Microsoft Sentinel-adatösszekötők

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Miután előkészítette a Microsoft Sentinelt a munkaterületre, adatösszekötőkkel megkezdheti az adatok betöltését a Microsoft Sentinelbe. A Microsoft Sentinel számos beépített összekötővel rendelkezik a Microsoft-szolgáltatások számára, amelyek valós időben integrálhatók. A Microsoft Defender XDR-összekötő például egy szolgáltatásközi összekötő, amely integrálja az Office 365, a Microsoft Entra ID, a Microsoft Defender for Identity és a Felhőhöz készült Microsoft Defender Apps adatait.

A beépített összekötők lehetővé teszik a kapcsolatot a szélesebb körű biztonsági ökoszisztémával a nem Microsoft-termékek esetében. Például a Syslog, a Common Event Format (CEF) vagy a REST API-k használatával csatlakoztassa az adatforrásokat a Microsoft Sentinelhez.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Megoldásokkal ellátott adatösszekötők

A Microsoft Sentinel-megoldások csomagolt biztonsági tartalmakat biztosítanak, beleértve az adatösszekötőket, munkafüzeteket, elemzési szabályokat, forgatókönyveket és egyebeket. Amikor egy megoldást egy adatösszekötővel helyez üzembe, az adatösszekötőt a kapcsolódó tartalommal együtt kapja meg ugyanabban az üzembe helyezésben.

A Microsoft Sentinel Adatösszekötők lap felsorolja a telepített vagy használatban lévő adatösszekötőket.

Azure Portalra

Defender portál

További adatösszekötők hozzáadásához telepítse az adatösszekötőhöz társított megoldást a Content Hubról. További információért tekintse át az alábbi cikkeket:

• A Microsoft Sentinel-adatösszekötő megkeresése
• A Microsoft Sentinel tartalmai és megoldásai
• A Microsoft Sentinel beépített tartalmainak felderítése és kezelése
• Microsoft Sentinel tartalomközpont-katalógus
• Advanced Security Information Model (ASIM) alapú tartományi megoldások a Microsoft Sentinelhez

REST API-integráció adatösszekötőkhöz

Számos biztonsági technológia api-kat biztosít a naplófájlok lekéréséhez. Egyes adatforrások ezen API-k használatával csatlakozhatnak a Microsoft Sentinelhez.

Az API-kat használó adatösszekötők szolgáltatói oldalról integrálhatók, vagy az Azure Functions használatával integrálhatók az alábbi szakaszokban leírtak szerint.

Integráció a szolgáltatói oldalon

A szolgáltató által létrehozott API-integráció csatlakozik a szolgáltató adatforrásaihoz, és adatokat küld a Microsoft Sentinel egyéni naplótábláiba az Azure Monitor Data Collector API használatával. További információ: Naplóadatok küldése az Azure Monitorba a HTTP Data Collector API használatával.

A REST API-integráció megismeréséhez olvassa el a szolgáltató dokumentációját, és Csatlakozás az adatforrást a Microsoft Sentinel REST-API-jára az adatok betöltéséhez.

Integráció az Azure Functions használatával

Azok az integrációk, amelyek az Azure Functions használatával csatlakoznak egy szolgáltatói API-hoz, először formázza az adatokat, majd elküldi őket a Microsoft Sentinel egyéni naplótábláinak az Azure Monitor Data Collector API használatával.

További információkért lásd:

• Naplóadatok küldése az Azure Monitorba a HTTP Data Collector API használatával
• Adatforrás csatlakoztatása a Microsoft Sentinelhez az Azure Functions használatával
• Azure Functions – dokumentáció

Az Azure Functionst használó integrációk további adatbetöltési költségekkel járhatnak, mivel az Azure Functionst az Azure-szervezetben üzemelteti. További információ az Azure Functions díjszabásáról.

Ügynökalapú integráció adatösszekötőkhöz

A Microsoft Sentinel a Syslog protokoll használatával csatlakoztathat egy ügynököt minden olyan adatforráshoz, amely képes valós idejű naplóstreamelésre. A legtöbb helyszíni adatforrás például ügynökalapú integrációval csatlakozik.

A következő szakaszok a Microsoft Sentinel-ügynökalapú adatösszekötők különböző típusait ismertetik. Ha ügynökalapú mechanizmusokkal szeretné konfigurálni a kapcsolatokat, kövesse az egyes Microsoft Sentinel adatösszekötők oldalán található lépéseket.

Rendszernapló

A Linux-alapú, Syslog-támogató eszközökről az Azure Monitor Agent (AMA) használatával streamelheti az eseményeket a Microsoft Sentinelbe. Az eszköz típusától függően az ügynök közvetlenül az eszközön vagy egy dedikált Linux-alapú naplótovábbítón van telepítve. Az AMA az UDP-en keresztül fogadja a Syslog démon eseményeit. A Syslog démon belsőleg továbbítja az eseményeket az ügynöknek, és az UDS (Unix Domain Sockets) használatával kommunikál. Az AMA ezután továbbítja ezeket az eseményeket a Microsoft Sentinel-munkaterületnek.

Az alábbi egyszerű folyamat bemutatja, hogyan streameli a Microsoft Sentinel a Syslog-adatokat.

1. Az eszköz beépített Syslog-démonja összegyűjti a megadott típusú helyi eseményeket, és helyileg továbbítja az eseményeket az ügynöknek.
2. Az ügynök streameli az eseményeket a Log Analytics-munkaterületre.
3. A sikeres konfigurálás után az adatok megjelennek a Log Analytics Syslog táblában.

További információkért lásd az oktatóanyagot: Syslog-adatok továbbítása Log Analytics-munkaterületre a Microsoft Sentinellel az Azure Monitor Agent használatával.

Common Event Format (CEF)

A naplóformátumok eltérőek, de számos forrás támogatja a CEF-alapú formázást. A Microsoft Sentinel-ügynök, amely valójában a Log Analytics-ügynök, cef formátumú naplókat alakít át olyan formátumba, amelyet a Log Analytics betölthet.

A CEF-ben adatokat kibocsátó adatforrások esetében állítsa be a Syslog-ügynököt, majd konfigurálja a CEF-adatfolyamot. A sikeres konfigurálás után az adatok megjelennek a CommonSecurityLog táblában.

További információ: CEF formátumú naplók lekérése eszközről vagy berendezésről a Microsoft Sentinelbe.

Egyéni naplók

Egyes adatforrások esetében a Log Analytics egyéni naplógyűjtő ügynökével fájlként gyűjthet naplókat Windows vagy Linux rendszerű számítógépeken.

Ha a Log Analytics egyéni naplógyűjtő ügynökével szeretne csatlakozni, kövesse az egyes Microsoft Sentinel-adatösszekötők oldalán található lépéseket. A sikeres konfigurálás után az adatok egyéni táblákban jelennek meg.

További információ: Adatok gyűjtése egyéni naplóformátumokban a Microsoft Sentinelnek a Log Analytics-ügynökkel.

Szolgáltatásközi integráció adatösszekötőkhöz

A Microsoft Sentinel az Azure-alaprendszert használja az Microsoft-szolgáltatások és az Amazon Web Services szolgáltatáson kívüli támogatásának biztosítására.

További információért tekintse át az alábbi cikkeket:

• Csatlakozás Microsoft Sentinelt az Azure-ba, a Windowsba, a Microsoftba és az Amazon-szolgáltatásokba
• A Microsoft Sentinel-adatösszekötő megkeresése

Adatösszekötő támogatása

A Microsoft és más szervezetek is Microsoft Sentinel-adatösszekötőket használnak. Minden adatösszekötő az alábbi támogatási típusok egyikével rendelkezik a Microsoft Sentinel adatösszekötő oldalán.

Támogatási típus	Leírás
Microsoft által támogatott	Hatókör: Adatösszekötők olyan adatforrásokhoz, ahol a Microsoft az adatszolgáltató és a szerző. Néhány Microsoft által készített adatösszekötő nem Microsoft-adatforrásokhoz. A Microsoft a Microsoft Azure támogatási csomagjainak megfelelően támogatja és tartja karban az adatösszekötőket ebben a kategóriában. A partnerek vagy a Közösség a Microsofton kívül más felek által létrehozott adatösszekötőket támogatják.
Partner által támogatott	A Microsofttól eltérő felek által létrehozott adatösszekötőkre vonatkozik. A partnervállalat támogatást vagy karbantartást biztosít ezekhez az adatösszekötőkhöz. A partnervállalat lehet független szoftverszállító, felügyelt szolgáltató (MSP/MSSP), rendszer integrátor (SI), vagy bármely olyan szervezet, amelynek kapcsolattartási adatait az adatösszekötő Microsoft Sentinel oldalán találja. Partner által támogatott adatösszekötővel kapcsolatos problémák esetén forduljon a megadott adatösszekötő támogatási kapcsolattartóhoz.
Közösség által támogatott	A Microsoft vagy a partnerfejlesztők által létrehozott adatösszekötőkre vonatkozik, amelyek nem rendelkeznek az adatösszekötők támogatásával és karbantartásával kapcsolatos listázott partnerekkel a Microsoft Sentinel adatösszekötő oldalán. Az adatösszekötőkkel kapcsolatos kérdésekért vagy problémákért a Microsoft Sentinel GitHub-közösségben is elküldheti a problémát.

További információ: Az adatösszekötő támogatásának megkeresése.

Következő lépések

Az adatösszekötőkkel kapcsolatos további információkért tekintse meg az alábbi cikkeket.

• adatforrások Csatlakozás a Microsoft Sentinelbe adatösszekötők használatával
• A Microsoft Sentinel-adatösszekötő megkeresése
• Erőforrások egyéni Microsoft Sentinel-összekötők létrehozásához

Az adatösszekötők Microsoft Sentinelben való üzembe helyezéséhez a Bicep, az Azure Resource Manager és a Terraform alapszintű IaC-referenciáját a Microsoft Sentinel adatösszekötő IaC-referenciajában talál.