A Microsoft Sentinel-adatösszekötő megkeresése

Cikk
06/24/2022
46 perc alatt elolvasható

Megjegyzés

Az Azure Sentinel neve mostantól Microsoft Sentinel, és az elkövetkező hetekben frissíteni fogjuk ezeket az oldalakat. További információ a Microsoft legújabb biztonsági fejlesztéseiről.

Ez a cikk bemutatja, hogyan helyezhet üzembe adatösszekötőket a Microsoft Sentinelben, felsorolva az összes támogatott, használatra kész adatösszekötőt, valamint az általános üzembehelyezési eljárásokra mutató hivatkozásokat, valamint az egyes összekötőkhöz szükséges további lépéseket.

Tipp

Egyes adatösszekötők csak megoldásokon keresztül vannak üzembe helyezve. További információt a Microsoft Sentinel megoldáskatalógusában talál. A Microsoft Sentinel GitHub adattárban más, közösség által létrehozott adatösszekötőket is találhat.

Az útmutató használata

Először keresse meg és válassza ki a termékhez, szolgáltatáshoz vagy eszközhöz tartozó összekötőt a jobb oldali címsormenüben.

Az összekötők első adatbetöltési módszere az egyes összekötőkhöz. A megjelenő metódus az alábbi általános üzembehelyezési eljárások egyikére mutató hivatkozást tartalmaz, amely az adatforrások Microsoft Sentinelhez való csatlakoztatásához szükséges legtöbb információt tartalmazza:

Adatbetöltési módszer	Hivatkozott cikk útmutatással
Azure-szolgáltatások közötti integráció	Csatlakozás azure-, Windows-, Microsoft- és Amazon-szolgáltatásokhoz
Common Event Format (CEF) a Syslogon keresztül	CEF-formátumú naplók lekérése az eszközről vagy berendezésről a Microsoft Sentinelbe
Microsoft Sentinel Data Collector API	Csatlakozás az adatforrást a Microsoft Sentinel Data Collector API-nak az adatok betöltéséhez
Azure Functions és a REST API	A Azure Functions használata a Microsoft Sentinel adatforráshoz csatlakoztatásához
Syslog	Adatok gyűjtése Linux-alapú forrásokból a Syslog használatával
Egyéni naplók	Adatok gyűjtése egyéni naplóformátumokban a Microsoft Sentinelnek a Log Analytics-ügynökkel

Megjegyzés

Az Azure-szolgáltatások közötti integrációs adatbetöltési módszer a cikk három különböző szakaszára hivatkozik, az összekötő típusától függően. Az összekötők alábbi szakasza határozza meg a cikk azon szakaszát, amelyre hivatkozik.

Egy adott összekötő üzembe helyezésekor válassza ki az adatbetöltési módszeréhez kapcsolódó megfelelő cikket, és használja az alábbi megfelelő szakaszban található információkat és további útmutatást a cikkben található információk kiegészítéséhez.

Tipp

Számos adatösszekötő egy Microsoft Sentinel-megoldás részeként is üzembe helyezhető, a kapcsolódó elemzési szabályokkal, munkafüzetekkel és forgatókönyvekkel együtt. További információt a Microsoft Sentinel megoldáskatalógusában talál.
A Microsoft Sentinel közössége további adatösszekötőket biztosít, amelyek a Azure Marketplace találhatók. A közösségi adatösszekötők dokumentációja az összekötőt létrehozó szervezet feladata.
Ha olyan adatforrással rendelkezik, amely nem szerepel a listán, vagy jelenleg támogatott, létrehozhat saját, egyéni összekötőt is. További információ: Erőforrások a Microsoft Sentinel egyéni összekötőinek létrehozásához.

Fontos

A Microsoft Sentinel adatösszekötői jelenleg előzetes verzióban érhetők el. Az Azure előzetes verzió kiegészítő feltételei további jogi feltételeket tartalmaznak, amelyek a bétaverzióban, előzetes verzióban vagy más módon általánosan még nem elérhető Azure-funkciókra vonatkoznak.

Az adatösszekötő előfeltételei

Minden adatösszekötő saját előfeltétel-készlettel rendelkezik, például az Azure-munkaterületen, az előfizetésben vagy a szabályzatban szükséges engedélyekkel stb. kapcsolatban, vagy egyéb követelményekkel ahhoz a partneradatforráshoz, amelyhez csatlakozik.

Az egyes adatösszekötők előfeltételei a Microsoft Sentinel megfelelő adatösszekötő oldalán, az Utasítások lapon találhatók.

Agari adathalászat elleni védelem és márkavédelem (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API Üzembe helyezés előtt: Engedélyezze a Biztonsági Graph API (nem kötelező). Üzembe helyezés után: Rendelje hozzá a szükséges engedélyeket a függvényalkalmazáshoz
Log Analytics-tábla(ok)	agari_bpalerts_log_CL agari_apdtc_log_CL agari_apdpolicy_log_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/Sentinel-agari-functionapp
API-hitelesítő adatok	Ügyfél-azonosító Titkos ügyfélkulcs (Nem kötelező: Graph bérlőazonosító, Graph ügyfél-azonosító, Graph titkos ügyfélkód)
Szállítói dokumentáció/ telepítési utasítások	Rövid útmutató Agari fejlesztői webhely
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Alkalmazásbeállítások	clientID clientSecret workspaceID workspaceKey enableBrandProtectionAPI (igaz/hamis) enablePhishingResponseAPI (igaz/hamis) enablePhishingDefenseAPI (igaz/hamis) resGroup (erőforráscsoport megadása) functionName subId (adja meg az előfizetés azonosítóját) enableSecurityGraphSharing (igaz/hamis; lásd alább) Kötelező, ha az enableSecurityGraphSharing értéke true (lásd alább): GraphTenantId GraphClientId GraphClientSecret logAnalyticsUri (nem kötelező)
Támogatja:	Agari

Biztonsági Graph API engedélyezése (nem kötelező)

Fontos

Ha végrehajtja ezt a lépést, ezt az adatösszekötő üzembe helyezése előtt végezze el.

Az Agari-függvényalkalmazással a Biztonsági Graph API keresztül megoszthatja a fenyegetésfelderítést a Microsoft Sentinellel. A funkció használatához engedélyeznie kell a Sentinel Fenyegetésfelderítési platformok összekötőjét, és regisztrálnia kell egy alkalmazást Azure Active Directory.

Ez a folyamat három információt biztosít a függvényalkalmazás üzembe helyezésekor: a Graph bérlőazonosítót, a Graph ügyfél-azonosítót és a Graph titkos ügyfélkulcsot (lásd a fenti táblázatban található alkalmazásbeállításokat).

A szükséges engedélyek hozzárendelése a függvényalkalmazáshoz

Az Agari-összekötő környezeti változót használ a naplóelérés időbélyegeinek tárolására. Ahhoz, hogy az alkalmazás írni tudjon ebbe a változóba, engedélyeket kell hozzárendelni a rendszer által hozzárendelt identitáshoz.

A Azure Portal lépjen a függvényalkalmazáshoz.
A Függvényalkalmazás lapon válassza ki a függvényalkalmazást a listából, majd a függvényalkalmazás navigációs menüjének Gépház területén válassza az Identitás lehetőséget.
A Rendszer által hozzárendelt lapon állítsa az Állapot beállítástBe értékre.
Válassza a Mentés lehetőséget, és megjelenik egy Azure-beli szerepkör-hozzárendelések gomb. Válassza ki.
Az Azure-beli szerepkör-hozzárendelések képernyőn válassza a Szerepkör-hozzárendelés hozzáadása lehetőséget. Állítsa a hatókörtelőfizetésre, válassza ki az előfizetését az Előfizetés legördülő listából, és állítsa a szerepkörtApp Configuration adattulajdonosra.
Kattintson a Mentés gombra.

AI-elemző (AIA) a Darktrace-ből (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon keresztül CEF-naplótovábbítás konfigurálása AI-elemző számára
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Támogatja:	Sötétsáv

CEF-naplótovábbítás konfigurálása AI-elemző számára

Konfigurálja a Darktrace-et úgy, hogy CEF formátumban továbbíthassa a Syslog-üzeneteket az Azure-munkaterületre a Log Analytics-ügynökön keresztül.

A Darktrace Threat Visualizerben navigáljon a Rendszerkonfiguráció lapra a főmenüben Rendszergazda alatt.
A bal oldali menüben válassza a Modulok elemet, és válassza a Microsoft Sentinel elemet az elérhető munkafolyamat-integrációk közül.
Ekkor megnyílik egy konfigurációs ablak. Keresse meg a Microsoft Sentinel Syslog CEF-et , és válassza az Új lehetőséget a konfigurációs beállítások megjelenítéséhez, ha még nem tette közzé.
A Kiszolgáló konfigurációja mezőbe írja be a naplótovábbító helyét, és szükség esetén módosítsa a kommunikációs portot. Győződjön meg arról, hogy a kiválasztott port értéke 514, és a köztes tűzfalak engedélyezik.
Igény szerint konfigurálja a riasztási küszöbértékeket, az időeltolódásokat vagy a további beállításokat.
Tekintse át azokat a további konfigurációs beállításokat, amelyeket engedélyezni szeretne, amelyek módosítják a Syslog szintaxisát.
Engedélyezze a riasztások küldését , és mentse a módosításokat.

AI Vectra Detect (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon keresztül CEF-naplótovábbítás konfigurálása az AI Vectra Detecthez
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Támogatja:	Vectra AI

CEF-naplótovábbítás konfigurálása az AI Vectra Detecthez

Konfigurálja a Vectra -ügynököt úgy, hogy CEF formátumban továbbítsa a Syslog-üzeneteket a Microsoft Sentinel-munkaterületre a Log Analytics-ügynökön keresztül.

A Vectra felületén lépjen Gépház Értesítések lapra>, és válassza a Syslog-konfiguráció szerkesztése lehetőséget. A kapcsolat beállításához kövesse az alábbi utasításokat:

Új célhely hozzáadása (a naplótovábbító állomásneve)
A port beállítása 514-ként
A protokoll beállítása UDP-ként
A formátum beállítása CEF formátumra
Naplótípusok beállítása (válassza ki az összes elérhető naplótípust)
Válassza a Mentés lehetőséget

A Teszt gombra kattintva kényszerítheti egyes tesztesemények küldését a naplótovábbítónak.

További információt a Cognito detect syslog útmutatójában talál, amely az Detect felhasználói felület erőforrásoldaláról tölthető le.

Akamai biztonsági események (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon, Kusto függvényelemzővel
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Kusto függvényalias:	AkamaiSIEMEvent
Kusto függvény URL-címe:	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt
Szállítói dokumentáció/ telepítési utasítások	Biztonsági információk és eseménykezelés (SIEM) integrációjának konfigurálása ÁLLÍTson be egy CEF-összekötőt.
Támogatja:	Akamai

Alcide kAudit

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	alcide_kaudit_activity_1_CL – Alcide kAudit tevékenységnaplók alcide_kaudit_detections_1_CL – Alcide kAudit észlelések alcide_kaudit_selections_count_1_CL – Alcide kAudit-tevékenységek száma alcide_kaudit_selections_details_1_CL – Alcide kAudit tevékenység részletei
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	Az Alcide kAudit telepítési útmutatója
Támogatja:	Alcide

Alsid az Active Directoryhoz

Összekötő attribútum	Description
Adatbetöltési módszer	Log Analytics-ügynök – egyéni naplók Extra konfiguráció az Alsid-hez
Log Analytics-tábla(ok)	AlsidForADLog_CL
DCR-támogatás	Egyelőre nem támogatott
Kusto függvényalias:	afad_parser
Kusto függvény URL-címe:	https://aka.ms/Sentinel-alsidforad-parser
Támogatja:	Alsid

Extra konfiguráció az Alsid-hez

A Syslog-kiszolgáló konfigurálása

Először szüksége lesz egy linuxos Syslog-kiszolgálóra , amelybe az Alsid for AD naplókat küld. Az rsyslog általában Ubuntu rendszeren futtatható.

Ezután igény szerint konfigurálhatja ezt a kiszolgálót, de azt javasoljuk, hogy az AFAD-naplókat külön fájlban tudja kiadni. Másik lehetőségként használhat egy gyorsindítási sablont a Syslog-kiszolgáló és a Microsoft-ügynök üzembe helyezéséhez. Ha használja a sablont, kihagyhatja az ügynök telepítési utasításait.
Az Alsid konfigurálása naplók syslog-kiszolgálóra való küldéséhez

Az AD-hez készült Alsid-portálon lépjen a Rendszer, a Konfiguráció, majd a Syslog elemre. Innen létrehozhat egy új Syslog-riasztást a Syslog-kiszolgáló felé.

Miután létrehozott egy új Syslog-riasztást, ellenőrizze, hogy a naplók megfelelően vannak-e összegyűjtve a kiszolgálón egy külön fájlban. A naplók ellenőrzéséhez például használhatja a Konfiguráció tesztelése gombot az AFAD Syslog riasztási konfigurációjában. Ha a gyorsindítási sablont használta, a Syslog-kiszolgáló alapértelmezés szerint az 514-as portot figyeli az UDP-ben és az 1514-et TCP-ben, TLS nélkül.

Amazon webszolgáltatások

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Csatlakozás Microsoft Sentinelt az Amazon Web Servicesbe az AWS szolgáltatás naplóadatainak betöltéséhez (a legfontosabb összekötőkről szóló cikk)
Log Analytics-tábla(ok)	AWSCloudTrail
DCR-támogatás	Munkaterület-átalakítási DCR
Támogatja:	Microsoft

Amazon Web Services S3 (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Csatlakozás Microsoft Sentinelt az Amazon Web Servicesbe az AWS szolgáltatás naplóadatainak betöltéséhez (a legfontosabb összekötőkről szóló cikk)
Log Analytics-tábla(ok)	AWSCloudTrail AWSGuardDuty AWSVPCFlow
DCR-támogatás	Munkaterület-átalakítási DCR
Támogatja:	Microsoft

Apache HTTP-kiszolgáló

Összekötő attribútum	Description
Adatbetöltési módszer	Log Analytics-ügynök – egyéni naplók
Log Analytics-tábla(ok)	ApacheHTTPServer_CL
DCR-támogatás	Egyelőre nem támogatott
Kusto függvényalias:	ApacheHTTPServer
Kusto függvény URL-címe:	https://aka.ms/Sentinel-apachehttpserver-parser
Egyéni naplómintafájl:	access.log vagy error.log

Apache Tomcat

Összekötő attribútum	Description
Adatbetöltési módszer	Log Analytics-ügynök – egyéni naplók
Log Analytics-tábla(ok)	Tomcat_CL
DCR-támogatás	Egyelőre nem támogatott
Kusto függvényalias:	TomcatEvent
Kusto függvény URL-címe:	https://aka.ms/Sentinel-ApacheTomcat-parser
Egyéni naplómintafájl:	access.log vagy error.log

Aruba ClearPass (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon, Kusto függvényelemzővel
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Kusto függvényalias:	ArubaClearPass
Kusto függvény URL-címe:	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Aruba%20ClearPass/Parsers/ArubaClearPass.txt
Szállítói dokumentáció/ telepítési utasítások	Kövesse Aruba utasításait a ClearPass konfigurálásához.
Támogatja:	Microsoft

Atlassian Confluence Audit (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API
Log Analytics-tábla(ok)	Confluence_Audit_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/Sentinel-confluenceauditapi-functionapp
API-hitelesítő adatok	ConfluenceAccessToken ConfluenceUsername ConfluenceHomeSiteName
Szállítói dokumentáció/ telepítési utasítások	API-dokumentáció A hitelesítő adatok beszerzésére vonatkozó követelmények és utasítások Az auditnapló megtekintése
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Kusto függvény aliasa	ConfluenceAudit
Kusto függvény URL-címe/ Elemzési konfigurációs utasítások	https://aka.ms/Sentinel-confluenceauditapi-parser
Alkalmazásbeállítások	ConfluenceUsername ConfluenceAccessToken ConfluenceHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

Atlassian Jira Audit (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API
Log Analytics-tábla(ok)	Jira_Audit_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/Sentinel-jiraauditapi-functionapp
API-hitelesítő adatok	JiraAccessToken JiraUsername JiraHomeSiteName
Szállítói dokumentáció/ telepítési utasítások	API-dokumentáció – Naplórekordok A hitelesítő adatok beszerzésére vonatkozó követelmények és utasítások
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Kusto függvény aliasa	JiraAudit
Kusto függvény URL-címe/ Elemzési konfigurációs utasítások	https://aka.ms/Sentinel-jiraauditapi-parser
Alkalmazásbeállítások	JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

Azure Active Directory

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: adatok Csatlakozás Azure Active Directory a Microsoft Sentinelnek (a legfontosabb összekötőkről szóló cikk)
Licenc előfeltételei/ Költségadatok	P1 vagy P2 licenc Azure Active Directory bejelentkezési naplókhoz Bármely Azure AD licenc (ingyenes/O365/P1/P2) más naplótípusokhoz Egyéb díjak is alkalmazhatók
Log Analytics-tábla(ok)	Bejelentkezési naplók AuditLogs AADNonInteractiveUserSignInLogs AADServicePrincipalSignInLogs AADManagedIdentitySignInLogs AADProvisioningLogs ADFSSignInLogs
DCR-támogatás	Munkaterület-átalakítás – DCR
Támogatja:	Microsoft

Azure Active Directory Identity Protection

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: API-alapú kapcsolatok
Licenc előfeltételei/ Költségadatok	Prémium P2 szintű Azure AD előfizetés Egyéb díjak is alkalmazhatók
Log Analytics-tábla(ok)	SecurityAlert
DCR-támogatás	Munkaterület-átalakítás – DCR
Támogatja:	Microsoft

Megjegyzés

Ez az összekötő csak azokat a riasztásokat importálja, amelyek állapota "nyitva" van. A Azure AD Identity Protectionben bezárt riasztások nem lesznek importálva a Microsoft Sentinelbe.

Azure-tevékenység

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Diagnosztikai beállításokon alapuló kapcsolatok, amelyeket a Azure Policy kezel Frissítés az új Azure-tevékenység-összekötőre
Log Analytics-tábla(ok)	AzureActivity
DCR-támogatás	Egyelőre nem támogatott
Támogatja:	Microsoft

Frissítés az új Azure-tevékenység-összekötőre

Az adatstruktúra változásai

Ez az összekötő nemrég módosította a tevékenységnapló-események gyűjtésére szolgáló háttérrendszeri mechanizmust. Most a diagnosztikai beállítások folyamatát használja. Ha továbbra is a régi módszert használja ehhez az összekötőhöz, határozottan javasoljuk, hogy frissítsen az új verzióra, amely jobb funkciókat és nagyobb konzisztenciát biztosít az erőforrásnaplókkal. Tekintse meg az alábbi utasításokat.

A diagnosztikai beállítások metódusa ugyanazokat az adatokat küldi el, mint az örökölt metódus a Tevékenységnapló szolgáltatásból, bár az AzureActivity tábla struktúrája módosult.

Íme néhány, a diagnosztikai beállítások folyamatára való áttérésből eredő legfontosabb fejlesztések:

Továbbfejlesztett betöltési késés (15–20 perc helyett 2–3 percen belüli eseménybetöltés).
Jobb megbízhatóság.
Jobb teljesítmény.
A Tevékenységnapló szolgáltatás által naplózott események összes kategóriájának támogatása (az örökölt mechanizmus csak egy részhalmazt támogat – például nem támogatja a Service Health-eseményeket).
Nagy léptékű felügyelet Azure Policy.

Az Azure-tevékenységnapló és a diagnosztikai beállítások folyamatának részletesebb kezelését az Azure Monitor dokumentációjában találja.

Kapcsolat bontása a régi folyamatról

Az új Azure-tevékenységnapló-összekötő beállítása előtt le kell választania a meglévő előfizetéseket az örökölt módszerről.

A Microsoft Sentinel navigációs menüjében válassza az Adatösszekötők lehetőséget. Az összekötők listájában válassza az Azure-tevékenység lehetőséget, majd a jobb alsó sarokban található Összekötő megnyitása gombot .
Az Utasítások lap Konfiguráció szakaszának 1. lépésében tekintse át az örökölt metódushoz csatlakoztatott meglévő előfizetések listáját (így tudja, hogy mely előfizetéseket kell hozzáadni az újhoz), majd az alábbi Minden leválasztása gombra kattintva bontsa le őket egyszerre.
Folytassa az új összekötő beállítását a fenti táblázatban hivatkozott utasításokat követve.

Azure DDoS Protection

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Diagnosztikai beállításokon alapuló kapcsolatok
Licenc előfeltételei/ Költségadatok	Konfigurált Azure DDoS Standard védelmi csomaggal kell rendelkeznie. Konfigurált virtuális hálózattal kell rendelkeznie, amelyen engedélyezve van az Azure DDoS Standard Egyéb díjak is alkalmazhatók
Log Analytics-tábla(ok)	AzureDiagnostics
DCR-támogatás	Egyelőre nem támogatott
Ajánlott diagnosztikák	DDoSProtectionNotifications DDoSMitigationFlowLogs DDoSMitigationReports
Támogatja:	Microsoft

Megjegyzés

Az Azure DDoS Protection-adatösszekötő állapota csak akkor módosul csatlakoztatottra , ha a védett erőforrások DDoS-támadás alatt állnak.

Azure Defender

Lásd Felhőhöz készült Microsoft Defender.

Azure Firewall

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Diagnosztikai beállításokon alapuló kapcsolatok
Log Analytics-tábla(ok)	AzureDiagnostics
DCR-támogatás	Egyelőre nem támogatott
Ajánlott diagnosztikák	AzureFirewallApplicationRule AzureFirewallNetworkRule AzureFirewallDnsProxy
Támogatja:	Microsoft

Azure Information Protection (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció
Log Analytics-tábla(ok)	InformationProtectionLogs_CL
DCR-támogatás	Egyelőre nem támogatott
Támogatja:	Microsoft

Megjegyzés

Az Azure Information Protection (AIP) adatösszekötője az AIP auditnaplók (nyilvános előzetes verzió) funkcióját használja. 2022. március 18-án az AIP elemzési és auditnaplóinak nyilvános előzetes verzióját állítjuk be, és a jövőben a Microsoft 365 naplózási megoldást fogjuk használni. A teljes kivonást 2022. szeptember 30-ra tervezik.

További információ: Eltávolított és kivezetett szolgáltatások.

Azure Key Vault

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Diagnosztikai beállításokon alapuló kapcsolatok, amelyeket a Azure Policy kezel
Log Analytics-tábla(ok)	KeyVaultData
DCR-támogatás	Egyelőre nem támogatott
Támogatja:	Microsoft

Azure Kubernetes Service (AKS)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Diagnosztikai beállításokon alapuló kapcsolatok, amelyeket a Azure Policy kezel
Log Analytics-tábla(ok)	kube-apiserver kube-audit kube-audit-admin kube-controller-manager kube-scheduler fürt automatikus skálázási eszköze Őr
DCR-támogatás	Egyelőre nem támogatott
Támogatja:	Microsoft

Microsoft Purview

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Diagnosztikai beállításokon alapuló kapcsolatok További információ: Oktatóanyag: A Microsoft Sentinel és a Microsoft Purview integrálása.
Log Analytics-tábla(ok)	PurviewDataSensitivityLogs
DCR-támogatás	Egyelőre nem támogatott
Támogatja:	Microsoft

Azure SQL Databases

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Diagnosztikai beállításokon alapuló kapcsolatok, amelyeket a Azure Policy kezel A Azure SQL és az SQL PaaS-megoldásokhoz készült Microsoft Sentinelben is elérhető
Log Analytics-tábla(ok)	SQLSecurityAuditEvents SQLInsights AutomaticTuning QueryStoreWaitStatistics Hibák DatabaseWaitStatistics Időtúllépések Blokkok Holtpontok Alapszintű InstanceAndAppAdvanced WorkloadManagement DevOpsOperationsAudit
DCR-támogatás	Egyelőre nem támogatott
Támogatja:	Microsoft

Azure Storage-tárfiók neve

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Diagnosztikai beállításokon alapuló kapcsolatok Megjegyzések a tárfiók diagnosztikai beállításainak konfigurálásáról
Log Analytics-tábla(ok)	StorageBlobLogs StorageQueueLogs StorageTableLogs StorageFileLogs
Ajánlott diagnosztikák	Fiókerőforrás Tranzakció Blob-/üzenetsor-/tábla-/fájlerőforrások StorageRead StorageWrite StorageDelete Tranzakció
DCR-támogatás	Egyelőre nem támogatott
Támogatja:	Microsoft

Megjegyzések a tárfiók diagnosztikai beállításainak konfigurálásáról

A tárfiók (szülő) erőforrása más (gyermek) erőforrásokkal rendelkezik minden tárolási típushoz: fájlokhoz, táblákhoz, üzenetsorokhoz és blobokhoz.

A tárfiók diagnosztikáinak konfigurálásakor a következőket kell kiválasztania és konfigurálnia:

A fölérendelt fiók erőforrása, amely exportálja a Tranzakció metrikát.
Az összes naplót és metrikát exportáló gyermektároló típusú erőforrások mindegyike (lásd a fenti táblázatot).

Csak azokat a tárolótípusokat láthatja, amelyekhez ténylegesen definiált erőforrásokat.

Azure-beli webalkalmazási tűzfal (WAF)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Diagnosztikai beállításokon alapuló kapcsolatok
Log Analytics-tábla(ok)	AzureDiagnostics
DCR-támogatás	Egyelőre nem támogatott
Ajánlott diagnosztikák	Application Gateway ApplicationGatewayAccessLog ApplicationGatewayFirewallLog Front Door FrontdoorAccessLog FrontdoorWebApplicationFirewallLog CDN WAF-szabályzat WebApplicationFirewallLogs
Támogatja:	Microsoft

Barracuda CloudGen tűzfal

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog
Log Analytics-tábla(ok)	Syslog
DCR-támogatás	Munkaterület-átalakítás – DCR
Kusto függvény aliasa:	CGFWFirewallActivity
Kusto függvény URL-címe:	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Barracuda%20CloudGen%20Firewall/Parsers/CGFWFirewallActivity
Szállítói dokumentáció/ telepítési utasítások	https://aka.ms/Sentinel-barracudacloudfirewall-connector
Támogatja:	Barracuda

Barracuda WAF

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog
Log Analytics-tábla(ok)	CommonSecurityLog (Barracuda) Barracuda_CL
Szállítói dokumentáció/ telepítési utasítások	https://aka.ms/asi-barracuda-connector
Támogatja:	Barracuda

Lásd a Barracuda utasításait – jegyezze fel a különböző típusú naplókhoz rendelt létesítményeket, és ügyeljen arra, hogy hozzáadja őket az alapértelmezett Syslog-konfigurációhoz.

BETTER Mobile Threat Defense (MTD) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	BetterMTDDeviceLog_CL BetterMTDIncidentLog_CL BetterMTDAppLog_CL BetterMTDNetflowLog_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	A BETTER MTD dokumentációja Fenyegetéskezelési szabályzat beállítása, amely meghatározza a Microsoft Sentinelnek jelentett incidenseket: A Jobb MTD-konzolon válassza az oldalsáv Házirendek elemét. Válassza a használt szabályzat Szerkesztés gombját. Minden naplózni kívánt incidenstípushoz lépjen a Küldés az integrációkba mezőbe, és válassza a Sentinel lehetőséget.
Támogatja:	Better Mobile

Beyond Security beSECURE

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	beSECURE_ScanResults_CL beSECURE_ScanEvents_CL beSECURE_Audit_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	Az Integráció menü elérése: Válassza az Egyebek menüt. Kiszolgáló kiválasztása Integráció kiválasztása A Microsoft Sentinel engedélyezése Illessze be a munkaterület azonosítóját és az elsődleges kulcs értékeit a beSECURE konfigurációba. Válassza a Módosítás lehetőséget.
Támogatja:	A biztonságon túl

BlackBerry CylancePROTECT (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog
Log Analytics-tábla(ok)	Syslog
DCR-támogatás	Munkaterület-átalakítás – DCR
Kusto függvény aliasa:	CylancePROTECT
Kusto függvény URL-címe:	https://aka.ms/Sentinel-cylanceprotect-parser
Szállítói dokumentáció/ telepítési utasítások	A Cylance syslog útmutatója
Támogatja:	Microsoft

Broadcom Symantec adatveszteség-megelőzés (DLP) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon, Kusto függvényelemzővel
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítás – DCR
Kusto függvény aliasa:	SymantecDLP
Kusto függvény URL-címe:	https://aka.ms/Sentinel-symantecdlp-parser
Szállítói dokumentáció/ telepítési utasítások	A napló konfigurálása Syslog Server-műveletre
Támogatja:	Microsoft

Ellenőrzőpont

Összekötő attribútum	Description
Adatbetöltési módszer	Gyakori eseményformátum (CEF) a Syslogon Elérhető a Check Point megoldásból
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítás – DCR
Szállítói dokumentáció/ telepítési utasítások	Naplóexportáló – Check Point naplóexportálás
Támogatja:	Ellenőrzőpont

Cisco ASA

Összekötő attribútum	Description
Adatbetöltési módszer	Gyakori eseményformátum (CEF) a Syslogon Elérhető a Cisco ASA-megoldásban
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítás – DCR
Szállítói dokumentáció/ telepítési utasítások	Cisco ASA-sorozat parancssori felületének konfigurációs útmutatója
Támogatja:	Microsoft

Cisco Firepower eStreamer (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Gyakori eseményformátum (CEF) a Syslogon Extra konfiguráció a Cisco Firepower eStreamerhez
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítás – DCR
Szállítói dokumentáció/ telepítési utasítások	eStreamer eNcore for Sentinel Operations Guide
Támogatja:	Cisco

Extra konfiguráció a Cisco Firepower eStreamerhez

A Firepower eNcore-ügyfél telepítése
Telepítse és konfigurálja a Firepower eNcore eStreamer-ügyfelet. További információt a Cisco teljes telepítési útmutatójában talál.
Töltse le a Firepower-összekötőt a GitHub
Töltse le a Microsoft Sentinel Firepower eNcore-összekötőjének legújabb verzióját a Cisco GitHub adattárból. Ha a python3 használatát tervezi, használja a python3 eStreamer-összekötőt.
Pkcs12-fájl létrehozása az Azure/VM IP-cím használatával
Hozzon létre egy pkcs12-tanúsítványt a Firepower virtuálisgép-példányának nyilvános IP-címével a System > Integration > eStreamer alatt. További információt a telepítési útmutatóban talál.
Az Azure/VM-ügyfél és az FMC közötti kapcsolat tesztelése
Másolja a pkcs12 fájlt az FMC-ből az Azure/VM-példányba, és futtassa a teszt segédprogramot (./encore.sh teszt) a kapcsolat létesítéséhez. További információt a beállítási útmutatóban talál.
ENcore konfigurálása az adatok ügynöknek való streameléséhez
Konfigurálja az eNcore-t úgy, hogy TCP-en keresztül streamelje az adatokat a Log Analytics-ügynöknek. Ezt a konfigurációt alapértelmezés szerint engedélyezni kell, de a hálózati biztonsági helyzettől függően további portok és streamelési protokollok is konfigurálhatók. Az adatok a fájlrendszerbe is menthetők. További információ: ENcore konfigurálása.

Cisco Meraki (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog Elérhető a Cisco ISE-megoldásban
Log Analytics-tábla(ok)	Syslog
DCR-támogatás	Munkaterület-átalakítás – DCR
Kusto függvény aliasa:	CiscoMeraki
Kusto függvény URL-címe:	https://aka.ms/Sentinel-ciscomeraki-parser
Szállítói dokumentáció/ telepítési utasítások	A Meraki eszközjelentési dokumentációja
Támogatja:	Microsoft

Cisco Umbrella (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API Elérhető a Cisco Umbrella megoldásban
Log Analytics-tábla(ok)	Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp
API-hitelesítő adatok	AWS hozzáférési kulcs azonosítója AWS titkos hozzáférési kulcs AWS S3 gyűjtő neve
Szállítói dokumentáció/ telepítési utasítások	Naplózás az Amazon S3-ba
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Kusto függvényalias	Cisco_Umbrella
Kusto függvény URL-címe/ Elemzési konfigurációs utasítások	https://aka.ms/Sentinel-ciscoumbrella-function
Alkalmazásbeállítások	WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

Cisco Unified Computing System (UCS) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog
Log Analytics-tábla(ok)	Syslog
DCR-támogatás	Munkaterület-átalakítási DCR
Kusto függvényalias:	CiscoUCS
Kusto függvény URL-címe:	https://aka.ms/Sentinel-ciscoucs-function
Szállítói dokumentáció/ telepítési utasítások	Syslog beállítása a Cisco UCS-hez – Cisco
Támogatja:	Microsoft

Citrix Analytics (Security)

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	CitrixAnalytics_SAlerts_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	A Citrix Csatlakozás a Microsoft Sentinelhez
Támogatja:	Citrix Systems

Citrix Web App Firewall (WAF) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon keresztül
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Szállítói dokumentáció/ telepítési utasítások	A WAF konfigurálásához lásd: Támogatási WIKI – WAF-konfiguráció a NetScalerrel. A CEF-naplók konfigurálásához tekintse meg a CEF naplózási támogatását az alkalmazás tűzfalán. A naplók proxyra való továbbításához lásd: Citrix ADC-berendezés konfigurálása naplózáshoz.
Támogatja:	Citrix Systems

Cognni (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	CognniIncidents_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	Csatlakozás a Cognnihez Nyissa meg a Cognni-integrációk oldalt. Válassza Csatlakozás a Microsoft Sentinel mezőben. Illessze be a workspaceId és a sharedKey (elsődleges kulcs) illessze be a mezőket a Cognni integrációs képernyőjén. Válassza a Csatlakozás gombot a konfiguráció befejezéséhez.
Támogatja:	Cognni

Folyamatos fenyegetésfigyelés az SAP-hoz (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Csak az SAP-megoldás folyamatos fenyegetésfigyelésének telepítése után érhető el
Log Analytics-tábla(ok)	Lásd a Microsoft Sentinel SAP-megoldás adatainak referenciaanyagát
Szállítói dokumentáció/ telepítési utasítások	SAP folyamatos fenyegetésfigyelés üzembe helyezése
Támogatja:	Microsoft

CyberArk Enterprise Password Vault (EPV) események (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon keresztül
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Szállítói dokumentáció/ telepítési utasítások	Biztonsági információ- és eseménykezelési (SIEM-) alkalmazások
Támogatja:	CyberArk

Cyberpion biztonsági naplók (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	CyberpionActionItems_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	Cyberpion-előfizetés lekérése Cyberpion biztonsági riasztások integrálása a Microsoft Sentinelbe
Támogatja:	Cyberpion

DNS (előzetes verzió)

Lásd Windows DNS-kiszolgáló (előzetes verzió) című témakört.

Dynamics 365

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: API-alapú kapcsolatok A Microsoft Sentinel 4 Dynamics 365-megoldás részeként is elérhető
Licenc előfeltételei/ Költségadatok	Microsoft Dynamics 365 éles licenc. Tesztkörnyezetekben nem érhető el. Legalább egy felhasználó microsoftos/Office 365 E1-licenccel rendelkezik. Egyéb díjak is felszámíthatók
Log Analytics-tábla(ok)	Dynamics365Activity
DCR-támogatás	Munkaterület-átalakítási DCR
Támogatja:	Microsoft

ESET Enterprise Inspector (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API API-felhasználó létrehozása
Log Analytics-tábla(ok)	ESETEnterpriseInspector_CL
DCR-támogatás	Egyelőre nem támogatott
API-hitelesítő adatok	EEI felhasználónév EEI-jelszó Kiindulási URL-cím
Szállítói dokumentáció/ telepítési utasítások	AZ ESET Enterprise Inspector REST API dokumentációja
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
Támogatja:	ESET

API-felhasználó létrehozása

Jelentkezzen be az ESET Security Management Center/ESET PROTECT konzolra egy rendszergazdai fiókkal, válassza a Továbbiak lapot és a Felhasználók allapot.
Válassza az ADD NEW (ÚJ HOZZÁADÁSA ) gombot, és adjon hozzá egy natív felhasználót.
Hozzon létre egy új felhasználót az API-fiókhoz. Választható: A betöltések számának korlátozásához válasszon egy, a Mind csoporttól eltérő kezdőlapcsoportot.
Az Engedélykészletek lapon rendelje hozzá a Vállalati felügyelő felülvizsgáló engedélykészletét.
Jelentkezzen ki a rendszergazdai fiókból, és jelentkezzen be a konzolra az új API hitelesítő adataival az ellenőrzéshez, majd jelentkezzen ki az API-fiókból.

ESET Security Management Center (SMC) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog Az ESET SMC-naplók összegyűjtendő konfigurálása Az OMS-ügynök konfigurálása az Eset SMC-adatok API-formátumban történő átadására Az OMS-ügynök konfigurációjának módosítása az oms.api.eset címke elfogásához és a strukturált adatok elemzéséhez Az automatikus konfiguráció letiltása és az ügynök újraindítása
Log Analytics-tábla(ok)	eset_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	ESET Syslog-kiszolgáló dokumentációja
Támogatja:	ESET

Az ESET SMC-naplók összegyűjtendő konfigurálása

Konfigurálja az rsyslogot úgy, hogy fogadja a naplókat az Eset SMC IP-címéről.

    sudo -i
    # Set ESET SMC source IP address
    export ESETIP={Enter your IP address}

    # Create rsyslog configuration file
    cat > /etc/rsyslog.d/80-remote.conf << EOF
    \$ModLoad imudp
    \$UDPServerRun 514
    \$ModLoad imtcp
    \$InputTCPServerRun 514
    \$AllowedSender TCP, 127.0.0.1, $ESETIP
    \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
    EOF

    # Restart rsyslog
    systemctl restart rsyslog

Az OMS-ügynök konfigurálása az Eset SMC-adatok API-formátumban történő átadására

Az Eset-adatok egyszerű felismerése érdekében küldje le őket egy külön táblába, és elemezze az ügynöknél a Microsoft Sentinel-lekérdezés egyszerűsítése és felgyorsítása érdekében.

Az /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf fájlban módosítsa a match oms.** szakaszt úgy, hogy API-objektumként küldjön adatokat a típus out_oms_apimódosításával.

Az alábbi kód egy példa a teljes match oms.** szakaszra:

    <match oms.** docker.**>
      type out_oms_api
      log_level info
      num_threads 5
      run_in_background false

      omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
      cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
      key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key

      buffer_chunk_limit 15m
      buffer_type file
      buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer

      buffer_queue_limit 10
      buffer_queue_full_action drop_oldest_chunk
      flush_interval 20s
      retry_limit 10
      retry_wait 30s
      max_retry_wait 9m
    </match>

Az OMS-ügynök konfigurációjának módosítása az oms.api.eset címke elfogásához és a strukturált adatok elemzéséhez

Módosítsa az /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf fájlt.

Például:

    <source>
      type syslog
      port 25224
      bind 127.0.0.1
      protocol_type udp
      tag oms.api.eset
    </source>

    <filter oms.api.**>
      @type parser
      key_name message
      format /(?<message>.*?{.*})/
    </filter>

    <filter oms.api.**>
      @type parser
      key_name message
      format json
    </filter>

Az automatikus konfiguráció letiltása és az ügynök újraindítása

Például:

    # Disable changes to configuration files from Portal
    sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

    # Restart agent
    sudo /opt/microsoft/omsagent/bin/service_control restart

    # Check agent logs
    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

Az Eset SMC konfigurálása naplók összekötőnek való küldéséhez

Esetnaplók konfigurálása BSD-stílus és JSON-formátum használatával.

Lépjen a Syslog-kiszolgáló konfigurációjához, konfigurálja a gazdagépet (az összekötőt), a BSD formátumot és a TCP átvitelét
Lépjen a Naplózás szakaszra, és engedélyezze a JSON-t

További információkért tekintse meg az Eset dokumentációját.

Exabeam Advanced Analytics (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog
Log Analytics-tábla(ok)	Syslog
DCR-támogatás	Munkaterület-átalakítási DCR
Kusto függvényalias:	ExabeamEvent
Kusto függvény URL-címe:	https://aka.ms/Sentinel-Exabeam-parser
Szállítói dokumentáció/ telepítési utasítások	Az Advanced Analytics rendszertevékenység-értesítéseinek konfigurálása
Támogatja:	Microsoft

ExtraHop Reveal(x)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon keresztül
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Szállítói dokumentáció/ telepítési utasítások	ExtraHop detection SIEM-összekötő
Támogatja:	ExtraHop

F5 BIG-IP

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	F5Telemetry_LTM_CL F5Telemetry_system_CL F5Telemetry_ASM_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	Az F5 BIG-IP integrálása a Microsoft Sentinelrel
Támogatja:	F5 Networks

F5 Networks (ASM)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon keresztül
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Szállítói dokumentáció/ telepítési utasítások	Alkalmazásbiztonsági eseménynaplózás konfigurálása
Támogatja:	F5 Networks

Forcepoint Cloud Access Security Broker (CASB) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon keresztül
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Szállítói dokumentáció/ telepítési utasítások	A Forcepoint CASB és a Microsoft Sentinel
Támogatja:	Erőpont

Forcepoint Cloud Security Gateway (CSG) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon keresztül
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítás – DCR
Szállítói dokumentáció/ telepítési utasítások	A Forcepoint Cloud Security Gateway és a Microsoft Sentinel
Támogatja:	Forcepoint

Forcepoint adatveszteség-megelőzés (DLP) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	ForcepointDLPEvents_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	A Forcepoint adatveszteség-megelőzés és a Microsoft Sentinel
Támogatja:	Forcepoint

Forcepoint Next Generation Firewall (NGFW) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Gyakori eseményformátum (CEF) a Syslogon
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítás – DCR
Szállítói dokumentáció/ telepítési utasítások	A Forcepoint következő generációs tűzfala és a Microsoft Sentinel
Támogatja:	Forcepoint

ForgeRock Common Audit (CAUD) a CEF-hez (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Gyakori eseményformátum (CEF) a Syslogon
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítás – DCR
Szállítói dokumentáció/ telepítési utasítások	Először telepítse ezt a műveletet! ForgeRock Common Audit (CAUD) a Microsoft Sentinelhez
Támogatja:	ForgeRock

Fortinet

Összekötő attribútum	Description
Adatbetöltési módszer	Gyakori eseményformátum (CEF) a Syslogon Fortinet-naplók küldése a naplótovábbítónak Elérhető a Fortinet Fortigate megoldásban
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítás – DCR
Szállítói dokumentáció/ telepítési utasítások	Fortinet dokumentumtár Válassza ki a kívánt verziót, és használja a kézikönyvet és a naplóüzenetek hivatkozási PDF-eit.
Támogatja:	Fortinet

Fortinet-naplók küldése a naplótovábbítónak

Nyissa meg a parancssori felületet a Fortinet-berendezésen, és futtassa a következő parancsokat:

config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end

Cserélje le a kiszolgáló IP-címét a naplótovábbító IP-címére.
Állítsa a syslog portot514-re , vagy a syslog démonon beállított portot a továbbítón.
Ha engedélyezni szeretné a CEF formátumot a FortiOS korai verzióiban, előfordulhat, hogy le kell futtatnia a csv parancskészlet letiltását.

GitHub (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API Csak GitHub megoldás folyamatos veszélyforrások monitorozásának telepítése után érhető el.
Log Analytics-tábla(ok)	GitHubAuditLogPolling_CL
DCR-támogatás	Egyelőre nem támogatott
API-hitelesítő adatok	GitHub hozzáférési jogkivonat
Összekötő üzembe helyezési útmutatója	További konfiguráció a GitHub-összekötőhöz
Támogatja:	Microsoft

További konfiguráció a GitHub-összekötőhöz

Előfeltétel: A Microsoft Sentinelből GitHub való csatlakozáshoz egy GitHub vállalati fiókkal és egy akadálymentes szervezettel kell rendelkeznie.

Telepítse a folyamatos fenyegetésfigyelést GitHub megoldáshoz a Microsoft Sentinel-munkaterületen. További információ: A Microsoft Sentinel beépített tartalmainak és megoldásainak központi felderítése és üzembe helyezése (nyilvános előzetes verzió).
Hozzon létre egy GitHub személyes hozzáférési jogkivonatot a Microsoft Sentinel-összekötőben való használatra. További információt a vonatkozó GitHub dokumentációban talál.
A Microsoft Sentinel-adatösszekötők területen keresse meg és keresse meg az GitHub összekötőt. A jobb oldalon válassza az Összekötő megnyitása lapot.
Az Utasítások lap Konfiguráció területén adja meg a következő adatokat:
- Szervezet neve: Adja meg annak a szervezetnek a nevét, amelyhez csatlakozni szeretne.
- API-kulcs: Adja meg az eljárás során korábban létrehozott GitHub személyes hozzáférési jogkivonatot.
A GitHub naplók Microsoft Sentinelbe való betöltéséhez válassza a Csatlakozás lehetőséget.

Google Workspace (G-Suite) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API További konfiguráció a Google Reports API-hoz
Log Analytics-tábla(ok)	GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp
API-hitelesítő adatok	GooglePickleString
Szállítói dokumentáció/ telepítési utasítások	API-dokumentáció Hitelesítő adatok lekérése a Google Workspace Domain-Wide meghatalmazásánál Token.pickle fájl átalakítása pickle-sztringgé
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Kusto függvény aliasa	GWorkspaceActivityReports
Kusto függvény URL-címe/ Elemzési konfigurációs utasítások	https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser
Alkalmazásbeállítások	GooglePickleString WorkspaceID workspaceKey logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

További konfiguráció a Google Reports API-hoz

Adja hozzá http://localhost:8081/ az Engedélyezett átirányítási URI-k alatt a webalkalmazás hitelesítő adatainak létrehozásakor.

Kövesse az utasításokat a credentials.json beszerzéséhez.
A Google pickle sztring lekéréséhez futtassa ezt a Python szkriptet (a hitelesítő adatok.json elérési útjában).
Másolja a pickle-sztring kimenetét szimpla idézőjelek közé, és mentse. A függvényalkalmazás üzembe helyezéséhez szükség lesz rá.

Illusive Attack Management System (AMS) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Gyakori eseményformátum (CEF) a Syslogon
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítás – DCR
Szállítói dokumentáció/ telepítési utasítások	Illusive Networks Rendszergazda Útmutató
Támogatja:	Illusive Networks

Imperva WAF-átjáró (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Gyakori eseményformátum (CEF) a Syslogon Elérhető az Imperva Cloud WAF-megoldásban
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítás – DCR
Szállítói dokumentáció/ telepítési utasítások	Az Imperva WAF-átjáró riasztásnaplózásának a Microsoft Sentinelbe történő engedélyezésének lépései
Támogatja:	Imperva

Infoblox Network Identity Operating System (NIOS) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog elérhető az InfoBlox Threat Defense megoldásban
Log Analytics-tábla(ok)	Syslog
DCR-támogatás	Munkaterület-átalakítás – DCR
Kusto függvény aliasa:	InfobloxNIOS
Kusto függvény URL-címe:	https://aka.ms/sentinelgithubparsersinfoblox
Szállítói dokumentáció/ telepítési utasítások	NIOS SNMP és Syslog üzembe helyezési útmutató
Támogatja:	Microsoft

Juniper SRX (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog
Log Analytics-tábla(ok)	Syslog
DCR-támogatás	Munkaterület-átalakítás – DCR
Kusto függvény aliasa:	JuniperSRX
Kusto függvény URL-címe:	https://aka.ms/Sentinel-junipersrx-parser
Szállítói dokumentáció/ telepítési utasítások	Forgalomnaplózás (biztonsági szabályzatnaplók) konfigurálása SRX-fiókeszközökhöz Rendszernaplózás konfigurálása
Támogatja:	Juniper Networks

Lookout Mobile Threat Defense (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API Csak a Lookout Mobile Threat Defense Microsoft Sentinel-megoldás telepítése után érhető el
Log Analytics-tábla(ok)	Lookout_CL
DCR-támogatás	Egyelőre nem támogatott
API-hitelesítő adatok	Lookout alkalmazáskulcs
Szállítói dokumentáció/ telepítési utasítások	Telepítési útmutató (bejelentkezés szükséges) API-dokumentáció (bejelentkezés szükséges) Lookout Mobile Endpoint Security
Támogatja:	A Lookout használatával

Microsoft 365 Defender

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Csatlakozás adatok Microsoft 365 Defender a Microsoft Sentinelbe (a legfontosabb összekötőkről szóló cikk)
Licenc előfeltételei/ Költségadatok	Érvényes licenc Microsoft 365 Defender
Log Analytics-tábla(ok)	Figyelmeztetések: SecurityAlert SecurityIncident Végponthoz készült Defender-események: DeviceEvents DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceFileCertificateInfo Office 365-höz készült Defender események: EmailAttachmentInfo EmailUrlInfo E-mailesemények EmailPostDeliveryEvents Defender for Identity-események: IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents Felhőhöz készült Defender Apps-események: CloudAppEvents A Defender eseményként riasztásokat küld: AlertInfo AlertEvidence
DCR-támogatás	Egyelőre nem támogatott
Támogatja:	Microsoft

Microsoft Purview belső kockázatkezelés (IRM) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: API-alapú kapcsolatok A Microsoft Purview belső kockázatkezelés megoldásban is elérhető
Licenc és egyéb előfeltételek	Érvényes előfizetés a Microsoft 365 E5/A5/G5-höz, illetve a hozzájuk tartozó megfelelőségi vagy IRM-bővítményekhez. Microsoft Purview belső kockázatkezelés teljesen előkészített és IRM-szabályzatok definiálása és riasztások létrehozása. Microsoft 365 IRM úgy van konfigurálva, hogy engedélyezze az IRM-riasztások exportálását a Office 365 Felügyeleti tevékenység API-ba a riasztások Microsoft Sentinel-összekötőn keresztüli fogadásához.)
Log Analytics-tábla(ok)	SecurityAlert
Adatbekérdezési szűrő	`SecurityAlert` `\| where ProductName == "Microsoft Purview Insider Risk Management"`
Támogatja:	Microsoft

Microsoft Defender for Cloud

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: biztonsági riasztások Csatlakozás Felhőhöz készült Microsoft Defender -ból (a legfontosabb összekötőkről szóló cikk)
Log Analytics-tábla(ok)	SecurityAlert
Támogatja:	Microsoft

Microsoft Defender for Cloud Apps

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: API-alapú kapcsolatok Cloud Discovery-naplók esetén engedélyezze a Microsoft SentinelT SIEM-ként a Microsoft Defender for Cloud Apps
Log Analytics-tábla(ok)	SecurityAlert – riasztásokhoz McasShadowItReporting – Cloud Discovery-naplókhoz
Támogatja:	Microsoft

Microsoft Defender végponthoz

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: API-alapú kapcsolatok
Licenc előfeltételei/ Költségadatok	Érvényes licenc Végponthoz készült Microsoft Defender üzembe helyezéshez
Log Analytics-tábla(ok)	SecurityAlert
DCR-támogatás	Munkaterület-átalakítás – DCR
Támogatja:	Microsoft

Microsoft Defender for Identity

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: API-alapú kapcsolatok
Log Analytics-tábla(ok)	SecurityAlert
DCR-támogatás	Munkaterület-átalakítás – DCR
Támogatja:	Microsoft

Microsoft Defender for IoT

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: API-alapú kapcsolatok
Log Analytics-tábla(ok)	SecurityAlert
DCR-támogatás	Munkaterület-átalakítás – DCR
Támogatja:	Microsoft

Microsoft Defender for Office 365

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: API-alapú kapcsolatok
Licenc előfeltételei/ Költségadatok	Érvényes licenccel kell rendelkeznie Office 365 2. ATP-csomaghoz
Log Analytics-tábla(ok)	SecurityAlert
DCR-támogatás	Munkaterület-átalakítás – DCR
Támogatja:	Microsoft

Microsoft Office 365

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: API-alapú kapcsolatok
Licenc előfeltételei/ Költségadatok	A Office 365 üzembe helyezésének ugyanazon a bérlőn kell lennie, mint a Microsoft Sentinel-munkaterületnek. Egyéb díjak is felszámíthatók.
Log Analytics-tábla(ok)	OfficeActivity
DCR-támogatás	Munkaterület-átalakítás – DCR
Támogatja:	Microsoft

Microsoft Power BI (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: API-alapú kapcsolatok
Licenc előfeltételei/ Költségadatok	A Office 365 üzembe helyezésének ugyanazon a bérlőn kell lennie, mint a Microsoft Sentinel-munkaterületnek. Egyéb díjak is felszámíthatók.
Log Analytics-tábla(ok)	PowerBIActivity
Támogatja:	Microsoft

Microsoft Project (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: API-alapú kapcsolatok
Licenc előfeltételei/ Költségadatok	A Office 365 üzembe helyezésének ugyanazon a bérlőn kell lennie, mint a Microsoft Sentinel-munkaterületnek. Egyéb díjak is felszámíthatók.
Log Analytics-tábla(ok)	ProjectActivity
Támogatja:	Microsoft

Linuxhoz készült Microsoft Sysmon (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog, with, ASIM-elemzők Kusto függvények alapján
Log Analytics-tábla(ok)	Syslog
DCR-támogatás	Munkaterület-átalakítás – DCR
Támogatja:	Microsoft

Morphisec UTPP (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon, Kusto függvényelemzővel
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítás – DCR
Kusto függvény aliasa:	Morphisec
Kusto függvény URL-címe	https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Morphisec/Parsers/Morphisec/Morphisec
Támogatja:	Morphisec

Netskope (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API
Log Analytics-tábla(ok)	Netskope_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/Sentinel-netskope-functioncode
API-hitelesítő adatok	Netskope API-token
Szállítói dokumentáció/ telepítési utasítások	Netskope Cloud Security Platform A Netskope API dokumentációja API-jogkivonat beszerzése
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Kusto függvény aliasa	Netskope
Kusto függvény URL-címe/ Elemzési konfigurációs utasítások	https://aka.ms/Sentinel-netskope-parser
Alkalmazásbeállítások	apikey workspaceID workspaceKey uri (régiótól függ, a sémát követi: `https://<Tenant Name>.goskope.com`) timeInterval (5 értékre állítva) logTypes logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

NGINX HTTP-kiszolgáló (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Log Analytics-ügynök – egyéni naplók
Log Analytics-tábla(ok)	NGINX_CL
DCR-támogatás	Egyelőre nem támogatott
Kusto függvény aliasa:	NGINXHTTPServer
Kusto függvény URL-címe	https://aka.ms/Sentinel-NGINXHTTP-parser
Szállítói dokumentáció/ telepítési utasítások	Modul ngx_http_log_module
Egyéni naplómintafájl:	access.log vagy error.log
Támogatja:	Microsoft

NXLog Basic Security Module (BSM) macOS (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	BSMmacOS_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	NXLog Microsoft Sentinel felhasználói útmutató
Támogatja:	NXLog

NXLog DNS-naplók (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	DNS_Logs_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	NXLog Microsoft Sentinel – felhasználói útmutató
Támogatja:	NXLog

NXLog LinuxAudit (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	LinuxAudit_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	NXLog Microsoft Sentinel – felhasználói útmutató
Támogatja:	NXLog

Okta single Sign-On (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API
Log Analytics-tábla(ok)	Okta_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/sentineloktaazurefunctioncodev2
API-hitelesítő adatok	API-jogkivonat
Szállítói dokumentáció/ telepítési utasítások	Okta Rendszernapló API dokumentációja API-jogkivonat létrehozása SSO Csatlakozás Okta a Microsoft Sentinelnek
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Alkalmazásbeállítások	apiToken workspaceID workspaceKey uri (a sémát `https://<OktaDomain>/api/v1/logs?since=`követi. Azonosítsa a tartománynévteret.) logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

Onapsis Platform (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon, Kusto keresési és bővítési függvénnyel Az Onapsis konfigurálása CEF-naplók a naplótovábbítónak való küldéséhez
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Kusto függvényalias:	incident_lookup
Kusto függvény URL-címe	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Onapsis%20Platform/Parsers/OnapsisLookup.txt
Támogatja:	Onapsis

Az Onapsis konfigurálása CEF-naplók a naplótovábbítónak való küldéséhez

Tekintse meg az Onapsis terméken belüli súgóját a Log Analytics-ügynöknek történő naplótovábbítás beállításához.

Lépjen a külső integrációk > beállításához>, és kövesse a Microsoft Sentinel utasításait.
Győződjön meg arról, hogy az Onapsis-konzol eléri azt a naplótovábbító gépet, amelyen az ügynök telepítve van. A naplókat a TCP használatával kell elküldeni az 514-ös portra.

One Identity Safeguard (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon keresztül
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Szállítói dokumentáció/ telepítési utasítások	One Identity Safeguard emelt szintű munkamenetekhez – felügyeleti útmutató
Támogatja:	Egy identitás

Oracle WebLogic-kiszolgáló (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Log Analytics-ügynök – egyéni naplók
Log Analytics-tábla(ok)	OracleWebLogicServer_CL
DCR-támogatás	Egyelőre nem támogatott
Kusto függvény aliasa:	OracleWebLogicServerEvent
Kusto függvény URL-címe:	https://aka.ms/Sentinel-OracleWebLogicServer-parser
Szállítói dokumentáció/ telepítési utasítások	Az Oracle WebLogic Server dokumentációja
Egyéni naplómintafájl:	server.log
Támogatja:	Microsoft

Az Orca biztonsága (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	OrcaAlerts_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	A Microsoft Sentinel integrációja
Támogatja:	Orca Security

OSSEC (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon, Kusto függvényelemzővel
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítás – DCR
Kusto függvény aliasa:	OSSECEvent
Kusto függvény URL-címe:	https://aka.ms/Sentinel-OSSEC-parser
Szállítói dokumentáció/ telepítési utasítások	OSSEC-dokumentáció Riasztások küldése a syslogon keresztül
Támogatja:	Microsoft

Palo Alto Networks

Összekötő attribútum	Description
Adatbetöltési módszer	Gyakori eseményformátum (CEF) a Syslogon A Palo Alto PAN-OS és Prisma megoldásokban is elérhető
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítás – DCR
Szállítói dokumentáció/ telepítési utasítások	Common Event Format (CEF) konfigurációs útmutatók A Syslog Monitorozás konfigurálása
Támogatja:	Palo Alto Networks

Szegély 81 tevékenységnaplók (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	Perimeter81_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	A Perimeter 81 dokumentációja
Támogatja:	Perimeter 81

Igény szerinti proofpoint (POD) e-mail-biztonság (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API A Proofpoint POD-megoldásban is elérhető
Log Analytics-tábla(ok)	ProofpointPOD_message_CL ProofpointPOD_maillog_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/Sentinel-proofpointpod-functionapp
API-hitelesítő adatok	ProofpointClusterID ProofpointToken
Szállítói dokumentáció/ telepítési utasítások	Bejelentkezés a Proofpoint-közösségbe A Proofpoint API dokumentációja és utasításai
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Kusto függvény aliasa	ProofpointPOD
Kusto függvény URL-címe/ Elemzési konfigurációs utasítások	https://aka.ms/Sentinel-proofpointpod-parser
Alkalmazásbeállítások	ProofpointClusterID ProofpointToken WorkspaceID WorkspaceKey logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

Proofpoint Targeted Attack Protection (TAP) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API A Proofpoint TAP megoldásban is elérhető
Log Analytics-tábla(ok)	ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/sentinelproofpointtapazurefunctioncode
API-hitelesítő adatok	API-felhasználónév API-jelszó
Szállítói dokumentáció/ telepítési utasítások	A Proofpoint SIEM API dokumentációja
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Alkalmazásbeállítások	apiUsername apiUsername uri (beállítás: `https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300`) WorkspaceID WorkspaceKey logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

Pulse Csatlakozás Secure (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog
Log Analytics-tábla(ok)	Syslog
DCR-támogatás	Munkaterület-átalakítás – DCR
Kusto függvény aliasa:	PulseConnectSecure
Kusto függvény URL-címe:	https://aka.ms/sentinelgithubparserspulsesecurevpn
Szállítói dokumentáció/ telepítési utasítások	A Syslog konfigurálása
Támogatja:	Microsoft

Qualys VM KnowledgeBase (KB) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API Extra konfiguráció a Qualys virtuálisgép-tudásbázishoz A Qualys virtuálisgép-megoldásban is elérhető
Log Analytics-tábla(ok)	QualysKB_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/Sentinel-qualyskb-functioncode
API-hitelesítő adatok	API-felhasználónév API-jelszó
Szállítói dokumentáció/ telepítési utasítások	A QualysVM API felhasználói útmutatója
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Kusto függvény aliasa	QualysKB
Kusto függvény URL-címe/ Elemzési konfigurációs utasítások	https://aka.ms/Sentinel-qualyskb-parser
Alkalmazásbeállítások	apiUsername apiUsername uri (régiónként; lásd az API Server listáját. A sémát `https://<API Server>/api/2.0`követi . WorkspaceID WorkspaceKey filterParameters (hozzáadva az URI végéhez, elválasztó karakterrel `&`elválasztva). Nincs szóköz.) logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

Extra konfiguráció a Qualys virtuálisgép-tudásbázishoz

Jelentkezzen be a Qualys biztonságirés-kezelési konzoljára egy rendszergazdai fiókkal, válassza a Felhasználók lapot és a Felhasználók altáblát.
Válassza az Új legördülő menüt, majd a Felhasználók lehetőséget.
Hozzon létre egy felhasználónevet és jelszót az API-fiókhoz.
A Felhasználói szerepkörök lapon győződjön meg arról, hogy a fiókszerepkör Felettesre van állítva, és a hozzáférés engedélyezve van a grafikus felhasználói felülethez és az API-hoz
Jelentkezzen ki a rendszergazdai fiókból, és jelentkezzen be a konzolra az új API hitelesítő adataival az ellenőrzéshez, majd jelentkezzen ki az API-fiókból.
Jelentkezzen be a konzolra egy rendszergazdai fiókkal, és módosítsa az API-fiókok felhasználói szerepkörét, és távolítsa el a hozzáférést a grafikus felhasználói felülethez.
Mentse az összes módosítást.

Qualys biztonságirés-kezelés (VM) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API Extra konfiguráció a Qualys virtuális géphez Manuális üzembe helyezés – a függvényalkalmazás konfigurálása után
Log Analytics-tábla(ok)	QualysHostDetection_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/sentinelqualysvmazurefunctioncode
API-hitelesítő adatok	API-felhasználónév API-jelszó
Szállítói dokumentáció/ telepítési utasítások	A QualysVM API felhasználói útmutatója
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Alkalmazásbeállítások	apiUsername apiUsername URI (régiónként; lásd az API Server listáját. A sémát `https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=`követi. WorkspaceID WorkspaceKey filterParameters (hozzáadva az URI végéhez, elválasztó karakterrel `&`elválasztva). Nincs szóköz.) timeInterval (5 értékre állítva). Ha módosítja, ennek megfelelően módosítsa a függvényalkalmazás időzítő eseményindítóját.) logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

Extra konfiguráció a Qualys virtuális géphez

Jelentkezzen be a Qualys biztonságirés-kezelési konzoljára egy rendszergazdai fiókkal, és válassza a Felhasználók lapot és a Felhasználók allapot.
Válassza az Új legördülő menüt, majd a Felhasználók lehetőséget.
Hozzon létre egy felhasználónevet és egy jelszót az API-fiókhoz.
A Felhasználói szerepkörök lapon győződjön meg arról, hogy a fiókszerepkör Felettes értékre van állítva, és a hozzáférés engedélyezve van a grafikus felhasználói felülethez és az API-hoz
Jelentkezzen ki a rendszergazdai fiókból, és jelentkezzen be a konzolra az új API hitelesítő adataival az ellenőrzéshez, majd jelentkezzen ki az API-fiókból.
Jelentkezzen be újra a konzolra egy rendszergazdai fiókkal, és módosítsa az API-fiókok felhasználói szerepkörét, és távolítsa el a grafikus felhasználói felülethez való hozzáférést.
Mentse az összes módosítást.

Manuális üzembe helyezés – a függvényalkalmazás konfigurálása után

A host.json fájl konfigurálása

A Qualys-gazdagép potenciálisan nagy mennyiségű észlelési adatának betöltése miatt a végrehajtási idő meghaladhatja az alapértelmezett öt perces függvényalkalmazás-időtúllépést. Növelje az alapértelmezett időtúllépési időtartamot legfeljebb 10 percre a használatalapú csomagban, hogy több időt hagyjon a függvényalkalmazás végrehajtására.

A függvényalkalmazásban válassza a függvényalkalmazás nevét, majd a App Service Szerkesztő lapot.
Az Ugrás gombra kattintva nyissa meg a szerkesztőt, majd válassza ki a host.json fájlt a wwwroot könyvtárban.
Adja hozzá a vonal fölötti managedDependancy vonalat"functionTimeout": "00:10:00",.
Győződjön meg arról, hogy a SAVED megjelenik a szerkesztő jobb felső sarkában, majd lépjen ki a szerkesztőből.

Ha hosszabb időtúllépési időtartamra van szükség, érdemes lehet App Service-csomagra frissíteni.

Salesforce Service Cloud (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API
Log Analytics-tábla(ok)	SalesforceServiceCloud_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp
API-hitelesítő adatok	SALESFORCE API-felhasználónév SALESFORCE API-jelszó biztonsági jogkivonat Salesforce Salesforce fogyasztói kulcs Salesforce fogyasztói titok
Szállítói dokumentáció/ telepítési utasítások	Salesforce REST API fejlesztői útmutatója Az Engedélyezés beállítása területen használja az OAuth helyett a Munkamenet-azonosító metódust.
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Kusto függvényalias	SalesforceServiceCloud
Kusto függvény URL-címe/ Elemzési konfigurációs utasítások	https://aka.ms/Sentinel-SalesforceServiceCloud-parser
Alkalmazásbeállítások	SalesforceUser SalesforcePass SalesforceSecurityToken SalesforceConsumerKey SalesforceConsumerSecret WorkspaceID WorkspaceKey logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

Biztonsági események örökölt ügynökkel (Windows)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Log Analytics-ügynökalapú kapcsolatok (örökölt)
Log Analytics-tábla(ok)	SecurityEvents
DCR-támogatás	Munkaterület-átalakítási DCR
Támogatja:	Microsoft

További információkért lásd:

Windows Microsoft Sentinelnek küldhető biztonsági eseménykészletek
Nem biztonságos protokollok – munkafüzet beállítása
Windows biztonság Események az Azure Monitor-ügynökön (AMA) alapuló AMA-összekötőn keresztül
Konfigurálja a Biztonsági események/Windows biztonság-események összekötőt a rendellenes RDP-bejelentkezés észleléséhez.

SentinelOne (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API Extra konfiguráció a SentinelOne-hoz
Log Analytics-tábla(ok)	SentinelOne_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/Sentinel-SentinelOneAPI-functionapp
API-hitelesítő adatok	SentinelOneAPIToken SentinelOneUrl (`https://<SOneInstanceDomain>.sentinelone.net`)
Szállítói dokumentáció/ telepítési utasítások	`<SOneInstanceDomain>`https://.sentinelone.net/api-doc/overview Lásd az alábbi utasításokat
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Kusto függvényalias	SentinelOne
Kusto függvény URL-címe/ Elemzési konfigurációs utasítások	https://aka.ms/Sentinel-SentinelOneAPI-parser
Alkalmazásbeállítások	SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

Extra konfiguráció a SentinelOne-hoz

A hitelesítő adatok beszerzéséhez kövesse az utasításokat.

Jelentkezzen be a SentinelOne felügyeleti konzolra Rendszergazda felhasználói hitelesítő adatokkal.
A felügyeleti konzolon válassza a Gépház lehetőséget.
A BEÁLLÍTÁSOK nézetben válassza a FELHASZNÁLÓK lehetőséget
Válassza az Új felhasználó lehetőséget.
Adja meg az új konzolfelhasználó adatait.
A Szerepkör listában válassza a Rendszergazda lehetőséget.
Válassza a MENTÉS lehetőséget
Mentse az új felhasználó hitelesítő adatait az adatösszekötőben való használathoz.

SonicWall firewall (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon keresztül
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Szállítói dokumentáció/ telepítési utasítások	Napló > syslog Syslog formátumként válassza ki a local4 létesítményt és az ArcSightot.
Támogatja:	SonicWall

Sophos Cloud Optix (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	SophosCloudOptix_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	Integrálható a Microsoft Sentinellel, kihagyva az első lépést. Sophos lekérdezési minták
Támogatja:	Sophos

Sophos XG tűzfal (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog
Log Analytics-tábla(ok)	Syslog
DCR-támogatás	Munkaterület-átalakítási DCR
Kusto függvényalias:	SophosXGFirewall
Kusto függvény URL-címe:	https://aka.ms/sentinelgithubparserssophosfirewallxg
Szállítói dokumentáció/ telepítési utasítások	Syslog-kiszolgáló hozzáadása
Támogatja:	Microsoft

Squadra Technologies secRMM

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	secRMM_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	secRMM Microsoft Sentinel rendszergazdai útmutató
Támogatja:	Squadra Technologies

Tintahal-proxy (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Log Analytics-ügynök – egyéni naplók
Log Analytics-tábla(ok)	SquidProxy_CL
DCR-támogatás	Egyelőre nem támogatott
Kusto függvényalias:	SquidProxy
Kusto függvény URL-címe	https://aka.ms/Sentinel-squidproxy-parser
Egyéni naplómintafájl:	access.log vagy cache.log
Támogatja:	Microsoft

Symantec Integrated Cyber Defense Exchange (ICDx)

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API
Log Analytics-tábla(ok)	SymantecICDx_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	A Microsoft Sentinel (Log Analytics) továbbítóinak konfigurálása
Támogatja:	Broadcom Symantec

Symantec ProxySG (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog
Log Analytics-tábla(ok)	Syslog
DCR-támogatás	Munkaterület-átalakítási DCR
Kusto függvényalias:	SymantecProxySG
Kusto függvény URL-címe:	https://aka.ms/sentinelgithubparserssymantecproxysg
Szállítói dokumentáció/ telepítési utasítások	Hozzáférési naplók küldése Syslog-kiszolgálóra
Támogatja:	Microsoft

Symantec VIP (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog
Log Analytics-tábla(ok)	Syslog
DCR-támogatás	Munkaterület-átalakítási DCR
Kusto függvényalias:	SymantecVIP
Kusto függvény URL-címe:	https://aka.ms/sentinelgithubparserssymantecvip
Szállítói dokumentáció/ telepítési utasítások	A syslog konfigurálása
Támogatja:	Microsoft

Thycotic Secret Server (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon keresztül
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Szállítói dokumentáció/ telepítési utasítások	Biztonságos Syslog-/CEF-naplózás
Támogatja:	Thycotic

Trend Micro Deep Security

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon, Kusto függvényelemzővel
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Kusto függvényalias:	TrendMicroDeepSecurity
Kusto függvény URL-címe	https://aka.ms/TrendMicroDeepSecurityFunction
Szállítói dokumentáció/ telepítési utasítások	Mély biztonsági események továbbítása Syslog- vagy SIEM-kiszolgálóra
Támogatja:	Trend Micro

Trend Micro TippingPoint (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon, Kusto függvényelemzővel
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Kusto függvényalias:	TrendMicroTippingPoint
Kusto függvény URL-címe	https://aka.ms/Sentinel-trendmicrotippingpoint-function
Szállítói dokumentáció/ telepítési utasítások	Syslog-üzenetek küldése ArcSight CEF 4.2-es formátumban.
Támogatja:	Trend Micro

Trend Micro Vision One (XDR) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API
Log Analytics-tábla(ok)	TrendMicro_XDR_CL
DCR-támogatás	Egyelőre nem támogatott
API-hitelesítő adatok	API-jogkivonat
Szállítói dokumentáció/ telepítési utasítások	Trend Micro Vision One API API-kulcsok beszerzése külső hozzáféréshez
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül
Támogatja:	Trend Micro

VMware Carbon Black Endpoint Standard (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API
Log Analytics-tábla(ok)	CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/sentinelcarbonblackazurefunctioncode
API-hitelesítő adatok	API hozzáférési szint ( audit- és eseménynaplókhoz ): API-azonosító API-kulcs SIEM hozzáférési szint ( értesítési eseményekhez): SIEM API-azonosító SIEM API-kulcs
Szállítói dokumentáció/ telepítési utasítások	A Carbon Black API dokumentációja API-kulcs létrehozása
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Alkalmazásbeállítások	apiId apiKey WorkspaceID WorkspaceKey URI (régiónként; lásd a beállítások listáját. A következő sémát követi: `https://<API URL>.conferdeploy.net`.) timeInterval (5 értékre állítva) SIEMapiId ( értesítési események betöltésekor) SIEMapiKey ( értesítési események betöltésekor) logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

VMware ESXi (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog
Log Analytics-tábla(ok)	Syslog
DCR-támogatás	Munkaterület-átalakítási DCR
Kusto függvényalias:	VMwareESXi
Kusto függvény URL-címe:	https://aka.ms/Sentinel-vmwareesxi-parser
Szállítói dokumentáció/ telepítési utasítások	A syslog engedélyezése az ESXi 3.5-ös és 4.x-es verzióján A Syslog konfigurálása ESXi-gazdagépeken
Támogatja:	Microsoft

WatchGuard Firebox (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Syslog
Log Analytics-tábla(ok)	Syslog
DCR-támogatás	Munkaterület-átalakítási DCR
Kusto függvényalias:	WatchGuardFirebox
Kusto függvény URL-címe:	https://aka.ms/Sentinel-watchguardfirebox-parser
Szállítói dokumentáció/ telepítési utasítások	A Microsoft Sentinel integrációs útmutatója
Támogatja:	WatchGuard-technológiák

WireX Network Forensics Platform (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Common Event Format (CEF) a Syslogon keresztül
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítási DCR
Szállítói dokumentáció/ telepítési utasítások	Lépjen kapcsolatba a WireX ügyfélszolgálatával , hogy konfigurálja az NFP-megoldást a Syslog-üzenetek CEF formátumú küldésére.
Támogatja:	WireX-rendszerek

DNS-kiszolgáló Windows (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Log Analytics-ügynökalapú kapcsolatok (örökölt)
Log Analytics-tábla(ok)	DnsEvents DnsInventory
DCR-támogatás	Munkaterület-átalakítási DCR
Támogatja:	Microsoft

A Windows DNS-kiszolgáló adatösszekötőjének hibaelhárítása

Ha a DNS-események nem jelennek meg a Microsoft Sentinelben:

Győződjön meg arról, hogy a DNS-elemzési naplók engedélyezve vannak a kiszolgálókon.
Nyissa meg az Azure DNS Analyticset.
A Konfiguráció területen módosítsa a beállításokat, és mentse a módosításokat. Szükség esetén módosítsa a beállításokat, majd mentse újra a módosításokat.
Ellenőrizze az Azure DNS Analyticsben, hogy az események és a lekérdezések megfelelően jelennek-e meg.

További információkért tekintse meg a DNS-infrastruktúrával kapcsolatos megállapítások gyűjtését a DNS Analytics előzetes verziójú megoldásával.

Windows továbbított események (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Azure Monitor-ügynökalapú kapcsolatok További utasítások a Windows Forwarded Events összekötő üzembe helyezéséhez
Előfeltételek	Engedélyeznie és futtatnia kell Windows Eseménygyűjtést (WEC). Telepítse az Azure Monitor-ügynököt a WEC-gépen.
xPath-lekérdezések előtagja	"ForwardedEvents!*"
Log Analytics-tábla(ok)	WindowsEvents
DCR-támogatás	Standard DCR
Támogatja:	Microsoft

További utasítások a Windows Forwarded Events összekötő üzembe helyezéséhez

Javasoljuk, hogy telepítse az Advanced Security Information Model (ASIM) elemzőket, hogy teljes mértékben támogassa az adatok normalizálását. Ezeket az elemzőket az Azure-Sentinel GitHub-adattárból helyezheti üzembe az ott található Üzembe helyezés az Azure-ban gombbal.

Windows tűzfal

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Log Analytics-ügynökalapú kapcsolatok (örökölt)
Log Analytics-tábla(ok)	WindowsFirewall
Támogatja:	Microsoft

Windows biztonság események az AMA-val

Összekötő attribútum	Description
Adatbetöltési módszer	Azure-szolgáltatások közötti integráció: Azure Monitor-ügynökalapú kapcsolatok
xPath-lekérdezések előtagja	"Biztonság!*"
Log Analytics-tábla(ok)	SecurityEvents
DCR-támogatás	Standard DCR
Támogatja:	Microsoft

Lásd még: Biztonsági események örökölt ügynök-összekötőn keresztül .

Fontos

A rendellenes RDP-bejelentkezés észlelése jelenleg nyilvános előzetes verzióban érhető el. Ez a szolgáltatás szolgáltatásiszint-szerződés nélkül érhető el, és éles számítási feladatokhoz nem ajánlott. További információ: Kiegészítő használati feltételek a Microsoft Azure előzetes verziójú termékeihez.

A Microsoft Sentinel gépi tanulást (ML) alkalmazhat a biztonsági események adataira a rendellenes RDP-bejelentkezési tevékenységek azonosításához. A forgatókönyvek a következők:

Szokatlan IP-cím – az IP-címet ritkán vagy soha nem figyelték meg az elmúlt 30 napban
Szokatlan földrajzi hely – az IP-címet , a várost, az országot és az ASN-t ritkán vagy soha nem figyelték meg az elmúlt 30 napban
Új felhasználó – egy új felhasználó egy IP-címről és földrajzi helyről jelentkezik be, amelynek mindkettője vagy bármelyike nem volt látható a 30 nappal korábbi adatok alapján.

Konfigurációs utasítások

RdP-bejelentkezési adatokat (4624-s eseményazonosítót) kell gyűjtenie a biztonsági eseményeken vagy Windows biztonság események adatösszekötőin keresztül. Győződjön meg arról, hogy a "Nincs" mellett kijelölt egy eseménykészletet , vagy létrehozott egy olyan adatgyűjtési szabályt, amely tartalmazza ezt az eseményazonosítót, hogy streameljen a Microsoft Sentinelbe.
A Microsoft Sentinel portálon válassza az Elemzés elemet, majd a Szabálysablonok lapot. Válassza ki az (előzetes verzió) rendellenes RDP-bejelentkezésészlelési szabályt, és helyezze át az Állapot csúszkát Engedélyezve állapotra.

Megjegyzés

Mivel a gépi tanulási algoritmusnak 30 napnyi adatra van szüksége a felhasználói viselkedés alapprofiljának létrehozásához, engedélyeznie kell 30 napos Windows biztonság eseményadatok gyűjtését az incidensek észlelése előtt.

Munkahely a Facebookról (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API Webhookok konfigurálása Visszahívási URL-cím hozzáadása a Webhook konfigurációhoz
Log Analytics-tábla(ok)	Workplace_Facebook_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Workplace%20from%20Facebook/Data%20Connectors/WorkplaceFacebook/WorkplaceFacebookWebhooksSentinelConn.zip
API-hitelesítő adatok	WorkplaceAppSecret WorkplaceVerifyToken
Szállítói dokumentáció/ telepítési utasítások	Webhookok konfigurálása Engedélyek konfigurálása
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Kusto függvény aliasa	Workplace_Facebook
Kusto függvény URL-címe/ Elemzési konfigurációs utasítások	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Workplace%20from%20Facebook/Parsers/Workplace_Facebook.txt
Alkalmazásbeállítások	WorkplaceAppSecret WorkplaceVerifyToken WorkspaceID WorkspaceKey logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

Webhookok konfigurálása

Jelentkezzen be a munkahelyre Rendszergazda felhasználói hitelesítő adatokkal.
A Rendszergazda panelen válassza az Integrációk lehetőséget.
A Minden integráció nézetben válassza az Egyéni integráció létrehozása lehetőséget.
Adja meg a nevet és a leírást, és válassza a Létrehozás lehetőséget.
Az Integráció részletei panelen jelenítse meg az alkalmazás titkos kódját , és másolja ki.
Az Integrációs engedélyek panelen állítsa be az összes olvasási engedélyt. Részletekért tekintse meg az engedélyoldalt .

Visszahívási URL-cím hozzáadása a Webhook konfigurációhoz

Nyissa meg a függvényalkalmazás lapját, lépjen a Függvények listára, válassza a Függvény URL-címének lekérése lehetőséget, és másolja ki.
Vissza a Munkahelyre a Facebookról. A Webhookok konfigurálása panelen minden lapon állítsa be a visszahívási URL-címet az utolsó lépésben kimásolt függvény URL-címeként, valamint az Ellenőrző jogkivonatot az automatikus üzembe helyezés során kapott vagy manuális üzembe helyezés során megadott értékkel.
Kattintson a Mentés gombra.

Zimperium Mobile Thread Defense (előzetes verzió)

A Zimperium Mobile Threat Defense adatösszekötő csatlakoztatja a Zimperium fenyegetésnaplóját a Microsoft Sentinelhez az irányítópultok megtekintéséhez, egyéni riasztások létrehozásához és a vizsgálat javításához. Ez az összekötő további betekintést nyújt a szervezet mobil fenyegetési környezetébe, és javítja a biztonsági műveletek képességeit.

További információ: Csatlakozás Zimperium to Microsoft Sentinel.

Összekötő attribútum	Description
Adatbetöltési módszer	Microsoft Sentinel Data Collector API A Zimperium MTD konfigurálása és csatlakoztatása
Log Analytics-tábla(ok)	ZimperiumThreatLog_CL ZimperiumMitigationLog_CL
DCR-támogatás	Egyelőre nem támogatott
Szállítói dokumentáció/ telepítési utasítások	Zimperium ügyfélszolgálati portál (bejelentkezés szükséges)
Támogatja:	Zimperium

A Zimperium MTD konfigurálása és csatlakoztatása

A zConsole-ban válassza a Kezelés lehetőséget a navigációs sávon.
Válassza az Integrációk lapot.
Válassza a Fenyegetésjelentés gombot, majd az Integrációk hozzáadása gombot.
Hozza létre az integrációt:
1. Az elérhető integrációk közül válassza a Microsoft Sentinelt.
2. Adja meg a munkaterület azonosítóját és elsődleges kulcsát, és válassza a Tovább gombot.
3. Adja meg a Microsoft Sentinel-integráció nevét.
4. Válasszon szűrőszintet a Microsoft Sentinelnek leküldeni kívánt fenyegetésadatokhoz.
5. Válassza a Befejezés gombot.

Jelentések nagyítása (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Azure Functions és a REST API
Log Analytics-tábla(ok)	Zoom_CL
DCR-támogatás	Egyelőre nem támogatott
Azure-függvényalkalmazás kódja	https://aka.ms/Sentinel-ZoomAPI-functionapp
API-hitelesítő adatok	ZoomApiKey ZoomApiSecret
Szállítói dokumentáció/ telepítési utasítások	Hitelesítő adatok lekérése a JWT és a Zoom használatával
Összekötő üzembe helyezési útmutatója	Egykattintásos üzembe helyezés Az Azure Resource Manager (ARM) sablonján keresztül Manuális üzembe helyezés
Kusto függvény aliasa	Zoom
Kusto függvény URL-címe/ Elemzési konfigurációs utasítások	https://aka.ms/Sentinel-ZoomAPI-parser
Alkalmazásbeállítások	ZoomApiKey ZoomApiSecret WorkspaceID WorkspaceKey logAnalyticsUri (nem kötelező)
Támogatja:	Microsoft

Zscaler

Összekötő attribútum	Description
Adatbetöltési módszer	Gyakori eseményformátum (CEF) a Syslogon
Log Analytics-tábla(ok)	CommonSecurityLog
DCR-támogatás	Munkaterület-átalakítás – DCR
Szállítói dokumentáció/ telepítési utasítások	A Zscaler és a Microsoft Sentinel üzembehelyezési útmutatója
Támogatja:	Zscaler

Zscaler Private Access (ZPA) (előzetes verzió)

Összekötő attribútum	Description
Adatbetöltési módszer	Log Analytics-ügynök – egyéni naplók Extra konfiguráció a Zscaler Privát Hozzáféréshez
Log Analytics-tábla(ok)	ZPA_CL
DCR-támogatás	Egyelőre nem támogatott
Kusto függvény aliasa:	ZPAEvent
Kusto függvény URL-címe	https://aka.ms/Sentinel-zscalerprivateaccess-parser
Szállítói dokumentáció/ telepítési utasítások	A Zscaler Private Access dokumentációja Lásd még alább
Támogatja:	Microsoft

Extra konfiguráció a Zscaler Privát Hozzáféréshez

Kövesse az alábbi konfigurációs lépéseket a Zscaler Private Access-naplók Microsoft Sentinelbe való beolvasásához. További információkért tekintse meg az Azure Monitor dokumentációját. A Zscaler privát hozzáférési naplói a Log Streaming Service (LSS) szolgáltatáson keresztül érkeznek. Részletes információkért tekintse meg az LSS dokumentációját .

Naplóvevők konfigurálása. A naplóvevő konfigurálása során válassza a JSON-tnaplósablonként.

Töltse le a zpa.conf konfigurációs fájlt.

wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf

Jelentkezzen be arra a kiszolgálóra, amelyen telepítette az Azure Log Analytics-ügynököt.
Másolja a zpa.conf fájlt az /etc/opt/microsoft/omsagent/workspace_id//conf/omsagent.d/ mappába.
Szerkessze a zpa.conf fájlt az alábbiak szerint:
1. Adja meg azt a portot, amellyel beállította a Zscaler-naplóvevőket a naplók továbbítására (4. sor)
2. Cserélje le workspace_id a munkaterület-azonosító valós értékére (14.15.16.19. sor)
Mentse a módosításokat, és indítsa újra a Linuxhoz készült Azure Log Analytics-ügynököt a következő paranccsal:
```
sudo /opt/microsoft/omsagent/bin/service_control restart
```

A munkaterület-azonosító értékét a ZScaler Private Access-összekötő oldalán vagy a Log Analytics-munkaterület ügynökkezelési oldalán találja.

Következő lépések

További információkért lásd: