A Microsoft Sentinel-adatösszekötő megkeresése

Megjegyzés

Az Azure Sentinel neve mostantól Microsoft Sentinel, és az elkövetkező hetekben frissíteni fogjuk ezeket az oldalakat. További információ a Microsoft legújabb biztonsági fejlesztéseiről.

Ez a cikk bemutatja, hogyan helyezhet üzembe adatösszekötőket a Microsoft Sentinelben, felsorolva az összes támogatott, használatra kész adatösszekötőt, valamint az általános üzembehelyezési eljárásokra mutató hivatkozásokat, valamint az egyes összekötőkhöz szükséges további lépéseket.

Tipp

Egyes adatösszekötők csak megoldásokon keresztül vannak üzembe helyezve. További információt a Microsoft Sentinel megoldáskatalógusában talál. A Microsoft Sentinel GitHub adattárban más, közösség által létrehozott adatösszekötőket is találhat.

Az útmutató használata

  1. Először keresse meg és válassza ki a termékhez, szolgáltatáshoz vagy eszközhöz tartozó összekötőt a jobb oldali címsormenüben.

    Az összekötők első adatbetöltési módszere az egyes összekötőkhöz. A megjelenő metódus az alábbi általános üzembehelyezési eljárások egyikére mutató hivatkozást tartalmaz, amely az adatforrások Microsoft Sentinelhez való csatlakoztatásához szükséges legtöbb információt tartalmazza:

    Adatbetöltési módszer Hivatkozott cikk útmutatással
    Azure-szolgáltatások közötti integráció Csatlakozás azure-, Windows-, Microsoft- és Amazon-szolgáltatásokhoz
    Common Event Format (CEF) a Syslogon keresztül CEF-formátumú naplók lekérése az eszközről vagy berendezésről a Microsoft Sentinelbe
    Microsoft Sentinel Data Collector API Csatlakozás az adatforrást a Microsoft Sentinel Data Collector API-nak az adatok betöltéséhez
    Azure Functions és a REST API A Azure Functions használata a Microsoft Sentinel adatforráshoz csatlakoztatásához
    Syslog Adatok gyűjtése Linux-alapú forrásokból a Syslog használatával
    Egyéni naplók Adatok gyűjtése egyéni naplóformátumokban a Microsoft Sentinelnek a Log Analytics-ügynökkel

    Megjegyzés

    Az Azure-szolgáltatások közötti integrációs adatbetöltési módszer a cikk három különböző szakaszára hivatkozik, az összekötő típusától függően. Az összekötők alábbi szakasza határozza meg a cikk azon szakaszát, amelyre hivatkozik.

  2. Egy adott összekötő üzembe helyezésekor válassza ki az adatbetöltési módszeréhez kapcsolódó megfelelő cikket, és használja az alábbi megfelelő szakaszban található információkat és további útmutatást a cikkben található információk kiegészítéséhez.

Tipp

Fontos

A Microsoft Sentinel adatösszekötői jelenleg előzetes verzióban érhetők el. Az Azure előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon általánosan még nem elérhető Azure-funkciókra vonatkoznak.

Az adatösszekötő előfeltételei

Minden adatösszekötő saját előfeltétel-készlettel rendelkezik, például az Azure-munkaterületen, az előfizetésben vagy a szabályzatban szükséges engedélyekkel stb. kapcsolatban, vagy egyéb követelményekkel ahhoz a partneradatforráshoz, amelyhez csatlakozik.

Az egyes adatösszekötők előfeltételei a Microsoft Sentinel megfelelő adatösszekötő oldalán, az Utasítások lapon találhatók.

Agari adathalászat elleni védelem és márkavédelem (előzetes verzió)

Összekötő attribútum Description
Adatbetöltési módszer Azure Functions és a REST API

Üzembe helyezés előtt: Engedélyezze a Biztonsági Graph API (nem kötelező).
Üzembe helyezés után: Rendelje hozzá a szükséges engedélyeket a függvényalkalmazáshoz
Log Analytics-tábla(ok) agari_bpalerts_log_CL
agari_apdtc_log_CL
agari_apdpolicy_log_CL
DCR-támogatás Egyelőre nem támogatott
Azure-függvényalkalmazás kódja https://aka.ms/Sentinel-agari-functionapp
API-hitelesítő adatok
  • Ügyfél-azonosító
  • Titkos ügyfélkulcs
  • (Nem kötelező: Graph bérlőazonosító, Graph ügyfél-azonosító, Graph titkos ügyfélkód)
  • Szállítói dokumentáció/
    telepítési utasítások
  • Rövid útmutató
  • Agari fejlesztői webhely
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Alkalmazásbeállítások
  • clientID
  • clientSecret
  • workspaceID
  • workspaceKey
  • enableBrandProtectionAPI (igaz/hamis)
  • enablePhishingResponseAPI (igaz/hamis)
  • enablePhishingDefenseAPI (igaz/hamis)
  • resGroup (erőforráscsoport megadása)
  • functionName
  • subId (adja meg az előfizetés azonosítóját)
  • enableSecurityGraphSharing (igaz/hamis; lásd alább)
    Kötelező, ha az enableSecurityGraphSharing értéke true (lásd alább):
  • GraphTenantId
  • GraphClientId
  • GraphClientSecret
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Agari

    Biztonsági Graph API engedélyezése (nem kötelező)

    Fontos

    Ha végrehajtja ezt a lépést, ezt az adatösszekötő üzembe helyezése előtt végezze el.

    Az Agari-függvényalkalmazással a Biztonsági Graph API keresztül megoszthatja a fenyegetésfelderítést a Microsoft Sentinellel. A funkció használatához engedélyeznie kell a Sentinel Fenyegetésfelderítési platformok összekötőjét, és regisztrálnia kell egy alkalmazást Azure Active Directory.

    Ez a folyamat három információt biztosít a függvényalkalmazás üzembe helyezésekor: a Graph bérlőazonosítót, a Graph ügyfél-azonosítót és a Graph titkos ügyfélkulcsot (lásd a fenti táblázatban található alkalmazásbeállításokat).

    A szükséges engedélyek hozzárendelése a függvényalkalmazáshoz

    Az Agari-összekötő környezeti változót használ a naplóelérés időbélyegeinek tárolására. Ahhoz, hogy az alkalmazás írni tudjon ebbe a változóba, engedélyeket kell hozzárendelni a rendszer által hozzárendelt identitáshoz.

    1. A Azure Portal lépjen a függvényalkalmazáshoz.
    2. A Függvényalkalmazás lapon válassza ki a függvényalkalmazást a listából, majd a függvényalkalmazás navigációs menüjének Gépház területén válassza az Identitás lehetőséget.
    3. A Rendszer által hozzárendelt lapon állítsa az Állapot beállítástBe értékre.
    4. Válassza a Mentés lehetőséget, és megjelenik egy Azure-beli szerepkör-hozzárendelések gomb. Válassza ki.
    5. Az Azure-beli szerepkör-hozzárendelések képernyőn válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget. Állítsa a hatókörtelőfizetésre, válassza ki az előfizetését az Előfizetés legördülő listából, és állítsa a szerepkörtApp Configuration adattulajdonosra.
    6. Kattintson a Mentés gombra.

    AI-elemző (AIA) a Darktrace-ből (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon keresztül

    CEF-naplótovábbítás konfigurálása AI-elemző számára
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Támogatja: Sötétsáv

    CEF-naplótovábbítás konfigurálása AI-elemző számára

    Konfigurálja a Darktrace-et úgy, hogy CEF formátumban továbbíthassa a Syslog-üzeneteket az Azure-munkaterületre a Log Analytics-ügynökön keresztül.

    1. A Darktrace Threat Visualizerben navigáljon a Rendszerkonfiguráció lapra a főmenüben Rendszergazda alatt.
    2. A bal oldali menüben válassza a Modulok elemet, és válassza a Microsoft Sentinel elemet az elérhető munkafolyamat-integrációk közül.
    3. Ekkor megnyílik egy konfigurációs ablak. Keresse meg a Microsoft Sentinel Syslog CEF-et , és válassza az Új lehetőséget a konfigurációs beállítások megjelenítéséhez, ha még nem tette közzé.
    4. A Kiszolgáló konfigurációja mezőbe írja be a naplótovábbító helyét, és szükség esetén módosítsa a kommunikációs portot. Győződjön meg arról, hogy a kiválasztott port értéke 514, és a köztes tűzfalak engedélyezik.
    5. Igény szerint konfigurálja a riasztási küszöbértékeket, az időeltolódásokat vagy a további beállításokat.
    6. Tekintse át azokat a további konfigurációs beállításokat, amelyeket engedélyezni szeretne, amelyek módosítják a Syslog szintaxisát.
    7. Engedélyezze a riasztások küldését , és mentse a módosításokat.

    AI Vectra Detect (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon keresztül

    CEF-naplótovábbítás konfigurálása az AI Vectra Detecthez
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Támogatja: Vectra AI

    CEF-naplótovábbítás konfigurálása az AI Vectra Detecthez

    Konfigurálja a Vectra -ügynököt úgy, hogy CEF formátumban továbbítsa a Syslog-üzeneteket a Microsoft Sentinel-munkaterületre a Log Analytics-ügynökön keresztül.

    A Vectra felületén lépjen Gépház Értesítések lapra>, és válassza a Syslog-konfiguráció szerkesztése lehetőséget. A kapcsolat beállításához kövesse az alábbi utasításokat:

    • Új célhely hozzáadása (a naplótovábbító állomásneve)
    • A port beállítása 514-ként
    • A protokoll beállítása UDP-ként
    • A formátum beállítása CEF formátumra
    • Naplótípusok beállítása (válassza ki az összes elérhető naplótípust)
    • Válassza a Mentés lehetőséget

    A Teszt gombra kattintva kényszerítheti egyes tesztesemények küldését a naplótovábbítónak.

    További információt a Cognito detect syslog útmutatójában talál, amely az Detect felhasználói felület erőforrásoldaláról tölthető le.

    Akamai biztonsági események (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon, Kusto függvényelemzővel
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Kusto függvényalias: AkamaiSIEMEvent
    Kusto függvény URL-címe: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt
    Szállítói dokumentáció/
    telepítési utasítások
    Biztonsági információk és eseménykezelés (SIEM) integrációjának konfigurálása
    ÁLLÍTson be egy CEF-összekötőt.
    Támogatja: Akamai

    Alcide kAudit

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) alcide_kaudit_activity_1_CL – Alcide kAudit tevékenységnaplók
    alcide_kaudit_detections_1_CL – Alcide kAudit észlelések
    alcide_kaudit_selections_count_1_CL – Alcide kAudit-tevékenységek száma
    alcide_kaudit_selections_details_1_CL – Alcide kAudit tevékenység részletei
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    Az Alcide kAudit telepítési útmutatója
    Támogatja: Alcide

    Alsid az Active Directoryhoz

    Összekötő attribútum Description
    Adatbetöltési módszer Log Analytics-ügynök – egyéni naplók

    Extra konfiguráció az Alsid-hez
    Log Analytics-tábla(ok) AlsidForADLog_CL
    DCR-támogatás Egyelőre nem támogatott
    Kusto függvényalias: afad_parser
    Kusto függvény URL-címe: https://aka.ms/Sentinel-alsidforad-parser
    Támogatja: Alsid

    Extra konfiguráció az Alsid-hez

    1. A Syslog-kiszolgáló konfigurálása

      Először szüksége lesz egy linuxos Syslog-kiszolgálóra , amelybe az Alsid for AD naplókat küld. Az rsyslog általában Ubuntu rendszeren futtatható.

