předsudky pro širší ekosystém zabezpečení. K propojení zdrojů dat se službou Microsoft Sentinel můžete například použít syslog, Common Event Format (CEF)nebo rozhraní REST API.
Na stránce Datové konektory, která je přístupná z navigační nabídky Microsoft Sentinelu, se zobrazí úplný seznam konektorů, které Microsoft Sentinel poskytuje, a jejich stav ve vašem pracovním prostoru. Vyberte konektor, který chcete připojit, a pak vyberte Otevřít stránku konektoru.
Tento článek popisuje podporované metody datového připojení. Další informace najdete v referenčních informacích k datovým konektorům Microsoft Sentinelu a v katalogu řešení Microsoft Sentinel.
Povolení datového konektoru
Na stránce Datové konektory, která je přístupná z navigační nabídky Microsoft Sentinelu, se zobrazí úplný seznam konektorů, které Microsoft Sentinel poskytuje, a jejich stav. Vyberte konektor, který chcete připojit, a pak vyberte Otevřít stránku konektoru.
Budete muset splnit všechny požadavky a na stránce konektoru se zobrazí kompletní pokyny pro ingestování dat do Microsoft Sentinelu. Může nějakou dobu trvat, než data začnou přicházet. Po připojení se zobrazí souhrn dat v grafu Přijatá data a stav připojení datových typů.
Na kartě Další kroky uvidíte další obsah, který Microsoft Sentinel poskytuje pro konkrétní datový typ – ukázkové dotazy, sešity vizualizací a šablony analytických pravidel, které vám pomůžou detekovat a prošetřovat hrozby.
Další informace najdete v příslušné části týkající se datového konektoru v referenčních informacích k datovým konektorům.
REST API integrace
Řada technologií zabezpečení poskytuje sadu rozhraní API pro načítání souborů protokolu a některé zdroje dat mohou tato rozhraní API používat pro připojení k Microsoft Sentinelu.
Datové konektory, které používají rozhraní API, se integrují buď ze strany poskytovatele, nebo prostřednictvím Azure Functions, jak je popsáno v následujících částech.
Úplný seznam a informace o těchto konektorech najdete v referenčních informacích k datovým konektorům.
REST API integrace na straně poskytovatele
Integrace rozhraní API vytvořená poskytovatelem se připojuje ke zdrojům dat poskytovatele a odesílá data do vlastních tabulek protokolů Microsoft Sentinelu pomocí rozhraní API Azure Monitor kolekce dat.
Další informace najdete v dokumentaci poskytovatele a Připojení zdroje dat do rozhraní REST-API služby Microsoft Sentinel kvůli ingestování dat.
REST API integrace s využitím Azure Functions
Integrace, které Azure Functions pro připojení k rozhraní API poskytovatele, nejprve naformátují data a pak je pošlou do vlastních tabulek protokolů Microsoft Sentinelu pomocí rozhraní API kolekce Azure Monitor dat.
Pokud chcete nakonfigurovat tyto datové konektory pro připojení k rozhraní API poskytovatele a shromažďování protokolů v Microsoft Sentinelu, postupujte podle kroků zobrazených pro každý datový konektor v Microsoft Sentinelu.
Další informace najdete v tématu Použití Azure Functions pro připojení zdroje dat ke službě Microsoft Sentinel.
Důležité
Integrace, které používají Azure Functions náklady na příjem dat, náklady na příjem dat, protože hostování Azure Functions ve vašem tenantovi Azure. Další informace najdete na stránce s cenami Azure Functions.
Integrace založená na agentech
Microsoft Sentinel se může pomocí protokolu Syslog připojit přes agenta k libovolnému zdroji dat, který může provádět streamování protokolů v reálném čase. Většina místních zdrojů dat se například připojuje prostřednictvím integrace založené na agentech.
Následující části popisují různé typy datových konektorů založených na agentech Microsoft Sentinelu. Postupujte podle kroků na každé stránce datového konektoru Microsoft Sentinelu a nakonfigurujte připojení pomocí mechanismů založených na agentech.
Úplný seznam bran firewall, proxů a koncových bodů, které se připojují k Microsoft Sentinelu přes CEF nebo Syslog, najdete v referenčních informacích k datovým konektorům.
Syslog
Události ze zařízení podporujících Linux a Syslog můžete do Microsoft Sentinelu streamovat pomocí agenta Log Analytics pro Linux, který se dřív označil jako agent OMS. Agent Log Analytics se podporuje pro každé zařízení, které umožňuje nainstalovat agenta Log Analytics přímo na zařízení.
Integrovaný démon Syslog zařízení shromažďuje místní události zadaných typů a předává je místně agentovi, který je pak streamuje do pracovního prostoru služby Log Analytics. Po úspěšné konfiguraci se data zobrazí v tabulce Syslog služby Log Analytics.
