Microsoft Sentinel-adatösszekötők
Miután előkészítette a Microsoft Sentinelt a munkaterületre, adatösszekötőkkel megkezdheti az adatok betöltését a Microsoft Sentinelbe. A Microsoft Sentinel számos beépített összekötővel rendelkezik a Microsoft-szolgáltatások számára, amelyek valós időben integrálhatók. A Microsoft Defender XDR-összekötő például egy szolgáltatásközi összekötő, amely integrálja az Office 365, a Microsoft Entra ID, a Microsoft Defender for Identity és a Felhőhöz készült Microsoft Defender Apps adatait.
A beépített összekötők lehetővé teszik a kapcsolatot a szélesebb körű biztonsági ökoszisztémával a nem Microsoft-termékek esetében. Például a Syslog, a Common Event Format (CEF) vagy a REST API-k használatával csatlakoztassa az adatforrásokat a Microsoft Sentinelhez.
Feljegyzés
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Megoldásokkal ellátott adatösszekötők
A Microsoft Sentinel-megoldások csomagolt biztonsági tartalmakat biztosítanak, beleértve az adatösszekötőket, munkafüzeteket, elemzési szabályokat, forgatókönyveket és egyebeket. Amikor egy megoldást egy adatösszekötővel helyez üzembe, az adatösszekötőt a kapcsolódó tartalommal együtt kapja meg ugyanabban az üzembe helyezésben.
A Microsoft Sentinel Adatösszekötők lap felsorolja a telepített vagy használatban lévő adatösszekötőket.
További adatösszekötők hozzáadásához telepítse az adatösszekötőhöz társított megoldást a Content Hubról. További információért tekintse át az alábbi cikkeket:
- A Microsoft Sentinel-adatösszekötő megkeresése
- A Microsoft Sentinel tartalmai és megoldásai
- A Microsoft Sentinel beépített tartalmainak felderítése és kezelése
- Microsoft Sentinel tartalomközpont-katalógus
- Advanced Security Information Model (ASIM) alapú tartományi megoldások a Microsoft Sentinelhez
REST API-integráció adatösszekötőkhöz
Számos biztonsági technológia api-kat biztosít a naplófájlok lekéréséhez. Egyes adatforrások ezen API-k használatával csatlakozhatnak a Microsoft Sentinelhez.
Az API-kat használó adatösszekötők szolgáltatói oldalról integrálhatók, vagy az Azure Functions használatával integrálhatók az alábbi szakaszokban leírtak szerint.
Integráció a szolgáltatói oldalon
A szolgáltató által létrehozott API-integráció csatlakozik a szolgáltató adatforrásaihoz, és adatokat küld a Microsoft Sentinel egyéni naplótábláiba az Azure Monitor Data Collector API használatával. További információ: Naplóadatok küldése az Azure Monitorba a HTTP Data Collector API használatával.
A REST API-integráció megismeréséhez olvassa el a szolgáltató dokumentációját, és Csatlakozás az adatforrást a Microsoft Sentinel REST-API-jára az adatok betöltéséhez.
Integráció az Azure Functions használatával
Azok az integrációk, amelyek az Azure Functions használatával csatlakoznak egy szolgáltatói API-hoz, először formázza az adatokat, majd elküldi őket a Microsoft Sentinel egyéni naplótábláinak az Azure Monitor Data Collector API használatával.
További információkért lásd:
- Naplóadatok küldése az Azure Monitorba a HTTP Data Collector API használatával
- Adatforrás csatlakoztatása a Microsoft Sentinelhez az Azure Functions használatával
- Azure Functions – dokumentáció
Az Azure Functionst használó integrációk további adatbetöltési költségekkel járhatnak, mivel az Azure Functionst az Azure-szervezetben üzemelteti. További információ az Azure Functions díjszabásáról.
Ügynökalapú integráció adatösszekötőkhöz
A Microsoft Sentinel a Syslog protokoll használatával csatlakoztathat egy ügynököt minden olyan adatforráshoz, amely képes valós idejű naplóstreamelésre. A legtöbb helyszíni adatforrás például ügynökalapú integrációval csatlakozik.
A következő szakaszok a Microsoft Sentinel-ügynökalapú adatösszekötők különböző típusait ismertetik. Ha ügynökalapú mechanizmusokkal szeretné konfigurálni a kapcsolatokat, kövesse az egyes Microsoft Sentinel adatösszekötők oldalán található lépéseket.
Rendszernapló
A Linux-alapú, Syslog-támogató eszközökről az Azure Monitor Agent (AMA) használatával streamelheti az eseményeket a Microsoft Sentinelbe. Az eszköz típusától függően az ügynök közvetlenül az eszközön vagy egy dedikált Linux-alapú naplótovábbítón van telepítve. Az AMA az UDP-en keresztül fogadja a Syslog démon eseményeit. A Syslog démon belsőleg továbbítja az eseményeket az ügynöknek, és az UDS (Unix Domain Sockets) használatával kommunikál. Az AMA ezután továbbítja ezeket az eseményeket a Microsoft Sentinel-munkaterületnek.
Az alábbi egyszerű folyamat bemutatja, hogyan streameli a Microsoft Sentinel a Syslog-adatokat.
- Az eszköz beépített Syslog-démonja összegyűjti a megadott típusú helyi eseményeket, és helyileg továbbítja az eseményeket az ügynöknek.
- Az ügynök streameli az eseményeket a Log Analytics-munkaterületre.
- A sikeres konfigurálás után az adatok megjelennek a Log Analytics Syslog táblában.
További információkért lásd az oktatóanyagot: Syslog-adatok továbbítása Log Analytics-munkaterületre a Microsoft Sentinellel az Azure Monitor Agent használatával.
Common Event Format (CEF)
A naplóformátumok eltérőek, de számos forrás támogatja a CEF-alapú formázást. A Microsoft Sentinel-ügynök, amely valójában a Log Analytics-ügynök, cef formátumú naplókat alakít át olyan formátumba, amelyet a Log Analytics betölthet.
A CEF-ben adatokat kibocsátó adatforrások esetében állítsa be a Syslog-ügynököt, majd konfigurálja a CEF-adatfolyamot. A sikeres konfigurálás után az adatok megjelennek a CommonSecurityLog táblában.
További információ: CEF formátumú naplók lekérése eszközről vagy berendezésről a Microsoft Sentinelbe.
Egyéni naplók
Egyes adatforrások esetében a Log Analytics egyéni naplógyűjtő ügynökével fájlként gyűjthet naplókat Windows vagy Linux rendszerű számítógépeken.
Ha a Log Analytics egyéni naplógyűjtő ügynökével szeretne csatlakozni, kövesse az egyes Microsoft Sentinel-adatösszekötők oldalán található lépéseket. A sikeres konfigurálás után az adatok egyéni táblákban jelennek meg.
További információ: Adatok gyűjtése egyéni naplóformátumokban a Microsoft Sentinelnek a Log Analytics-ügynökkel.
Szolgáltatásközi integráció adatösszekötőkhöz
A Microsoft Sentinel az Azure-alaprendszert használja az Microsoft-szolgáltatások és az Amazon Web Services szolgáltatáson kívüli támogatásának biztosítására.
További információért tekintse át az alábbi cikkeket:
- Csatlakozás Microsoft Sentinelt az Azure-ba, a Windowsba, a Microsoftba és az Amazon-szolgáltatásokba
- A Microsoft Sentinel-adatösszekötő megkeresése
Adatösszekötő támogatása
A Microsoft és más szervezetek is Microsoft Sentinel-adatösszekötőket használnak. Minden adatösszekötő az alábbi támogatási típusok egyikével rendelkezik a Microsoft Sentinel adatösszekötő oldalán.
Támogatási típus | Leírás |
---|---|
Microsoft által támogatott | Hatókör:
A partnerek vagy a Közösség a Microsofton kívül más felek által létrehozott adatösszekötőket támogatják. |
Partner által támogatott | A Microsofttól eltérő felek által létrehozott adatösszekötőkre vonatkozik. A partnervállalat támogatást vagy karbantartást biztosít ezekhez az adatösszekötőkhöz. A partnervállalat lehet független szoftverszállító, felügyelt szolgáltató (MSP/MSSP), rendszer integrátor (SI), vagy bármely olyan szervezet, amelynek kapcsolattartási adatait az adatösszekötő Microsoft Sentinel oldalán találja. Partner által támogatott adatösszekötővel kapcsolatos problémák esetén forduljon a megadott adatösszekötő támogatási kapcsolattartóhoz. |
Közösség által támogatott | A Microsoft vagy a partnerfejlesztők által létrehozott adatösszekötőkre vonatkozik, amelyek nem rendelkeznek az adatösszekötők támogatásával és karbantartásával kapcsolatos listázott partnerekkel a Microsoft Sentinel adatösszekötő oldalán. Az adatösszekötőkkel kapcsolatos kérdésekért vagy problémákért a Microsoft Sentinel GitHub-közösségben is elküldheti a problémát. |
További információ: Az adatösszekötő támogatásának megkeresése.
Következő lépések
Az adatösszekötőkkel kapcsolatos további információkért tekintse meg az alábbi cikkeket.
- adatforrások Csatlakozás a Microsoft Sentinelbe adatösszekötők használatával
- A Microsoft Sentinel-adatösszekötő megkeresése
- Erőforrások egyéni Microsoft Sentinel-összekötők létrehozásához
Az adatösszekötők Microsoft Sentinelben való üzembe helyezéséhez a Bicep, az Azure Resource Manager és a Terraform alapszintű IaC-referenciáját a Microsoft Sentinel adatösszekötő IaC-referenciajában talál.