      Ezután igény szerint konfigurálhatja ezt a kiszolgálót, de azt javasoljuk, hogy az AFAD-naplókat külön fájlban tudja kiadni. Másik lehetőségként használhat egy gyorsindítási sablont a Syslog-kiszolgáló és a Microsoft-ügynök üzembe helyezéséhez. Ha használja a sablont, kihagyhatja az ügynök telepítési utasításait.

    2. Az Alsid konfigurálása naplók syslog-kiszolgálóra való küldéséhez

      Az AD-hez készült Alsid-portálon lépjen a Rendszer, a Konfiguráció, majd a Syslog elemre. Innen létrehozhat egy új Syslog-riasztást a Syslog-kiszolgáló felé.

      Miután létrehozott egy új Syslog-riasztást, ellenőrizze, hogy a naplók megfelelően vannak-e összegyűjtve a kiszolgálón egy külön fájlban. A naplók ellenőrzéséhez például használhatja a Konfiguráció tesztelése gombot az AFAD Syslog riasztási konfigurációjában. Ha a gyorsindítási sablont használta, a Syslog-kiszolgáló alapértelmezés szerint az 514-as portot figyeli az UDP-ben és az 1514-et TCP-ben, TLS nélkül.

    Amazon webszolgáltatások

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Csatlakozás Microsoft Sentinelt az Amazon Web Servicesbe az AWS szolgáltatás naplóadatainak
    betöltéséhez (a legfontosabb összekötőkről szóló cikk)
    Log Analytics-tábla(ok) AWSCloudTrail
    DCR-támogatás Munkaterület-átalakítási DCR
    Támogatja: Microsoft

    Amazon Web Services S3 (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Csatlakozás Microsoft Sentinelt az Amazon Web Servicesbe az AWS szolgáltatás naplóadatainak
    betöltéséhez (a legfontosabb összekötőkről szóló cikk)
    Log Analytics-tábla(ok) AWSCloudTrail
    AWSGuardDuty
    AWSVPCFlow
    DCR-támogatás Munkaterület-átalakítási DCR
    Támogatja: Microsoft

    Apache HTTP-kiszolgáló

    Összekötő attribútum Description
    Adatbetöltési módszer Log Analytics-ügynök – egyéni naplók
    Log Analytics-tábla(ok) ApacheHTTPServer_CL
    DCR-támogatás Egyelőre nem támogatott
    Kusto függvényalias: ApacheHTTPServer
    Kusto függvény URL-címe: https://aka.ms/Sentinel-apachehttpserver-parser
    Egyéni naplómintafájl: access.log vagy error.log

    Apache Tomcat

    Összekötő attribútum Description
    Adatbetöltési módszer Log Analytics-ügynök – egyéni naplók
    Log Analytics-tábla(ok) Tomcat_CL
    DCR-támogatás Egyelőre nem támogatott
    Kusto függvényalias: TomcatEvent
    Kusto függvény URL-címe: https://aka.ms/Sentinel-ApacheTomcat-parser
    Egyéni naplómintafájl: access.log vagy error.log

    Aruba ClearPass (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon, Kusto függvényelemzővel
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Kusto függvényalias: ArubaClearPass
    Kusto függvény URL-címe: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Aruba%20ClearPass/Parsers/ArubaClearPass.txt
    Szállítói dokumentáció/
    telepítési utasítások
    Kövesse Aruba utasításait a ClearPass konfigurálásához.
    Támogatja: Microsoft

    Atlassian Confluence Audit (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API
    Log Analytics-tábla(ok) Confluence_Audit_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://aka.ms/Sentinel-confluenceauditapi-functionapp
    API-hitelesítő adatok
  • ConfluenceAccessToken
  • ConfluenceUsername
  • ConfluenceHomeSiteName
  • Szállítói dokumentáció/
    telepítési utasítások
  • API-dokumentáció
  • A hitelesítő adatok beszerzésére vonatkozó követelmények és utasítások
  • Az auditnapló megtekintése
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Kusto függvény aliasa ConfluenceAudit
    Kusto függvény URL-címe/
    Elemzési konfigurációs utasítások
    https://aka.ms/Sentinel-confluenceauditapi-parser
    Alkalmazásbeállítások
  • ConfluenceUsername
  • ConfluenceAccessToken
  • ConfluenceHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    Atlassian Jira Audit (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API
    Log Analytics-tábla(ok) Jira_Audit_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://aka.ms/Sentinel-jiraauditapi-functionapp
    API-hitelesítő adatok
  • JiraAccessToken
  • JiraUsername
  • JiraHomeSiteName
  • Szállítói dokumentáció/
    telepítési utasítások
  • API-dokumentáció – Naplórekordok
  • A hitelesítő adatok beszerzésére vonatkozó követelmények és utasítások
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Kusto függvény aliasa JiraAudit
    Kusto függvény URL-címe/
    Elemzési konfigurációs utasítások
    https://aka.ms/Sentinel-jiraauditapi-parser
    Alkalmazásbeállítások
  • JiraUsername
  • JiraAccessToken
  • JiraHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    Azure Active Directory

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    adatok Csatlakozás Azure Active Directory a Microsoft Sentinelnek
    (a legfontosabb összekötőkről szóló cikk)
    Licenc előfeltételei/
    Költségadatok
  • P1 vagy P2 licenc Azure Active Directory bejelentkezési naplókhoz
  • Bármely Azure AD licenc (ingyenes/O365/P1/P2) más naplótípusokhoz
    Egyéb díjak is alkalmazhatók
  • Log Analytics-tábla(ok) Bejelentkezési naplók
    AuditLogs
    AADNonInteractiveUserSignInLogs
    AADServicePrincipalSignInLogs
    AADManagedIdentitySignInLogs
    AADProvisioningLogs
    ADFSSignInLogs
    DCR-támogatás Munkaterület-átalakítás – DCR
    Támogatja: Microsoft

    Azure Active Directory Identity Protection

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    API-alapú kapcsolatok
    Licenc előfeltételei/
    Költségadatok
    Prémium P2 szintű Azure AD előfizetés
    Egyéb díjak is alkalmazhatók
    Log Analytics-tábla(ok) SecurityAlert
    DCR-támogatás Munkaterület-átalakítás – DCR
    Támogatja: Microsoft

    Megjegyzés

    Ez az összekötő csak azokat a riasztásokat importálja, amelyek állapota "nyitva" van. A Azure AD Identity Protectionben bezárt riasztások nem lesznek importálva a Microsoft Sentinelbe.

    Azure-tevékenység

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Diagnosztikai beállításokon alapuló kapcsolatok, amelyeket a Azure Policy kezel


    Frissítés az új Azure-tevékenység-összekötőre
    Log Analytics-tábla(ok) AzureActivity
    DCR-támogatás Egyelőre nem támogatott
    Támogatja: Microsoft

    Frissítés az új Azure-tevékenység-összekötőre

    Az adatstruktúra változásai

    Ez az összekötő nemrég módosította a tevékenységnapló-események gyűjtésére szolgáló háttérrendszeri mechanizmust. Most a diagnosztikai beállítások folyamatát használja. Ha továbbra is a régi módszert használja ehhez az összekötőhöz, határozottan javasoljuk, hogy frissítsen az új verzióra, amely jobb funkciókat és nagyobb konzisztenciát biztosít az erőforrásnaplókkal. Tekintse meg az alábbi utasításokat.

    A diagnosztikai beállítások metódusa ugyanazokat az adatokat küldi el, mint az örökölt metódus a Tevékenységnapló szolgáltatásból, bár az AzureActivity tábla struktúrája módosult.

    Íme néhány, a diagnosztikai beállítások folyamatára való áttérésből eredő legfontosabb fejlesztések:

    • Továbbfejlesztett betöltési késés (15–20 perc helyett 2–3 percen belüli eseménybetöltés).
    • Jobb megbízhatóság.
    • Jobb teljesítmény.
    • A Tevékenységnapló szolgáltatás által naplózott események összes kategóriájának támogatása (az örökölt mechanizmus csak egy részhalmazt támogat – például nem támogatja a Service Health-eseményeket).
    • Nagy léptékű felügyelet Azure Policy.

    Az Azure-tevékenységnapló és a diagnosztikai beállítások folyamatának részletesebb kezelését az Azure Monitor dokumentációjában találja.

    Kapcsolat bontása a régi folyamatról

    Az új Azure-tevékenységnapló-összekötő beállítása előtt le kell választania a meglévő előfizetéseket az örökölt módszerről.

    1. A Microsoft Sentinel navigációs menüjében válassza az Adatösszekötők lehetőséget. Az összekötők listájában válassza az Azure-tevékenység lehetőséget, majd a jobb alsó sarokban található Összekötő megnyitása gombot .

    2. Az Utasítások lap Konfiguráció szakaszának 1. lépésében tekintse át az örökölt metódushoz csatlakoztatott meglévő előfizetések listáját (így tudja, hogy mely előfizetéseket kell hozzáadni az újhoz), majd az alábbi Minden leválasztása gombra kattintva bontsa le őket egyszerre.

    3. Folytassa az új összekötő beállítását a fenti táblázatban hivatkozott utasításokat követve.

    Azure DDoS Protection

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Diagnosztikai beállításokon alapuló kapcsolatok
    Licenc előfeltételei/
    Költségadatok
  • Konfigurált Azure DDoS Standard védelmi csomaggal kell rendelkeznie.
  • Konfigurált virtuális hálózattal kell rendelkeznie, amelyen engedélyezve van az Azure DDoS Standard
    Egyéb díjak is alkalmazhatók
  • Log Analytics-tábla(ok) AzureDiagnostics
    DCR-támogatás Egyelőre nem támogatott
    Ajánlott diagnosztikák DDoSProtectionNotifications
    DDoSMitigationFlowLogs
    DDoSMitigationReports
    Támogatja: Microsoft

    Megjegyzés

    Az Azure DDoS Protection-adatösszekötő állapota csak akkor módosul csatlakoztatottra , ha a védett erőforrások DDoS-támadás alatt állnak.

    Azure Defender

    Lásd Felhőhöz készült Microsoft Defender.

    Azure Firewall

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Diagnosztikai beállításokon alapuló kapcsolatok
    Log Analytics-tábla(ok) AzureDiagnostics
    DCR-támogatás Egyelőre nem támogatott
    Ajánlott diagnosztikák AzureFirewallApplicationRule
    AzureFirewallNetworkRule
    AzureFirewallDnsProxy
    Támogatja: Microsoft

    Azure Information Protection (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció
    Log Analytics-tábla(ok) InformationProtectionLogs_CL
    DCR-támogatás Egyelőre nem támogatott
    Támogatja: Microsoft

    Megjegyzés

    Az Azure Information Protection (AIP) adatösszekötője az AIP auditnaplók (nyilvános előzetes verzió) funkcióját használja. 2022. március 18-án az AIP elemzési és auditnaplóinak nyilvános előzetes verzióját állítjuk be, és a jövőben a Microsoft 365 naplózási megoldást fogjuk használni. A teljes kivonást 2022. szeptember 30-ra tervezik.

    További információ: Eltávolított és kivezetett szolgáltatások.

    Azure Key Vault

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Diagnosztikai beállításokon alapuló kapcsolatok, amelyeket a Azure Policy kezel
    Log Analytics-tábla(ok) KeyVaultData
    DCR-támogatás Egyelőre nem támogatott
    Támogatja: Microsoft

    Azure Kubernetes Service (AKS)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Diagnosztikai beállításokon alapuló kapcsolatok, amelyeket a Azure Policy kezel
    Log Analytics-tábla(ok) kube-apiserver
    kube-audit
    kube-audit-admin
    kube-controller-manager
    kube-scheduler
    fürt automatikus skálázási eszköze
    Őr
    DCR-támogatás Egyelőre nem támogatott
    Támogatja: Microsoft

    Microsoft Purview

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Diagnosztikai beállításokon alapuló kapcsolatok


    További információ: Oktatóanyag: A Microsoft Sentinel és a Microsoft Purview integrálása.
    Log Analytics-tábla(ok) PurviewDataSensitivityLogs
    DCR-támogatás Egyelőre nem támogatott
    Támogatja: Microsoft

    Azure SQL Databases

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Diagnosztikai beállításokon alapuló kapcsolatok, amelyeket a Azure Policy kezel


    A Azure SQL és az SQL PaaS-megoldásokhoz készült Microsoft Sentinelben is elérhető
    Log Analytics-tábla(ok) SQLSecurityAuditEvents
    SQLInsights
    AutomaticTuning
    QueryStoreWaitStatistics
    Hibák
    DatabaseWaitStatistics
    Időtúllépések
    Blokkok
    Holtpontok
    Alapszintű
    InstanceAndAppAdvanced
    WorkloadManagement
    DevOpsOperationsAudit
    DCR-támogatás Egyelőre nem támogatott
    Támogatja: Microsoft

    Azure Storage-tárfiók neve

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Diagnosztikai beállításokon alapuló kapcsolatok


    Megjegyzések a tárfiók diagnosztikai beállításainak konfigurálásáról
    Log Analytics-tábla(ok) StorageBlobLogs
    StorageQueueLogs
    StorageTableLogs
    StorageFileLogs
    Ajánlott diagnosztikák Fiókerőforrás
  • Tranzakció
    Blob-/üzenetsor-/tábla-/fájlerőforrások
  • StorageRead
  • StorageWrite
  • StorageDelete
  • Tranzakció
  • DCR-támogatás Egyelőre nem támogatott
    Támogatja: Microsoft

    Megjegyzések a tárfiók diagnosztikai beállításainak konfigurálásáról

    A tárfiók (szülő) erőforrása más (gyermek) erőforrásokkal rendelkezik minden tárolási típushoz: fájlokhoz, táblákhoz, üzenetsorokhoz és blobokhoz.

    A tárfiók diagnosztikáinak konfigurálásakor a következőket kell kiválasztania és konfigurálnia:

    • A fölérendelt fiók erőforrása, amely exportálja a Tranzakció metrikát.
    • Az összes naplót és metrikát exportáló gyermektároló típusú erőforrások mindegyike (lásd a fenti táblázatot).

    Csak azokat a tárolótípusokat láthatja, amelyekhez ténylegesen definiált erőforrásokat.

    Azure-beli webalkalmazási tűzfal (WAF)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Diagnosztikai beállításokon alapuló kapcsolatok
    Log Analytics-tábla(ok) AzureDiagnostics
    DCR-támogatás Egyelőre nem támogatott
    Ajánlott diagnosztikák Application Gateway
  • ApplicationGatewayAccessLog
  • ApplicationGatewayFirewallLog
    Front Door
  • FrontdoorAccessLog
  • FrontdoorWebApplicationFirewallLog
    CDN WAF-szabályzat
  • WebApplicationFirewallLogs
  • Támogatja: Microsoft

    Barracuda CloudGen tűzfal

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog
    Log Analytics-tábla(ok) Syslog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Kusto függvény aliasa: CGFWFirewallActivity
    Kusto függvény URL-címe: https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Barracuda%20CloudGen%20Firewall/Parsers/CGFWFirewallActivity
    Szállítói dokumentáció/
    telepítési utasítások
    https://aka.ms/Sentinel-barracudacloudfirewall-connector
    Támogatja: Barracuda

    Barracuda WAF

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog
    Log Analytics-tábla(ok) CommonSecurityLog (Barracuda)
    Barracuda_CL
    Szállítói dokumentáció/
    telepítési utasítások
    https://aka.ms/asi-barracuda-connector
    Támogatja: Barracuda

    Lásd a Barracuda utasításait – jegyezze fel a különböző típusú naplókhoz rendelt létesítményeket, és ügyeljen arra, hogy hozzáadja őket az alapértelmezett Syslog-konfigurációhoz.

    BETTER Mobile Threat Defense (MTD) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) BetterMTDDeviceLog_CL
    BetterMTDIncidentLog_CL
    BetterMTDAppLog_CL
    BetterMTDNetflowLog_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    A BETTER MTD dokumentációja

    Fenyegetéskezelési szabályzat beállítása, amely meghatározza a Microsoft Sentinelnek jelentett incidenseket:
    1. A Jobb MTD-konzolon válassza az oldalsáv Házirendek elemét.
    2. Válassza a használt szabályzat Szerkesztés gombját.
    3. Minden naplózni kívánt incidenstípushoz lépjen a Küldés az integrációkba mezőbe, és válassza a Sentinel lehetőséget.
    Támogatja: Better Mobile

    Beyond Security beSECURE

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) beSECURE_ScanResults_CL
    beSECURE_ScanEvents_CL
    beSECURE_Audit_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    Az Integráció menü elérése:
    1. Válassza az Egyebek menüt.
    2. Kiszolgáló kiválasztása
    3. Integráció kiválasztása
    4. A Microsoft Sentinel engedélyezése
    5. Illessze be a munkaterület azonosítóját és az elsődleges kulcs értékeit a beSECURE konfigurációba.
    6. Válassza a Módosítás lehetőséget.
    Támogatja: A biztonságon túl

    BlackBerry CylancePROTECT (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog
    Log Analytics-tábla(ok) Syslog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Kusto függvény aliasa: CylancePROTECT
    Kusto függvény URL-címe: https://aka.ms/Sentinel-cylanceprotect-parser
    Szállítói dokumentáció/
    telepítési utasítások
    A Cylance syslog útmutatója
    Támogatja: Microsoft

    Broadcom Symantec adatveszteség-megelőzés (DLP) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon, Kusto függvényelemzővel
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Kusto függvény aliasa: SymantecDLP
    Kusto függvény URL-címe: https://aka.ms/Sentinel-symantecdlp-parser
    Szállítói dokumentáció/
    telepítési utasítások
    A napló konfigurálása Syslog Server-műveletre
    Támogatja: Microsoft

    Ellenőrzőpont

    Összekötő attribútum Description
    Adatbetöltési módszer Gyakori eseményformátum (CEF) a Syslogon

    Elérhető a Check Point megoldásból
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Szállítói dokumentáció/
    telepítési utasítások
    Naplóexportáló – Check Point naplóexportálás
    Támogatja: Ellenőrzőpont

    Cisco ASA

    Összekötő attribútum Description
    Adatbetöltési módszer Gyakori eseményformátum (CEF) a Syslogon

    Elérhető a Cisco ASA-megoldásban
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Szállítói dokumentáció/
    telepítési utasítások
    Cisco ASA-sorozat parancssori felületének konfigurációs útmutatója
    Támogatja: Microsoft

    Cisco Firepower eStreamer (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Gyakori eseményformátum (CEF) a Syslogon

    Extra konfiguráció a Cisco Firepower eStreamerhez
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Szállítói dokumentáció/
    telepítési utasítások
    eStreamer eNcore for Sentinel Operations Guide
    Támogatja: Cisco

    Extra konfiguráció a Cisco Firepower eStreamerhez

    1. A Firepower eNcore-ügyfél telepítése
      Telepítse és konfigurálja a Firepower eNcore eStreamer-ügyfelet. További információt a Cisco teljes telepítési útmutatójában talál.

    2. Töltse le a Firepower-összekötőt a GitHub
      Töltse le a Microsoft Sentinel Firepower eNcore-összekötőjének legújabb verzióját a Cisco GitHub adattárból. Ha a python3 használatát tervezi, használja a python3 eStreamer-összekötőt.

    3. Pkcs12-fájl létrehozása az Azure/VM IP-cím használatával
      Hozzon létre egy pkcs12-tanúsítványt a Firepower virtuálisgép-példányának nyilvános IP-címével a System > Integration > eStreamer alatt. További információt a telepítési útmutatóban talál.

    4. Az Azure/VM-ügyfél és az FMC közötti kapcsolat tesztelése
      Másolja a pkcs12 fájlt az FMC-ből az Azure/VM-példányba, és futtassa a teszt segédprogramot (./encore.sh teszt) a kapcsolat létesítéséhez. További információt a beállítási útmutatóban talál.

    5. ENcore konfigurálása az adatok ügynöknek való streameléséhez
      Konfigurálja az eNcore-t úgy, hogy TCP-en keresztül streamelje az adatokat a Log Analytics-ügynöknek. Ezt a konfigurációt alapértelmezés szerint engedélyezni kell, de a hálózati biztonsági helyzettől függően további portok és streamelési protokollok is konfigurálhatók. Az adatok a fájlrendszerbe is menthetők. További információ: ENcore konfigurálása.

    Cisco Meraki (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog

    Elérhető a Cisco ISE-megoldásban
    Log Analytics-tábla(ok) Syslog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Kusto függvény aliasa: CiscoMeraki
    Kusto függvény URL-címe: https://aka.ms/Sentinel-ciscomeraki-parser
    Szállítói dokumentáció/
    telepítési utasítások
    A Meraki eszközjelentési dokumentációja
    Támogatja: Microsoft

    Cisco Umbrella (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API

    Elérhető a Cisco Umbrella megoldásban
    Log Analytics-tábla(ok) Cisco_Umbrella_dns_CL
    Cisco_Umbrella_proxy_CL
    Cisco_Umbrella_ip_CL
    Cisco_Umbrella_cloudfirewall_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp
    API-hitelesítő adatok
  • AWS hozzáférési kulcs azonosítója
  • AWS titkos hozzáférési kulcs
  • AWS S3 gyűjtő neve
  • Szállítói dokumentáció/
    telepítési utasítások
  • Naplózás az Amazon S3-ba
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Kusto függvényalias Cisco_Umbrella
    Kusto függvény URL-címe/
    Elemzési konfigurációs utasítások
    https://aka.ms/Sentinel-ciscoumbrella-function
    Alkalmazásbeállítások
  • WorkspaceID
  • WorkspaceKey
  • S3Bucket
  • AWSAccessKeyId
  • AWSSecretAccessKey
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    Cisco Unified Computing System (UCS) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog
    Log Analytics-tábla(ok) Syslog
    DCR-támogatás Munkaterület-átalakítási DCR
    Kusto függvényalias: CiscoUCS
    Kusto függvény URL-címe: https://aka.ms/Sentinel-ciscoucs-function
    Szállítói dokumentáció/
    telepítési utasítások
    Syslog beállítása a Cisco UCS-hez – Cisco
    Támogatja: Microsoft

    Citrix Analytics (Security)

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) CitrixAnalytics_SAlerts_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    A Citrix Csatlakozás a Microsoft Sentinelhez
    Támogatja: Citrix Systems

    Citrix Web App Firewall (WAF) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon keresztül
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Szállítói dokumentáció/
    telepítési utasítások
    A WAF konfigurálásához lásd: Támogatási WIKI – WAF-konfiguráció a NetScalerrel.