V závislosti na typu zařízení se agent instaluje buď přímo na zařízení, nebo do vyhrazeného linuxového serveru pro předávání protokolů. Agent Log Analytics přijímá události z démona Syslog přes UDP. Pokud se očekává, že počítač s Linuxem bude shromažďovat velké množství událostí Syslogu, odesílá události přes protokol TCP z démona Syslogu do agenta a odtud do Log Analytics.
Další informace najdete v tématu Připojení microsoft Sentinelu na zařízeních založených na Syslogu.
Common Event Format (CEF)
Formáty protokolů se liší, ale mnoho zdrojů podporuje formátování založené na CEF. Agent Microsoft Sentinelu, který je ve skutečnosti agentem Log Analytics, převádí protokoly ve formátu CEF do formátu, který dokáže Log Analytics ingestovat.
Pro zdroje dat, které emitují data v CEF, nastavte agenta Syslogu a pak nakonfigurujte tok dat CEF. Po úspěšné konfiguraci se data zobrazí v tabulce CommonSecurityLog.
Další informace najdete v tématu Připojení na zařízeních založených na CEF do služby Microsoft Sentinel.
Vlastní protokoly
Některé zdroje dat mají protokoly dostupné pro shromažďování jako soubory v Windows nebo Linuxu. Tyto protokoly můžete shromažďovat pomocí vlastního agenta shromažďování protokolů Log Analytics.
Postupujte podle kroků na každé stránce datového konektoru Microsoft Sentinelu a připojte se pomocí vlastního agenta shromažďování protokolů Log Analytics. Po úspěšné konfiguraci se data zobrazí ve vlastních tabulkách.
Další informace najdete v tématu Shromažďování dat ve vlastních formátech protokolů do služby Microsoft Sentinel pomocí agenta Log Analytics.
Integrace mezi službou
Microsoft Sentinel používá základ Azure k poskytování výchozí podpory mezi službami pro služby Microsoft a Amazon Web Services.
Další informace najdete v referenčních Připojení Azure, Windows, Microsoftu a Amazonu a v referenčních informacích k datovým konektorům.
Nasazení jako součást řešení
Řešení Microsoft Sentinelu poskytují balíčky obsahu zabezpečení, včetně datových konektorů, sešitů, analytických pravidel, playbooků a dalších. Když nasadíte řešení s datovým konektorem, získáte datový konektor společně se souvisejícím obsahem ve stejném nasazení.
Další informace najdete v tématu Centrální zjišťování a nasazení obsahu a řešení Microsoft Sentinelu bez dalšího nasazení a v katalogu řešení Microsoft Sentinel.
Podpora datového konektoru
Datové konektory Microsoft Sentinelu autoruje Microsoft i jiné organizace. Každý datový konektor má jeden z následujících typů podpory:
| Typ podpory | Description |
|---|---|
| Podpora Microsoftu | Platí pro:
Partneři nebo Community datové konektory, které jsou autory jakékoli jiné strany než Microsoftu. |
| Podpora partnerů | Platí pro datové konektory, které jsou autory jinými stranami než Microsoftem. Partnerská společnost poskytuje podporu nebo údržbu těchto datových konektorů. Partnerskou společností může být nezávislý dodavatel softwaru, poskytovatel spravovaných služeb (MSP/MSSP), integrátor systémů (SI) nebo jakákoli organizace, jejíž kontaktní informace jsou uvedené na stránce Microsoft Sentinelu pro tento datový konektor. V případě problémů s datovým konektorem podporovaným partnerem se obraťte na kontakt podpory zadaného datového konektoru. |
| Community podporováno | Platí pro datové konektory od Microsoftu nebo partnerských vývojářů, kteří nemají uvedené kontakty pro podporu a údržbu datového konektoru na stránce zadaného datového konektoru ve službě Microsoft Sentinel. V případě dotazů nebo problémů s těmito datovými konektory můžete problém vyřešit v komunitě GitHub Microsoft Sentinel. |
Vyhledání kontaktu podpory pro datový konektor
Pokud chcete najít kontaktní informace podpory pro datový konektor:
V levé nabídce Microsoft Sentinelu vyberte Datové konektory.
Vyberte konektor, pro který chcete najít informace o podpoře.
Prohlédněte si pole Podporováno datovým konektorem na bočním panelu.
Pole Podporuje má odkaz na kontakt podpory, který můžete použít pro přístup k podpoře a údržbě vybraného datového konektoru.
Další kroky
- Abyste se službou Microsoft Sentinel začali, potřebujete předplatné, které Microsoft Azure. Pokud předplatné nemáte, můžete si zaregistrovat bezplatnou zkušební verzi.
- Zjistěte, jak onboardovat data do Služby Microsoft Sentinel a získat přehled o vašich datech a potenciálních hrozbách.