Konektor data Microsoft Azure Sentinel
Setelah Anda memasukkan Microsoft Azure Sentinel ke ruang kerja Anda, gunakan konektor data untuk mulai menyerap data Anda ke Microsoft Azure Sentinel. Microsoft Sentinel hadir dengan banyak konektor out of the box untuk layanan Microsoft, yang terintegrasi secara real time. Misalnya, konektor Microsoft Defender XDR adalah konektor layanan-ke-layanan yang mengintegrasikan data dari Office 365, ID Microsoft Entra, Microsoft Defender untuk Identitas, dan aplikasi Microsoft Defender untuk Cloud.
Konektor bawaan memungkinkan koneksi ke ekosistem keamanan yang lebih luas untuk produk non-Microsoft. Misalnya, gunakan Syslog, Common Event Format (CEF), atau REST API untuk menyambungkan sumber data Anda dengan Microsoft Sentinel.
Catatan
Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.
Penting
Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Konektor data disediakan dengan solusi
Solusi Microsoft Azure Sentinel menyediakan konten keamanan paket, termasuk konektor data, buku kerja, aturan analitik, playbook, dan banyak lagi. Saat menyebarkan solusi dengan konektor data, Anda akan mendapatkan konektor data bersama dengan konten terkait dalam penyebaran yang sama.
Halaman konektor Data Microsoft Sentinel mencantumkan konektor data yang diinstal atau sedang digunakan.
Untuk menambahkan lebih banyak konektor data, instal solusi yang terkait dengan konektor data dari Hub Konten. Untuk informasi lebih lanjut, baca artikel berikut:
- Menemukan konektor data Microsoft Sentinel Anda
- Tentang konten dan solusi Microsoft Azure Sentinel
- Menemukan dan mengelola konten out-of-the-box Microsoft Azure Sentinel
- Katalog hub konten Microsoft Azure Sentinel
- Solusi domain berbasis Model Informasi Keamanan Tingkat Lanjut (ASIM) untuk Microsoft Azure Sentinel
Integrasi REST API untuk konektor data
Banyak teknologi keamanan menyediakan sekumpulan API untuk mengambil file log. Beberapa sumber data dapat menggunakan API tersebut untuk menyambungkan ke Microsoft Azure Sentinel.
Konektor data yang menggunakan API terintegrasi dari sisi penyedia atau terintegrasi menggunakan Azure Functions, seperti yang dijelaskan di bagian berikut.
Integrasi di sisi penyedia
Integrasi API yang dibangun oleh penyedia terhubung dengan sumber data penyedia dan mendorong data ke tabel log kustom Microsoft Sentinel dengan menggunakan API Pengumpul Data Azure Monitor. Untuk informasi selengkapnya, lihat Mengirim data log ke Azure Monitor dengan menggunakan HTTP Data Collector API.
Untuk mempelajari tentang integrasi REST API, baca dokumentasi penyedia Anda dan Hubungkan sumber data Anda ke REST-API Microsoft Azure Sentinel untuk menyerap data.
Integrasi menggunakan Azure Functions
Integrasi yang menggunakan Azure Functions memformat data terlebih dahulu untuk tersambung dengan API penyedia, lalu mengirimkannya ke tabel log kustom Microsoft Azure Sentinel menggunakan API Pengumpul Data Azure Monitor.
Untuk informasi selengkapnya, lihat:
- Mengirim data log ke Azure Monitor dengan menggunakan HTTP Data Collector API
- Menggunakan Azure Functions untuk menyambungkan sumber data Anda ke Microsoft Azure Sentinel
- Dokumentasi Azure Functions
Integrasi yang menggunakan Azure Functions mungkin memiliki biaya penyerapan data tambahan, karena Anda menghosting Azure Functions di organisasi Azure Anda. Pelajari selengkapnya tentang harga Azure Functions.
Integrasi berbasis agen untuk konektor data
Microsoft Azure Sentinel dapat menggunakan protokol Syslog untuk menyambungkan agen ke sumber data apa pun yang dapat melakukan streaming log real time. Misalnya, sebagian besar sumber data lokal terhubung dengan menggunakan integrasi berbasis agen.
Bagian berikut menjelaskan berbagai jenis konektor data berbasis agen Microsoft Azure Sentinel. Untuk mengonfigurasi koneksi menggunakan mekanisme berbasis agen, ikuti langkah-langkah di setiap halaman konektor data Microsoft Azure Sentinel.
Syslog
Anda dapat mengalirkan peristiwa dari perangkat yang mendukung Syslog berbasis Linux ke Microsoft Azure Sentinel dengan menggunakan Azure Monitor Agent (AMA). Tergantung pada jenis perangkat, agen dapat diinstal secara langsung pada perangkat atau pada penerus log berbasis Linux khusus. AMA menerima peristiwa dari daemon Syslog melalui UDP. Daemon Syslog meneruskan peristiwa ke agen secara internal, berkomunikasi melalui UDS (Unix Domain Sockets). AMA kemudian mengirimkan peristiwa ini ke ruang kerja Microsoft Azure Sentinel.
Berikut adalah alur sederhana yang menunjukkan bagaimana Microsoft Sentinel mengalirkan data Syslog.
- Daemon Syslog bawaan perangkat mengumpulkan peristiwa lokal dari jenis yang ditentukan, dan meneruskannya secara lokal ke agen.
- Agen mengalirkan peristiwa ke ruang kerja Analitik Log Anda.
- Setelah konfigurasi berhasil, data muncul di tabel Syslog Log Analytics.
Untuk informasi selengkapnya, lihat Tutorial: Meneruskan data Syslog ke ruang kerja Analitik Log dengan Microsoft Azure Sentinel dengan menggunakan Agen Azure Monitor.
Common Event Format (CEF)
Format log bervariasi, tetapi banyak sumber mendukung pemformatan berbasis CEF. Agen Microsoft Azure Sentinel, yang sebenarnya adalah agen Log Analytics, mengonversi log berformat CEF ke dalam format yang dapat diserap oleh Log Analytics.
Untuk sumber data yang memunculkan data dalam CEF, siapkan agen Syslog lalu konfigurasikan aliran data CEF. Setelah konfigurasi berhasil, data akan muncul di tabel CommonSecurityLog.
Untuk informasi selengkapnya, lihat Mendapatkan log berformat CEF dari perangkat atau appliance Anda ke Microsoft Azure Sentinel.
Log kustom
Untuk beberapa sumber data, Anda dapat mengumpulkan log sebagai file di komputer Windows atau Linux menggunakan agen pengumpulan log kustom Analitik Log.
Untuk menyambungkan menggunakan agen pengumpulan log kustom Analitik Log, ikuti langkah-langkah di setiap halaman konektor data Microsoft Azure Sentinel. Setelah konfigurasi berhasil, data akan muncul di tabel kustom.
Untuk informasi selengkapnya, lihat Mengumpulkan data dalam format log kustom ke Microsoft Azure Sentinel dengan agen Log Analytics.
Integrasi layanan ke layanan untuk konektor data
Microsoft Sentinel menggunakan fondasi Azure untuk menyediakan dukungan layanan ke layanan di luar kotak untuk layanan Microsoft dan Amazon Web Services.
Untuk informasi lebih lanjut, baca artikel berikut:
- Menyambungkan Microsoft Azure Sentinel ke layanan Azure, Windows, Microsoft, dan Amazon
- Menemukan konektor data Microsoft Sentinel Anda
Dukungan konektor data
Baik Microsoft dan organisasi lainnya membuat konektor data Microsoft Azure Sentinel. Setiap konektor data memiliki salah satu jenis dukungan berikut yang tercantum di halaman konektor data di Microsoft Azure Sentinel.
| Jenis dukungan | Deskripsi |
|---|---|
| Microsoft-supported | Berlaku untuk:
Mitra atau komunitas mendukung konektor data yang ditulis oleh pihak mana pun selain Microsoft. |
| Dukungan mitra | Berlaku untuk konektor data yang dibuat oleh pihak selain Microsoft. Perusahaan mitra memberikan dukungan atau pemeliharaan untuk konektor data tersebut. Perusahaan mitra dapat menjadi Vendor Perangkat Lunak Independen, Penyedia Layanan Terkelola (MSP/MSSP), Integrator Sistem (SI), atau organisasi apa pun yang informasi kontaknya disediakan di halaman Microsoft Azure Sentinel untuk konektor data tersebut. Untuk masalah apa pun dengan konektor data yang didukung partner, hubungi kontak dukungan konektor data yang ditentukan. |
| Dukungan komunitas | Berlaku untuk konektor data yang ditulis oleh Microsoft atau pengembang mitra yang tidak memiliki kontak yang tercantum untuk dukungan dan pemeliharaan konektor data di halaman konektor data di Microsoft Azure Sentinel. Untuk pertanyaan atau masalah pada konektor data tersebut, Anda dapat mengajukan masalah di komunitas GitHub Microsoft Azure Sentinel. |
Untuk informasi selengkapnya, lihat Menemukan dukungan untuk konektor data.
Langkah berikutnya
Untuk informasi selengkapnya tentang konektor data, lihat artikel berikut ini.
- Koneksi sumber data Anda ke Microsoft Azure Sentinel dengan menggunakan konektor data
- Menemukan konektor data Microsoft Sentinel Anda
- Sumber daya untuk membuat konektor kustom Microsoft Sentinel
Untuk referensi Infrastruktur sebagai Kode (IaC) dasar Bicep, Azure Resource Manager, dan Terraform untuk menyebarkan konektor data di Microsoft Azure Sentinel, lihat Referensi IaC konektor data Microsoft Sentinel.