    A CEF-naplók konfigurálásához tekintse meg a CEF naplózási támogatását az alkalmazás tűzfalán.

    A naplók proxyra való továbbításához lásd: Citrix ADC-berendezés konfigurálása naplózáshoz.
    Támogatja: Citrix Systems

    Cognni (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) CognniIncidents_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    Csatlakozás a Cognnihez
    1. Nyissa meg a Cognni-integrációk oldalt.
    2. Válassza Csatlakozás a Microsoft Sentinel mezőben.
    3. Illessze be a workspaceId és a sharedKey (elsődleges kulcs) illessze be a mezőket a Cognni integrációs képernyőjén.
    4. Válassza a Csatlakozás gombot a konfiguráció befejezéséhez.
    Támogatja: Cognni

    Folyamatos fenyegetésfigyelés az SAP-hoz (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Csak az SAP-megoldás folyamatos fenyegetésfigyelésének telepítése után érhető el
    Log Analytics-tábla(ok) Lásd a Microsoft Sentinel SAP-megoldás adatainak referenciaanyagát
    Szállítói dokumentáció/
    telepítési utasítások
    SAP folyamatos fenyegetésfigyelés üzembe helyezése
    Támogatja: Microsoft

    CyberArk Enterprise Password Vault (EPV) események (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon keresztül
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Szállítói dokumentáció/
    telepítési utasítások
    Biztonsági információ- és eseménykezelési (SIEM-) alkalmazások
    Támogatja: CyberArk

    Cyberpion biztonsági naplók (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) CyberpionActionItems_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    Cyberpion-előfizetés lekérése
    Cyberpion biztonsági riasztások integrálása a Microsoft Sentinelbe
    Támogatja: Cyberpion

    DNS (előzetes verzió)

    Lásd Windows DNS-kiszolgáló (előzetes verzió) című témakört.

    Dynamics 365

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    API-alapú kapcsolatok


    A Microsoft Sentinel 4 Dynamics 365-megoldás részeként is elérhető
    Licenc előfeltételei/
    Költségadatok
  • Microsoft Dynamics 365 éles licenc. Tesztkörnyezetekben nem érhető el.
  • Legalább egy felhasználó microsoftos/Office 365 E1-licenccel rendelkezik.
    Egyéb díjak is felszámíthatók
  • Log Analytics-tábla(ok) Dynamics365Activity
    DCR-támogatás Munkaterület-átalakítási DCR
    Támogatja: Microsoft

    ESET Enterprise Inspector (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API

    API-felhasználó létrehozása
    Log Analytics-tábla(ok) ESETEnterpriseInspector_CL
    DCR-támogatás Egyelőre nem támogatott
    API-hitelesítő adatok
  • EEI felhasználónév
  • EEI-jelszó
  • Kiindulási URL-cím
  • Szállítói dokumentáció/
    telepítési utasítások
  • AZ ESET Enterprise Inspector REST API dokumentációja
  • Összekötő üzembe helyezési útmutatója Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
    Támogatja: ESET

    API-felhasználó létrehozása

    1. Jelentkezzen be az ESET Security Management Center/ESET PROTECT konzolra egy rendszergazdai fiókkal, válassza a Továbbiak lapot és a Felhasználók allapot.
    2. Válassza az ADD NEW (ÚJ HOZZÁADÁSA ) gombot, és adjon hozzá egy natív felhasználót.
    3. Hozzon létre egy új felhasználót az API-fiókhoz. Választható: A betöltések számának korlátozásához válasszon egy, a Mind csoporttól eltérő kezdőlapcsoportot.
    4. Az Engedélykészletek lapon rendelje hozzá a Vállalati felügyelő felülvizsgáló engedélykészletét.
    5. Jelentkezzen ki a rendszergazdai fiókból, és jelentkezzen be a konzolra az új API hitelesítő adataival az ellenőrzéshez, majd jelentkezzen ki az API-fiókból.

    ESET Security Management Center (SMC) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog

    Az ESET SMC-naplók összegyűjtendő konfigurálása
    Az OMS-ügynök konfigurálása az Eset SMC-adatok API-formátumban történő átadására
    Az OMS-ügynök konfigurációjának módosítása az oms.api.eset címke elfogásához és a strukturált adatok elemzéséhez
    Az automatikus konfiguráció letiltása és az ügynök újraindítása
    Log Analytics-tábla(ok) eset_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    ESET Syslog-kiszolgáló dokumentációja
    Támogatja: ESET

    Az ESET SMC-naplók összegyűjtendő konfigurálása

    Konfigurálja az rsyslogot úgy, hogy fogadja a naplókat az Eset SMC IP-címéről.

        sudo -i
        # Set ESET SMC source IP address
        export ESETIP={Enter your IP address}
    
        # Create rsyslog configuration file
        cat > /etc/rsyslog.d/80-remote.conf << EOF
        \$ModLoad imudp
        \$UDPServerRun 514
        \$ModLoad imtcp
        \$InputTCPServerRun 514
        \$AllowedSender TCP, 127.0.0.1, $ESETIP
        \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
        EOF
    
        # Restart rsyslog
        systemctl restart rsyslog
    

    Az OMS-ügynök konfigurálása az Eset SMC-adatok API-formátumban történő átadására

    Az Eset-adatok egyszerű felismerése érdekében küldje le őket egy külön táblába, és elemezze az ügynöknél a Microsoft Sentinel-lekérdezés egyszerűsítése és felgyorsítása érdekében.

    Az /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf fájlban módosítsa a match oms.** szakaszt úgy, hogy API-objektumként küldjön adatokat a típus out_oms_apimódosításával.

    Az alábbi kód egy példa a teljes match oms.** szakaszra:

        <match oms.** docker.**>
          type out_oms_api
          log_level info
          num_threads 5
          run_in_background false
    
          omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
          cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
          key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key
    
          buffer_chunk_limit 15m
          buffer_type file
          buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer
    
          buffer_queue_limit 10
          buffer_queue_full_action drop_oldest_chunk
          flush_interval 20s
          retry_limit 10
          retry_wait 30s
          max_retry_wait 9m
        </match>
    

    Az OMS-ügynök konfigurációjának módosítása az oms.api.eset címke elfogásához és a strukturált adatok elemzéséhez

    Módosítsa az /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf fájlt.

    Például:

        <source>
          type syslog
          port 25224
          bind 127.0.0.1
          protocol_type udp
          tag oms.api.eset
        </source>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format /(?<message>.*?{.*})/
        </filter>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format json
        </filter>
    

    Az automatikus konfiguráció letiltása és az ügynök újraindítása

    Például:

        # Disable changes to configuration files from Portal
        sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
    
        # Restart agent
        sudo /opt/microsoft/omsagent/bin/service_control restart
    
        # Check agent logs
        tail -f /var/opt/microsoft/omsagent/log/omsagent.log
    

    Az Eset SMC konfigurálása naplók összekötőnek való küldéséhez

    Esetnaplók konfigurálása BSD-stílus és JSON-formátum használatával.

    • Lépjen a Syslog-kiszolgáló konfigurációjához, konfigurálja a gazdagépet (az összekötőt), a BSD formátumot és a TCP átvitelét
    • Lépjen a Naplózás szakaszra, és engedélyezze a JSON-t

    További információkért tekintse meg az Eset dokumentációját.

    Exabeam Advanced Analytics (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog
    Log Analytics-tábla(ok) Syslog
    DCR-támogatás Munkaterület-átalakítási DCR
    Kusto függvényalias: ExabeamEvent
    Kusto függvény URL-címe: https://aka.ms/Sentinel-Exabeam-parser
    Szállítói dokumentáció/
    telepítési utasítások
    Az Advanced Analytics rendszertevékenység-értesítéseinek konfigurálása
    Támogatja: Microsoft

    ExtraHop Reveal(x)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon keresztül
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Szállítói dokumentáció/
    telepítési utasítások
    ExtraHop detection SIEM-összekötő
    Támogatja: ExtraHop

    F5 BIG-IP

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) F5Telemetry_LTM_CL
    F5Telemetry_system_CL
    F5Telemetry_ASM_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    Az F5 BIG-IP integrálása a Microsoft Sentinelrel
    Támogatja: F5 Networks

    F5 Networks (ASM)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon keresztül
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Szállítói dokumentáció/
    telepítési utasítások
    Alkalmazásbiztonsági eseménynaplózás konfigurálása
    Támogatja: F5 Networks

    Forcepoint Cloud Access Security Broker (CASB) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon keresztül
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Szállítói dokumentáció/
    telepítési utasítások
    A Forcepoint CASB és a Microsoft Sentinel
    Támogatja: Erőpont

    Forcepoint Cloud Security Gateway (CSG) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon keresztül
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Szállítói dokumentáció/
    telepítési utasítások
    A Forcepoint Cloud Security Gateway és a Microsoft Sentinel
    Támogatja: Forcepoint

    Forcepoint adatveszteség-megelőzés (DLP) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) ForcepointDLPEvents_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    A Forcepoint adatveszteség-megelőzés és a Microsoft Sentinel
    Támogatja: Forcepoint

    Forcepoint Next Generation Firewall (NGFW) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Gyakori eseményformátum (CEF) a Syslogon
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Szállítói dokumentáció/
    telepítési utasítások
    A Forcepoint következő generációs tűzfala és a Microsoft Sentinel
    Támogatja: Forcepoint

    ForgeRock Common Audit (CAUD) a CEF-hez (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Gyakori eseményformátum (CEF) a Syslogon
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Szállítói dokumentáció/
    telepítési utasítások
    Először telepítse ezt a műveletet! ForgeRock Common Audit (CAUD) a Microsoft Sentinelhez
    Támogatja: ForgeRock

    Fortinet

    Összekötő attribútum Description
    Adatbetöltési módszer Gyakori eseményformátum (CEF) a Syslogon

    Fortinet-naplók küldése a naplótovábbítónak

    Elérhető a Fortinet Fortigate megoldásban
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Szállítói dokumentáció/
    telepítési utasítások
    Fortinet dokumentumtár
    Válassza ki a kívánt verziót, és használja a kézikönyvet és a naplóüzenetek hivatkozási PDF-eit.
    Támogatja: Fortinet

    Fortinet-naplók küldése a naplótovábbítónak

    Nyissa meg a parancssori felületet a Fortinet-berendezésen, és futtassa a következő parancsokat:

    config log syslogd setting
    set status enable
    set format cef
    set port 514
    set server <ip_address_of_Forwarder>
    end
    
    • Cserélje le a kiszolgáló IP-címét a naplótovábbító IP-címére.
    • Állítsa a syslog portot514-re , vagy a syslog démonon beállított portot a továbbítón.
    • Ha engedélyezni szeretné a CEF formátumot a FortiOS korai verzióiban, előfordulhat, hogy le kell futtatnia a csv parancskészlet letiltását.

    GitHub (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API

    Csak GitHub megoldás folyamatos veszélyforrások monitorozásának telepítése után érhető el.
    Log Analytics-tábla(ok) GitHubAuditLogPolling_CL
    DCR-támogatás Egyelőre nem támogatott
    API-hitelesítő adatok GitHub hozzáférési jogkivonat
    Összekötő üzembe helyezési útmutatója További konfiguráció a GitHub-összekötőhöz
    Támogatja: Microsoft

    További konfiguráció a GitHub-összekötőhöz

    Előfeltétel: A Microsoft Sentinelből GitHub való csatlakozáshoz egy GitHub vállalati fiókkal és egy akadálymentes szervezettel kell rendelkeznie.

    1. Telepítse a folyamatos fenyegetésfigyelést GitHub megoldáshoz a Microsoft Sentinel-munkaterületen. További információ: A Microsoft Sentinel beépített tartalmainak és megoldásainak központi felderítése és üzembe helyezése (nyilvános előzetes verzió).

    2. Hozzon létre egy GitHub személyes hozzáférési jogkivonatot a Microsoft Sentinel-összekötőben való használatra. További információt a vonatkozó GitHub dokumentációban talál.

    3. A Microsoft Sentinel-adatösszekötők területen keresse meg és keresse meg az GitHub összekötőt. A jobb oldalon válassza az Összekötő megnyitása lapot.

    4. Az Utasítások lap Konfiguráció területén adja meg a következő adatokat:

      • Szervezet neve: Adja meg annak a szervezetnek a nevét, amelyhez csatlakozni szeretne.
      • API-kulcs: Adja meg az eljárás során korábban létrehozott GitHub személyes hozzáférési jogkivonatot.
    5. A GitHub naplók Microsoft Sentinelbe való betöltéséhez válassza a Csatlakozás lehetőséget.

    Google Workspace (G-Suite) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API

    További konfiguráció a Google Reports API-hoz
    Log Analytics-tábla(ok) GWorkspace_ReportsAPI_admin_CL
    GWorkspace_ReportsAPI_calendar_CL
    GWorkspace_ReportsAPI_drive_CL
    GWorkspace_ReportsAPI_login_CL
    GWorkspace_ReportsAPI_mobile_CL
    GWorkspace_ReportsAPI_token_CL
    GWorkspace_ReportsAPI_user_accounts_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp
    API-hitelesítő adatok
  • GooglePickleString
  • Szállítói dokumentáció/
    telepítési utasítások
  • API-dokumentáció
  • Hitelesítő adatok lekérése a Google Workspace Domain-Wide meghatalmazásánál
  • Token.pickle fájl átalakítása pickle-sztringgé
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Kusto függvény aliasa GWorkspaceActivityReports
    Kusto függvény URL-címe/
    Elemzési konfigurációs utasítások
    https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser
    Alkalmazásbeállítások
  • GooglePickleString
  • WorkspaceID
  • workspaceKey
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    További konfiguráció a Google Reports API-hoz

    Adja hozzá http://localhost:8081/ az Engedélyezett átirányítási URI-k alatt a webalkalmazás hitelesítő adatainak létrehozásakor.

    1. Kövesse az utasításokat a credentials.json beszerzéséhez.
    2. A Google pickle sztring lekéréséhez futtassa ezt a Python szkriptet (a hitelesítő adatok.json elérési útjában).
    3. Másolja a pickle-sztring kimenetét szimpla idézőjelek közé, és mentse. A függvényalkalmazás üzembe helyezéséhez szükség lesz rá.

    Illusive Attack Management System (AMS) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Gyakori eseményformátum (CEF) a Syslogon
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Szállítói dokumentáció/
    telepítési utasítások
    Illusive Networks Rendszergazda Útmutató
    Támogatja: Illusive Networks

    Imperva WAF-átjáró (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Gyakori eseményformátum (CEF) a Syslogon

    Elérhető az Imperva Cloud WAF-megoldásban
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Szállítói dokumentáció/
    telepítési utasítások
    Az Imperva WAF-átjáró riasztásnaplózásának a Microsoft Sentinelbe történő engedélyezésének lépései
    Támogatja: Imperva

    Infoblox Network Identity Operating System (NIOS) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog

    elérhető az InfoBlox Threat Defense megoldásban
    Log Analytics-tábla(ok) Syslog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Kusto függvény aliasa: InfobloxNIOS
    Kusto függvény URL-címe: https://aka.ms/sentinelgithubparsersinfoblox
    Szállítói dokumentáció/
    telepítési utasítások
    NIOS SNMP és Syslog üzembe helyezési útmutató
    Támogatja: Microsoft

    Juniper SRX (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog
    Log Analytics-tábla(ok) Syslog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Kusto függvény aliasa: JuniperSRX
    Kusto függvény URL-címe: https://aka.ms/Sentinel-junipersrx-parser
    Szállítói dokumentáció/
    telepítési utasítások
    Forgalomnaplózás (biztonsági szabályzatnaplók) konfigurálása SRX-fiókeszközökhöz
    Rendszernaplózás konfigurálása
    Támogatja: Juniper Networks

    Lookout Mobile Threat Defense (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API

    Csak a Lookout Mobile Threat Defense Microsoft Sentinel-megoldás telepítése után érhető el
    Log Analytics-tábla(ok) Lookout_CL
    DCR-támogatás Egyelőre nem támogatott
    API-hitelesítő adatok
  • Lookout alkalmazáskulcs
  • Szállítói dokumentáció/
    telepítési utasítások
  • Telepítési útmutató (bejelentkezés szükséges)
  • API-dokumentáció (bejelentkezés szükséges)
  • Lookout Mobile Endpoint Security
  • Támogatja: A Lookout használatával

    Microsoft 365 Defender

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Csatlakozás adatok Microsoft 365 Defender a Microsoft Sentinelbe
    (a legfontosabb összekötőkről szóló cikk)
    Licenc előfeltételei/
    Költségadatok
    Érvényes licenc Microsoft 365 Defender
    Log Analytics-tábla(ok) Figyelmeztetések:
    SecurityAlert
    SecurityIncident
    Végponthoz készült Defender-események:
    DeviceEvents
    DeviceFileEvents
    DeviceImageLoadEvents
    DeviceInfo
    DeviceLogonEvents
    DeviceNetworkEvents
    DeviceNetworkInfo
    DeviceProcessEvents
    DeviceRegistryEvents
    DeviceFileCertificateInfo
    Office 365-höz készült Defender események:
    EmailAttachmentInfo
    EmailUrlInfo
    E-mailesemények
    EmailPostDeliveryEvents
    Defender for Identity-események:
    IdentityDirectoryEvents
    IdentityInfo
    IdentityLogonEvents
    IdentityQueryEvents
    Felhőhöz készült Defender Apps-események:
    CloudAppEvents
    A Defender eseményként riasztásokat küld:
    AlertInfo
    AlertEvidence
    DCR-támogatás Egyelőre nem támogatott
    Támogatja: Microsoft

    Microsoft Purview belső kockázatkezelés (IRM) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    API-alapú kapcsolatok


    A Microsoft Purview belső kockázatkezelés megoldásban is elérhető
    Licenc és egyéb előfeltételek
    Log Analytics-tábla(ok) SecurityAlert
    Adatbekérdezési szűrő SecurityAlert
    | where ProductName == "Microsoft Purview Insider Risk Management"
    Támogatja: Microsoft

    Microsoft Defender for Cloud

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    biztonsági riasztások Csatlakozás Felhőhöz készült Microsoft Defender
    -ból (a legfontosabb összekötőkről szóló cikk)
    Log Analytics-tábla(ok) SecurityAlert
    Támogatja: Microsoft

    Microsoft Defender for Cloud Apps

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    API-alapú kapcsolatok


    Cloud Discovery-naplók esetén engedélyezze a Microsoft SentinelT SIEM-ként a Microsoft Defender for Cloud Apps
    Log Analytics-tábla(ok) SecurityAlert – riasztásokhoz
    McasShadowItReporting – Cloud Discovery-naplókhoz
    Támogatja: Microsoft

    Microsoft Defender végponthoz

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    API-alapú kapcsolatok
    Licenc előfeltételei/
    Költségadatok
    Érvényes licenc Végponthoz készült Microsoft Defender üzembe helyezéshez
    Log Analytics-tábla(ok) SecurityAlert
    DCR-támogatás Munkaterület-átalakítás – DCR
    Támogatja: Microsoft

    Microsoft Defender for Identity

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    API-alapú kapcsolatok
    Log Analytics-tábla(ok) SecurityAlert
    DCR-támogatás Munkaterület-átalakítás – DCR
    Támogatja: Microsoft

    Microsoft Defender for IoT

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    API-alapú kapcsolatok
    Log Analytics-tábla(ok) SecurityAlert
    DCR-támogatás Munkaterület-átalakítás – DCR
    Támogatja: Microsoft

    Microsoft Defender for Office 365

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    API-alapú kapcsolatok
    Licenc előfeltételei/
    Költségadatok
    Érvényes licenccel kell rendelkeznie Office 365 2. ATP-csomaghoz
    Log Analytics-tábla(ok) SecurityAlert
    DCR-támogatás Munkaterület-átalakítás – DCR
    Támogatja: Microsoft

    Microsoft Office 365

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    API-alapú kapcsolatok
    Licenc előfeltételei/
    Költségadatok
    A Office 365 üzembe helyezésének ugyanazon a bérlőn kell lennie, mint a Microsoft Sentinel-munkaterületnek.
    Egyéb díjak is felszámíthatók.
    Log Analytics-tábla(ok) OfficeActivity
    DCR-támogatás Munkaterület-átalakítás – DCR
    Támogatja: Microsoft

    Microsoft Power BI (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    API-alapú kapcsolatok
    Licenc előfeltételei/
    Költségadatok
    A Office 365 üzembe helyezésének ugyanazon a bérlőn kell lennie, mint a Microsoft Sentinel-munkaterületnek.
    Egyéb díjak is felszámíthatók.
    Log Analytics-tábla(ok) PowerBIActivity
    Támogatja: Microsoft

    Microsoft Project (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    API-alapú kapcsolatok
    Licenc előfeltételei/
    Költségadatok
    A Office 365 üzembe helyezésének ugyanazon a bérlőn kell lennie, mint a Microsoft Sentinel-munkaterületnek.
    Egyéb díjak is felszámíthatók.
    Log Analytics-tábla(ok) ProjectActivity
    Támogatja: Microsoft

    Linuxhoz készült Microsoft Sysmon (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog, with, ASIM-elemzők Kusto függvények alapján
    Log Analytics-tábla(ok) Syslog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Támogatja: Microsoft

    Morphisec UTPP (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon, Kusto függvényelemzővel
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Kusto függvény aliasa: Morphisec
    Kusto függvény URL-címe https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Morphisec/Parsers/Morphisec/Morphisec
    Támogatja: Morphisec

    Netskope (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API
    Log Analytics-tábla(ok) Netskope_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://aka.ms/Sentinel-netskope-functioncode
    API-hitelesítő adatok
  • Netskope API-token
  • Szállítói dokumentáció/
    telepítési utasítások
  • Netskope Cloud Security Platform
  • A Netskope API dokumentációja
  • API-jogkivonat beszerzése
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Kusto függvény aliasa Netskope
    Kusto függvény URL-címe/
    Elemzési konfigurációs utasítások
    https://aka.ms/Sentinel-netskope-parser
    Alkalmazásbeállítások
  • apikey
  • workspaceID
  • workspaceKey
  • uri (régiótól függ, a sémát követi: https://<Tenant Name>.goskope.com)
  • timeInterval (5 értékre állítva)
  • logTypes
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    NGINX HTTP-kiszolgáló (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Log Analytics-ügynök – egyéni naplók
    Log Analytics-tábla(ok) NGINX_CL
    DCR-támogatás Egyelőre nem támogatott
    Kusto függvény aliasa: NGINXHTTPServer
    Kusto függvény URL-címe https://aka.ms/Sentinel-NGINXHTTP-parser
    Szállítói dokumentáció/
    telepítési utasítások
    Modul ngx_http_log_module
    Egyéni naplómintafájl: access.log vagy error.log
    Támogatja: Microsoft

    NXLog Basic Security Module (BSM) macOS (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) BSMmacOS_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    NXLog Microsoft Sentinel felhasználói útmutató
    Támogatja: NXLog

    NXLog DNS-naplók (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) DNS_Logs_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    NXLog Microsoft Sentinel – felhasználói útmutató
    Támogatja: NXLog

    NXLog LinuxAudit (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) LinuxAudit_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    NXLog Microsoft Sentinel – felhasználói útmutató
    Támogatja: NXLog

    Okta single Sign-On (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API
    Log Analytics-tábla(ok) Okta_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://aka.ms/sentineloktaazurefunctioncodev2
    API-hitelesítő adatok
  • API-jogkivonat
  • Szállítói dokumentáció/
    telepítési utasítások
  • Okta Rendszernapló API dokumentációja
  • API-jogkivonat létrehozása
  • SSO Csatlakozás Okta a Microsoft Sentinelnek
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Alkalmazásbeállítások
  • apiToken
  • workspaceID
  • workspaceKey
  • uri (a sémát https://<OktaDomain>/api/v1/logs?since=követi. Azonosítsa a tartománynévteret.)
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    Onapsis Platform (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon, Kusto keresési és bővítési függvénnyel

    Az Onapsis konfigurálása CEF-naplók a naplótovábbítónak való küldéséhez
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Kusto függvényalias: incident_lookup
    Kusto függvény URL-címe https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Onapsis%20Platform/Parsers/OnapsisLookup.txt
    Támogatja: Onapsis

    Az Onapsis konfigurálása CEF-naplók a naplótovábbítónak való küldéséhez

    Tekintse meg az Onapsis terméken belüli súgóját a Log Analytics-ügynöknek történő naplótovábbítás beállításához.

    1. Lépjen a külső integrációk > beállításához>, és kövesse a Microsoft Sentinel utasításait.
    2. Győződjön meg arról, hogy az Onapsis-konzol eléri azt a naplótovábbító gépet, amelyen az ügynök telepítve van. A naplókat a TCP használatával kell elküldeni az 514-ös portra.

    One Identity Safeguard (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon keresztül
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Szállítói dokumentáció/
    telepítési utasítások
    One Identity Safeguard emelt szintű munkamenetekhez – felügyeleti útmutató
    Támogatja: Egy identitás

    Oracle WebLogic-kiszolgáló (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Log Analytics-ügynök – egyéni naplók
    Log Analytics-tábla(ok) OracleWebLogicServer_CL
    DCR-támogatás Egyelőre nem támogatott
    Kusto függvény aliasa: OracleWebLogicServerEvent
    Kusto függvény URL-címe: https://aka.ms/Sentinel-OracleWebLogicServer-parser
    Szállítói dokumentáció/
    telepítési utasítások
    Az Oracle WebLogic Server dokumentációja
    Egyéni naplómintafájl: server.log
    Támogatja: Microsoft

    Az Orca biztonsága (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) OrcaAlerts_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    A Microsoft Sentinel integrációja
    Támogatja: Orca Security

    OSSEC (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon, Kusto függvényelemzővel
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Kusto függvény aliasa: OSSECEvent
    Kusto függvény URL-címe: https://aka.ms/Sentinel-OSSEC-parser
    Szállítói dokumentáció/
    telepítési utasítások
    OSSEC-dokumentáció
    Riasztások küldése a syslogon keresztül
    Támogatja: Microsoft

    Palo Alto Networks

    Összekötő attribútum Description
    Adatbetöltési módszer Gyakori eseményformátum (CEF) a Syslogon

    A Palo Alto PAN-OS és Prisma megoldásokban is elérhető
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Szállítói dokumentáció/
    telepítési utasítások
    Common Event Format (CEF) konfigurációs útmutatók
    A Syslog Monitorozás konfigurálása
    Támogatja: Palo Alto Networks

    Szegély 81 tevékenységnaplók (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) Perimeter81_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    A Perimeter 81 dokumentációja
    Támogatja: Perimeter 81

    Igény szerinti proofpoint (POD) e-mail-biztonság (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API

    A Proofpoint POD-megoldásban is elérhető
    Log Analytics-tábla(ok) ProofpointPOD_message_CL
    ProofpointPOD_maillog_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://aka.ms/Sentinel-proofpointpod-functionapp
    API-hitelesítő adatok
  • ProofpointClusterID
  • ProofpointToken
  • Szállítói dokumentáció/
    telepítési utasítások
  • Bejelentkezés a Proofpoint-közösségbe
  • A Proofpoint API dokumentációja és utasításai
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Kusto függvény aliasa ProofpointPOD
    Kusto függvény URL-címe/
    Elemzési konfigurációs utasítások
    https://aka.ms/Sentinel-proofpointpod-parser
    Alkalmazásbeállítások
  • ProofpointClusterID
  • ProofpointToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    Proofpoint Targeted Attack Protection (TAP) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API

    A Proofpoint TAP megoldásban is elérhető
    Log Analytics-tábla(ok) ProofPointTAPClicksPermitted_CL
    ProofPointTAPClicksBlocked_CL
    ProofPointTAPMessagesDelivered_CL
    ProofPointTAPMessagesBlocked_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://aka.ms/sentinelproofpointtapazurefunctioncode
    API-hitelesítő adatok
  • API-felhasználónév
  • API-jelszó
  • Szállítói dokumentáció/
    telepítési utasítások
  • A Proofpoint SIEM API dokumentációja
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Alkalmazásbeállítások
  • apiUsername
  • apiUsername
  • uri (beállítás: https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300)
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    Pulse Csatlakozás Secure (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog
    Log Analytics-tábla(ok) Syslog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Kusto függvény aliasa: PulseConnectSecure
    Kusto függvény URL-címe: https://aka.ms/sentinelgithubparserspulsesecurevpn
    Szállítói dokumentáció/
    telepítési utasítások
    A Syslog konfigurálása
    Támogatja: Microsoft

    Qualys VM KnowledgeBase (KB) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API

    Extra konfiguráció a Qualys virtuálisgép-tudásbázishoz

    A Qualys virtuálisgép-megoldásban is elérhető
    Log Analytics-tábla(ok) QualysKB_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://aka.ms/Sentinel-qualyskb-functioncode
    API-hitelesítő adatok
  • API-felhasználónév
  • API-jelszó
  • Szállítói dokumentáció/
    telepítési utasítások
  • A QualysVM API felhasználói útmutatója
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Kusto függvény aliasa QualysKB
    Kusto függvény URL-címe/
    Elemzési konfigurációs utasítások
    https://aka.ms/Sentinel-qualyskb-parser
    Alkalmazásbeállítások
  • apiUsername
  • apiUsername
  • uri (régiónként; lásd az API Server listáját. A sémát https://<API Server>/api/2.0követi .
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (hozzáadva az URI végéhez, elválasztó karakterrel &elválasztva). Nincs szóköz.)
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    Extra konfiguráció a Qualys virtuálisgép-tudásbázishoz

    1. Jelentkezzen be a Qualys biztonságirés-kezelési konzoljára egy rendszergazdai fiókkal, válassza a Felhasználók lapot és a Felhasználók altáblát.
    2. Válassza az Új legördülő menüt, majd a Felhasználók lehetőséget.
    3. Hozzon létre egy felhasználónevet és jelszót az API-fiókhoz.
    4. A Felhasználói szerepkörök lapon győződjön meg arról, hogy a fiókszerepkör Felettesre van állítva, és a hozzáférés engedélyezve van a grafikus felhasználói felülethez és az API-hoz
    5. Jelentkezzen ki a rendszergazdai fiókból, és jelentkezzen be a konzolra az új API hitelesítő adataival az ellenőrzéshez, majd jelentkezzen ki az API-fiókból.
    6. Jelentkezzen be a konzolra egy rendszergazdai fiókkal, és módosítsa az API-fiókok felhasználói szerepkörét, és távolítsa el a hozzáférést a grafikus felhasználói felülethez.
    7. Mentse az összes módosítást.

    Qualys biztonságirés-kezelés (VM) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API

    Extra konfiguráció a Qualys virtuális géphez
    Manuális üzembe helyezés – a függvényalkalmazás konfigurálása után
    Log Analytics-tábla(ok) QualysHostDetection_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://aka.ms/sentinelqualysvmazurefunctioncode
    API-hitelesítő adatok
  • API-felhasználónév
  • API-jelszó
  • Szállítói dokumentáció/
    telepítési utasítások
  • A QualysVM API felhasználói útmutatója
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Alkalmazásbeállítások
  • apiUsername
  • apiUsername
  • URI (régiónként; lásd az API Server listáját. A sémát https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=követi.
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (hozzáadva az URI végéhez, elválasztó karakterrel &elválasztva). Nincs szóköz.)
  • timeInterval (5 értékre állítva). Ha módosítja, ennek megfelelően módosítsa a függvényalkalmazás időzítő eseményindítóját.)
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    Extra konfiguráció a Qualys virtuális géphez

    1. Jelentkezzen be a Qualys biztonságirés-kezelési konzoljára egy rendszergazdai fiókkal, és válassza a Felhasználók lapot és a Felhasználók allapot.
    2. Válassza az Új legördülő menüt, majd a Felhasználók lehetőséget.
    3. Hozzon létre egy felhasználónevet és egy jelszót az API-fiókhoz.
    4. A Felhasználói szerepkörök lapon győződjön meg arról, hogy a fiókszerepkör Felettes értékre van állítva, és a hozzáférés engedélyezve van a grafikus felhasználói felülethez és az API-hoz
    5. Jelentkezzen ki a rendszergazdai fiókból, és jelentkezzen be a konzolra az új API hitelesítő adataival az ellenőrzéshez, majd jelentkezzen ki az API-fiókból.
    6. Jelentkezzen be újra a konzolra egy rendszergazdai fiókkal, és módosítsa az API-fiókok felhasználói szerepkörét, és távolítsa el a grafikus felhasználói felülethez való hozzáférést.
    7. Mentse az összes módosítást.

    Manuális üzembe helyezés – a függvényalkalmazás konfigurálása után

    A host.json fájl konfigurálása

    A Qualys-gazdagép potenciálisan nagy mennyiségű észlelési adatának betöltése miatt a végrehajtási idő meghaladhatja az alapértelmezett öt perces függvényalkalmazás-időtúllépést. Növelje az alapértelmezett időtúllépési időtartamot legfeljebb 10 percre a használatalapú csomagban, hogy több időt hagyjon a függvényalkalmazás végrehajtására.

    1. A függvényalkalmazásban válassza a függvényalkalmazás nevét, majd a App Service Szerkesztő lapot.
    2. Az Ugrás gombra kattintva nyissa meg a szerkesztőt, majd válassza ki a host.json fájlt a wwwroot könyvtárban.
    3. Adja hozzá a vonal fölötti managedDependancy vonalat"functionTimeout": "00:10:00",.
    4. Győződjön meg arról, hogy a SAVED megjelenik a szerkesztő jobb felső sarkában, majd lépjen ki a szerkesztőből.

    Ha hosszabb időtúllépési időtartamra van szükség, érdemes lehet App Service-csomagra frissíteni.

    Salesforce Service Cloud (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API
    Log Analytics-tábla(ok) SalesforceServiceCloud_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp
    API-hitelesítő adatok
  • SALESFORCE API-felhasználónév
  • SALESFORCE API-jelszó
  • biztonsági jogkivonat Salesforce
  • Salesforce fogyasztói kulcs
  • Salesforce fogyasztói titok
  • Szállítói dokumentáció/
    telepítési utasítások
    Salesforce REST API fejlesztői útmutatója
    Az Engedélyezés beállítása területen használja az OAuth helyett a Munkamenet-azonosító metódust.
    Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Kusto függvényalias SalesforceServiceCloud
    Kusto függvény URL-címe/
    Elemzési konfigurációs utasítások
    https://aka.ms/Sentinel-SalesforceServiceCloud-parser
    Alkalmazásbeállítások
  • SalesforceUser
  • SalesforcePass
  • SalesforceSecurityToken
  • SalesforceConsumerKey
  • SalesforceConsumerSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    Biztonsági események örökölt ügynökkel (Windows)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Log Analytics-ügynökalapú kapcsolatok (örökölt)
    Log Analytics-tábla(ok) SecurityEvents
    DCR-támogatás Munkaterület-átalakítási DCR
    Támogatja: Microsoft

    További információkért lásd:

    SentinelOne (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API

    Extra konfiguráció a SentinelOne-hoz
    Log Analytics-tábla(ok) SentinelOne_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://aka.ms/Sentinel-SentinelOneAPI-functionapp
    API-hitelesítő adatok
  • SentinelOneAPIToken
  • SentinelOneUrl (https://<SOneInstanceDomain>.sentinelone.net)
  • Szállítói dokumentáció/
    telepítési utasítások
  • <SOneInstanceDomain>https://.sentinelone.net/api-doc/overview
  • Lásd az alábbi utasításokat
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Kusto függvényalias SentinelOne
    Kusto függvény URL-címe/
    Elemzési konfigurációs utasítások
    https://aka.ms/Sentinel-SentinelOneAPI-parser
    Alkalmazásbeállítások
  • SentinelOneAPIToken
  • SentinelOneUrl
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    Extra konfiguráció a SentinelOne-hoz

    A hitelesítő adatok beszerzéséhez kövesse az utasításokat.

    1. Jelentkezzen be a SentinelOne felügyeleti konzolra Rendszergazda felhasználói hitelesítő adatokkal.
    2. A felügyeleti konzolon válassza a Gépház lehetőséget.
    3. A BEÁLLÍTÁSOK nézetben válassza a FELHASZNÁLÓK lehetőséget
    4. Válassza az Új felhasználó lehetőséget.
    5. Adja meg az új konzolfelhasználó adatait.
    6. A Szerepkör listában válassza a Rendszergazda lehetőséget.
    7. Válassza a MENTÉS lehetőséget
    8. Mentse az új felhasználó hitelesítő adatait az adatösszekötőben való használathoz.

    SonicWall firewall (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon keresztül
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Szállítói dokumentáció/
    telepítési utasítások
    Napló > syslog
    Syslog formátumként válassza ki a local4 létesítményt és az ArcSightot.
    Támogatja: SonicWall

    Sophos Cloud Optix (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) SophosCloudOptix_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    Integrálható a Microsoft Sentinellel, kihagyva az első lépést.
    Sophos lekérdezési minták
    Támogatja: Sophos

    Sophos XG tűzfal (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog
    Log Analytics-tábla(ok) Syslog
    DCR-támogatás Munkaterület-átalakítási DCR
    Kusto függvényalias: SophosXGFirewall
    Kusto függvény URL-címe: https://aka.ms/sentinelgithubparserssophosfirewallxg
    Szállítói dokumentáció/
    telepítési utasítások
    Syslog-kiszolgáló hozzáadása
    Támogatja: Microsoft

    Squadra Technologies secRMM

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) secRMM_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    secRMM Microsoft Sentinel rendszergazdai útmutató
    Támogatja: Squadra Technologies

    Tintahal-proxy (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Log Analytics-ügynök – egyéni naplók
    Log Analytics-tábla(ok) SquidProxy_CL
    DCR-támogatás Egyelőre nem támogatott
    Kusto függvényalias: SquidProxy
    Kusto függvény URL-címe https://aka.ms/Sentinel-squidproxy-parser
    Egyéni naplómintafájl: access.log vagy cache.log
    Támogatja: Microsoft

    Symantec Integrated Cyber Defense Exchange (ICDx)

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API
    Log Analytics-tábla(ok) SymantecICDx_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    A Microsoft Sentinel (Log Analytics) továbbítóinak konfigurálása
    Támogatja: Broadcom Symantec

    Symantec ProxySG (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog
    Log Analytics-tábla(ok) Syslog
    DCR-támogatás Munkaterület-átalakítási DCR
    Kusto függvényalias: SymantecProxySG
    Kusto függvény URL-címe: https://aka.ms/sentinelgithubparserssymantecproxysg
    Szállítói dokumentáció/
    telepítési utasítások
    Hozzáférési naplók küldése Syslog-kiszolgálóra
    Támogatja: Microsoft

    Symantec VIP (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog
    Log Analytics-tábla(ok) Syslog
    DCR-támogatás Munkaterület-átalakítási DCR
    Kusto függvényalias: SymantecVIP
    Kusto függvény URL-címe: https://aka.ms/sentinelgithubparserssymantecvip
    Szállítói dokumentáció/
    telepítési utasítások
    A syslog konfigurálása
    Támogatja: Microsoft

    Thycotic Secret Server (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon keresztül
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Szállítói dokumentáció/
    telepítési utasítások
    Biztonságos Syslog-/CEF-naplózás
    Támogatja: Thycotic

    Trend Micro Deep Security

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon, Kusto függvényelemzővel
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Kusto függvényalias: TrendMicroDeepSecurity
    Kusto függvény URL-címe https://aka.ms/TrendMicroDeepSecurityFunction
    Szállítói dokumentáció/
    telepítési utasítások
    Mély biztonsági események továbbítása Syslog- vagy SIEM-kiszolgálóra
    Támogatja: Trend Micro

    Trend Micro TippingPoint (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon, Kusto függvényelemzővel
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Kusto függvényalias: TrendMicroTippingPoint
    Kusto függvény URL-címe https://aka.ms/Sentinel-trendmicrotippingpoint-function
    Szállítói dokumentáció/
    telepítési utasítások
    Syslog-üzenetek küldése ArcSight CEF 4.2-es formátumban.
    Támogatja: Trend Micro

    Trend Micro Vision One (XDR) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API
    Log Analytics-tábla(ok) TrendMicro_XDR_CL
    DCR-támogatás Egyelőre nem támogatott
    API-hitelesítő adatok
  • API-jogkivonat
  • Szállítói dokumentáció/
    telepítési utasítások
  • Trend Micro Vision One API
  • API-kulcsok beszerzése külső hozzáféréshez
  • Összekötő üzembe helyezési útmutatója Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
    Támogatja: Trend Micro

    VMware Carbon Black Endpoint Standard (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API
    Log Analytics-tábla(ok) CarbonBlackEvents_CL
    CarbonBlackAuditLogs_CL
    CarbonBlackNotifications_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://aka.ms/sentinelcarbonblackazurefunctioncode
    API-hitelesítő adatok API hozzáférési szint ( audit- és eseménynaplókhoz ):
  • API-azonosító
  • API-kulcs

    SIEM hozzáférési szint ( értesítési eseményekhez):
  • SIEM API-azonosító
  • SIEM API-kulcs
  • Szállítói dokumentáció/
    telepítési utasítások
  • A Carbon Black API dokumentációja
  • API-kulcs létrehozása
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Alkalmazásbeállítások
  • apiId
  • apiKey
  • WorkspaceID
  • WorkspaceKey
  • URI (régiónként; lásd a beállítások listáját. A következő sémát követi: https://<API URL>.conferdeploy.net.)
  • timeInterval (5 értékre állítva)
  • SIEMapiId ( értesítési események betöltésekor)
  • SIEMapiKey ( értesítési események betöltésekor)
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    VMware ESXi (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog
    Log Analytics-tábla(ok) Syslog
    DCR-támogatás Munkaterület-átalakítási DCR
    Kusto függvényalias: VMwareESXi
    Kusto függvény URL-címe: https://aka.ms/Sentinel-vmwareesxi-parser
    Szállítói dokumentáció/
    telepítési utasítások
    A syslog engedélyezése az ESXi 3.5-ös és 4.x-es verzióján
    A Syslog konfigurálása ESXi-gazdagépeken
    Támogatja: Microsoft

    WatchGuard Firebox (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Syslog
    Log Analytics-tábla(ok) Syslog
    DCR-támogatás Munkaterület-átalakítási DCR
    Kusto függvényalias: WatchGuardFirebox
    Kusto függvény URL-címe: https://aka.ms/Sentinel-watchguardfirebox-parser
    Szállítói dokumentáció/
    telepítési utasítások
    A Microsoft Sentinel integrációs útmutatója
    Támogatja: WatchGuard-technológiák

    WireX Network Forensics Platform (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Common Event Format (CEF) a Syslogon keresztül
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítási DCR
    Szállítói dokumentáció/
    telepítési utasítások
    Lépjen kapcsolatba a WireX ügyfélszolgálatával , hogy konfigurálja az NFP-megoldást a Syslog-üzenetek CEF formátumú küldésére.
    Támogatja: WireX-rendszerek

    DNS-kiszolgáló Windows (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Log Analytics-ügynökalapú kapcsolatok (örökölt)
    Log Analytics-tábla(ok) DnsEvents
    DnsInventory
    DCR-támogatás Munkaterület-átalakítási DCR
    Támogatja: Microsoft

    A Windows DNS-kiszolgáló adatösszekötőjének hibaelhárítása

    Ha a DNS-események nem jelennek meg a Microsoft Sentinelben:

    1. Győződjön meg arról, hogy a DNS-elemzési naplók engedélyezve vannak a kiszolgálókon.
    2. Nyissa meg az Azure DNS Analyticset.
    3. A Konfiguráció területen módosítsa a beállításokat, és mentse a módosításokat. Szükség esetén módosítsa a beállításokat, majd mentse újra a módosításokat.
    4. Ellenőrizze az Azure DNS Analyticsben, hogy az események és a lekérdezések megfelelően jelennek-e meg.

    További információkért tekintse meg a DNS-infrastruktúrával kapcsolatos megállapítások gyűjtését a DNS Analytics előzetes verziójú megoldásával.

    Windows továbbított események (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Azure Monitor-ügynökalapú kapcsolatok


    További utasítások a Windows Forwarded Events összekötő üzembe helyezéséhez
    Előfeltételek Engedélyeznie és futtatnia kell Windows Eseménygyűjtést (WEC).
    Telepítse az Azure Monitor-ügynököt a WEC-gépen.
    xPath-lekérdezések előtagja "ForwardedEvents!*"
    Log Analytics-tábla(ok) WindowsEvents
    DCR-támogatás Standard DCR
    Támogatja: Microsoft

    További utasítások a Windows Forwarded Events összekötő üzembe helyezéséhez

    Javasoljuk, hogy telepítse az Advanced Security Information Model (ASIM) elemzőket, hogy teljes mértékben támogassa az adatok normalizálását. Ezeket az elemzőket az Azure-Sentinel GitHub-adattárból helyezheti üzembe az ott található Üzembe helyezés az Azure-ban gombbal.

    Windows tűzfal

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Log Analytics-ügynökalapú kapcsolatok (örökölt)
    Log Analytics-tábla(ok) WindowsFirewall
    Támogatja: Microsoft

    Windows biztonság események az AMA-val

    Összekötő attribútum Description
    Adatbetöltési módszer Azure-szolgáltatások közötti integráció:
    Azure Monitor-ügynökalapú kapcsolatok
    xPath-lekérdezések előtagja "Biztonság!*"
    Log Analytics-tábla(ok) SecurityEvents
    DCR-támogatás Standard DCR
    Támogatja: Microsoft

    Lásd még: Biztonsági események örökölt ügynök-összekötőn keresztül .

    A biztonsági események/Windows biztonság-események összekötőjének konfigurálása rendellenes RDP-bejelentkezés észleléséhez

    Fontos

    A rendellenes RDP-bejelentkezés észlelése jelenleg nyilvános előzetes verzióban érhető el. Ez a szolgáltatás szolgáltatásiszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

    A Microsoft Sentinel gépi tanulást (ML) alkalmazhat a biztonsági események adataira a rendellenes RDP-bejelentkezési tevékenységek azonosításához. A forgatókönyvek a következők:

    • Szokatlan IP-cím – az IP-címet ritkán vagy soha nem figyelték meg az elmúlt 30 napban

    • Szokatlan földrajzi hely – az IP-címet , a várost, az országot és az ASN-t ritkán vagy soha nem figyelték meg az elmúlt 30 napban

    • Új felhasználó – egy új felhasználó egy IP-címről és földrajzi helyről jelentkezik be, amelynek mindkettője vagy bármelyike nem volt látható a 30 nappal korábbi adatok alapján.

    Konfigurációs utasítások

    1. RdP-bejelentkezési adatokat (4624-s eseményazonosítót) kell gyűjtenie a biztonsági eseményeken vagy Windows biztonság események adatösszekötőin keresztül. Győződjön meg arról, hogy a "Nincs" mellett kijelölt egy eseménykészletet , vagy létrehozott egy olyan adatgyűjtési szabályt, amely tartalmazza ezt az eseményazonosítót, hogy streameljen a Microsoft Sentinelbe.

    2. A Microsoft Sentinel portálon válassza az Elemzés elemet, majd a Szabálysablonok lapot. Válassza ki az (előzetes verzió) rendellenes RDP-bejelentkezésészlelési szabályt, és helyezze át az Állapot csúszkát Engedélyezve állapotra.

      Megjegyzés

      Mivel a gépi tanulási algoritmusnak 30 napnyi adatra van szüksége a felhasználói viselkedés alapprofiljának létrehozásához, engedélyeznie kell 30 napos Windows biztonság eseményadatok gyűjtését az incidensek észlelése előtt.

    Munkahely a Facebookról (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API

    Webhookok konfigurálása
    Visszahívási URL-cím hozzáadása a Webhook konfigurációhoz
    Log Analytics-tábla(ok) Workplace_Facebook_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Workplace%20from%20Facebook/Data%20Connectors/WorkplaceFacebook/WorkplaceFacebookWebhooksSentinelConn.zip
    API-hitelesítő adatok
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • Szállítói dokumentáció/
    telepítési utasítások
  • Webhookok konfigurálása
  • Engedélyek konfigurálása
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Kusto függvény aliasa Workplace_Facebook
    Kusto függvény URL-címe/
    Elemzési konfigurációs utasítások
    https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Workplace%20from%20Facebook/Parsers/Workplace_Facebook.txt
    Alkalmazásbeállítások
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    Webhookok konfigurálása

    1. Jelentkezzen be a munkahelyre Rendszergazda felhasználói hitelesítő adatokkal.
    2. A Rendszergazda panelen válassza az Integrációk lehetőséget.
    3. A Minden integráció nézetben válassza az Egyéni integráció létrehozása lehetőséget.
    4. Adja meg a nevet és a leírást, és válassza a Létrehozás lehetőséget.
    5. Az Integráció részletei panelen jelenítse meg az alkalmazás titkos kódját , és másolja ki.
    6. Az Integrációs engedélyek panelen állítsa be az összes olvasási engedélyt. Részletekért tekintse meg az engedélyoldalt .

    Visszahívási URL-cím hozzáadása a Webhook konfigurációhoz

    1. Nyissa meg a függvényalkalmazás lapját, lépjen a Függvények listára, válassza a Függvény URL-címének lekérése lehetőséget, és másolja ki.
    2. Vissza a Munkahelyre a Facebookról. A Webhookok konfigurálása panelen minden lapon állítsa be a visszahívási URL-címet az utolsó lépésben kimásolt függvény URL-címeként, valamint az Ellenőrző jogkivonatot az automatikus üzembe helyezés során kapott vagy manuális üzembe helyezés során megadott értékkel.
    3. Kattintson a Mentés gombra.

    Zimperium Mobile Thread Defense (előzetes verzió)

    A Zimperium Mobile Threat Defense adatösszekötő csatlakoztatja a Zimperium fenyegetésnaplóját a Microsoft Sentinelhez az irányítópultok megtekintéséhez, egyéni riasztások létrehozásához és a vizsgálat javításához. Ez az összekötő további betekintést nyújt a szervezet mobil fenyegetési környezetébe, és javítja a biztonsági műveletek képességeit.

    További információ: Csatlakozás Zimperium to Microsoft Sentinel.

    Összekötő attribútum Description
    Adatbetöltési módszer Microsoft Sentinel Data Collector API

    A Zimperium MTD konfigurálása és csatlakoztatása
    Log Analytics-tábla(ok) ZimperiumThreatLog_CL
    ZimperiumMitigationLog_CL
    DCR-támogatás Egyelőre nem támogatott
    Szállítói dokumentáció/
    telepítési utasítások
    Zimperium ügyfélszolgálati portál (bejelentkezés szükséges)
    Támogatja: Zimperium

    A Zimperium MTD konfigurálása és csatlakoztatása

    1. A zConsole-ban válassza a Kezelés lehetőséget a navigációs sávon.
    2. Válassza az Integrációk lapot.
    3. Válassza a Fenyegetésjelentés gombot, majd az Integrációk hozzáadása gombot.
    4. Hozza létre az integrációt:
      1. Az elérhető integrációk közül válassza a Microsoft Sentinelt.
      2. Adja meg a munkaterület azonosítóját és elsődleges kulcsát, és válassza a Tovább gombot.
      3. Adja meg a Microsoft Sentinel-integráció nevét.
      4. Válasszon szűrőszintet a Microsoft Sentinelnek leküldeni kívánt fenyegetésadatokhoz.
      5. Válassza a Befejezés gombot.

    Jelentések nagyítása (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Azure Functions és a REST API
    Log Analytics-tábla(ok) Zoom_CL
    DCR-támogatás Egyelőre nem támogatott
    Azure-függvényalkalmazás kódja https://aka.ms/Sentinel-ZoomAPI-functionapp
    API-hitelesítő adatok
  • ZoomApiKey
  • ZoomApiSecret
  • Szállítói dokumentáció/
    telepítési utasítások
  • Hitelesítő adatok lekérése a JWT és a Zoom használatával
  • Összekötő üzembe helyezési útmutatója
  • Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
  • Manuális üzembe helyezés
  • Kusto függvény aliasa Zoom
    Kusto függvény URL-címe/
    Elemzési konfigurációs utasítások
    https://aka.ms/Sentinel-ZoomAPI-parser
    Alkalmazásbeállítások
  • ZoomApiKey
  • ZoomApiSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (nem kötelező)
  • Támogatja: Microsoft

    Zscaler

    Összekötő attribútum Description
    Adatbetöltési módszer Gyakori eseményformátum (CEF) a Syslogon
    Log Analytics-tábla(ok) CommonSecurityLog
    DCR-támogatás Munkaterület-átalakítás – DCR
    Szállítói dokumentáció/
    telepítési utasítások
    A Zscaler és a Microsoft Sentinel üzembehelyezési útmutatója
    Támogatja: Zscaler

    Zscaler Private Access (ZPA) (előzetes verzió)

    Összekötő attribútum Description
    Adatbetöltési módszer Log Analytics-ügynök – egyéni naplók

    Extra konfiguráció a Zscaler Privát Hozzáféréshez
    Log Analytics-tábla(ok) ZPA_CL
    DCR-támogatás Egyelőre nem támogatott
    Kusto függvény aliasa: ZPAEvent
    Kusto függvény URL-címe https://aka.ms/Sentinel-zscalerprivateaccess-parser
    Szállítói dokumentáció/
    telepítési utasítások
    A Zscaler Private Access dokumentációja
    Lásd még alább
    Támogatja: Microsoft

    Extra konfiguráció a Zscaler Privát Hozzáféréshez

    Kövesse az alábbi konfigurációs lépéseket a Zscaler Private Access-naplók Microsoft Sentinelbe való beolvasásához. További információkért tekintse meg az Azure Monitor dokumentációját. A Zscaler privát hozzáférési naplói a Log Streaming Service (LSS) szolgáltatáson keresztül érkeznek. Részletes információkért tekintse meg az LSS dokumentációját .

    1. Naplóvevők konfigurálása. A naplóvevő konfigurálása során válassza a JSON-tnaplósablonként.

    2. Töltse le a zpa.conf konfigurációs fájlt.

      wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
      
    3. Jelentkezzen be arra a kiszolgálóra, amelyen telepítette az Azure Log Analytics-ügynököt.

    4. Másolja a zpa.conf fájlt az /etc/opt/microsoft/omsagent/workspace_id//conf/omsagent.d/ mappába.

    5. Szerkessze a zpa.conf fájlt az alábbiak szerint:

      1. Adja meg azt a portot, amellyel beállította a Zscaler-naplóvevőket a naplók továbbítására (4. sor)
      2. Cserélje le workspace_id a munkaterület-azonosító valós értékére (14.15.16.19. sor)
    6. Mentse a módosításokat, és indítsa újra a Linuxhoz készült Azure Log Analytics-ügynököt a következő paranccsal:

      sudo /opt/microsoft/omsagent/bin/service_control restart
      

    A munkaterület-azonosító értékét a ZScaler Private Access-összekötő oldalán vagy a Log Analytics-munkaterület ügynökkezelési oldalán találja.

    Következő lépések

    További információkért lásd: