Trovare il connettore dati di Microsoft Sentinel

Nota

Azure Sentinel è ora denominato Microsoft Sentinel e queste pagine verranno aggiornate nelle prossime settimane. Altre informazioni sui recenti miglioramenti della sicurezza Microsoft.

Questo articolo descrive come distribuire i connettori dati in Microsoft Sentinel, elencando tutti i connettori dati supportati, predefiniti, insieme ai collegamenti a procedure di distribuzione generiche e passaggi aggiuntivi necessari per connettori specifici.

Suggerimento

Alcuni connettori dati vengono distribuiti solo tramite soluzioni. Per altre informazioni, vedere il catalogo delle soluzioni di Microsoft Sentinel. È anche possibile trovare altri connettori dati predefiniti della community nel repository GitHub di Microsoft Sentinel.

Come usare questa guida

1. In primo luogo, individuare e selezionare il connettore per il prodotto, il servizio o il dispositivo nel menu intestazioni a destra.

   La prima informazione che verrà visualizzata per ogni connettore è il relativo metodo di inserimento dati. Il metodo visualizzato includerà un collegamento a una delle procedure di distribuzione generiche seguenti, che contengono la maggior parte delle informazioni necessarie per connettere le origini dati a Microsoft Sentinel:

   Metodo di inserimento dati	Articolo collegato con le istruzioni
   Integrazione da servizio a servizio di Azure	Connettersi ai servizi Azure, Windows, Microsoft e Amazon
   Common Event Format (CEF) su Syslog	Ottenere log in formato CEF dal dispositivo o dall'appliance in Microsoft Sentinel
   API dell'agente di raccolta dati di Microsoft Sentinel	Connettere l'origine dati all'API dell'agente di raccolta dati di Microsoft Sentinel per inserire dati
   Funzioni di Azure e l'API REST	Usare Funzioni di Azure per connettere Microsoft Sentinel all'origine dati
   Syslog	Raccogliere dati da origini basate su Linux usando Syslog
   Log personalizzati	Raccogliere dati in formati di log personalizzati in Microsoft Sentinel con l'agente di Log Analytics

   Nota

   Il metodo di inserimento dati di integrazione da servizio a servizio di Azure collega a tre sezioni diverse dell'articolo, a seconda del tipo di connettore. La sezione di ogni connettore seguente specifica la sezione all'interno di tale articolo a cui si collega.

2. Quando si distribuisce un connettore specifico, scegliere l'articolo appropriato collegato al relativo metodo di inserimento dati e usare le informazioni e indicazioni aggiuntive nella sezione pertinente riportata di seguito per integrare le informazioni contenute in tale articolo.

Suggerimento

• Molti connettori dati possono anche essere distribuiti come parte di una soluzione di Microsoft Sentinel, insieme a regole di analisi correlate, cartelle di lavoro e playbook. Per altre informazioni, vedere il catalogo delle soluzioni di Microsoft Sentinel.

• Altri connettori dati sono forniti dalla community di Microsoft Sentinel e sono disponibili nella Azure Marketplace. La documentazione per i connettori dati della community è responsabilità dell'organizzazione che ha creato il connettore.

• Se si dispone di un'origine dati non elencata o attualmente supportata, è anche possibile creare un connettore personalizzato personalizzato. Per altre informazioni, vedere Risorse per la creazione di connettori personalizzati di Microsoft Sentinel.

Importante

I connettori dati di Microsoft Sentinel indicati sono attualmente in anteprima. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Prerequisiti del connettore dati

Ogni connettore dati avrà un proprio set di prerequisiti, ad esempio le autorizzazioni necessarie per l'area di lavoro di Azure, la sottoscrizione o i criteri e così via, o altri requisiti per l'origine dati del partner a cui ci si connette.

I prerequisiti per ogni connettore dati sono elencati nella pagina del connettore dati pertinente in Microsoft Sentinel, nella scheda Istruzioni .

Agari Phishing Defense e Protezione del marchio (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST Prima della distribuzione: abilitare il API Graph di sicurezza (facoltativo). Dopo la distribuzione: assegnare le autorizzazioni necessarie all'app per le funzioni
Tabelle di Log Analytics	agari_bpalerts_log_CL agari_apdtc_log_CL agari_apdpolicy_log_CL
Supporto di DCR	Attualmente non supportato
Codice dell'app per le funzioni di Azure	https://aka.ms/Sentinel-agari-functionapp
Credenziali API	ID client Client Secret (Facoltativo: ID tenant Graph, ID client Graph, Segreto client Graph)
Documentazione fornitore/ istruzioni di installazione	Introduzione Sito per sviluppatori Agari
Istruzioni per la distribuzione del connettore	Distribuzione con clic singolo tramite il modello di Azure Resource Manager (ARM) Distribuzione manuale
Impostazioni delle applicazioni	clientID clientSecret workspaceID workspaceKey enableBrandProtectionAPI (true/false) enablePhishingResponseAPI (true/false) enablePhishingDefenseAPI (true/false) resGroup (immettere Gruppo di risorse) functionName subId (immettere l'ID sottoscrizione) enableSecurityGraphSharing (true/false; vedere di seguito) Obbligatorio se enableSecurityGraphSharing è impostato su true (vedere di seguito): GraphTenantId GraphClientId GraphClientSecret logAnalyticsUri (facoltativo)
Supportato da	Agari

Abilitare il API Graph di sicurezza (facoltativo)

Importante

Se si esegue questo passaggio, eseguire questa operazione prima di distribuire il connettore dati.

L'app per le funzioni Agari consente di condividere l'intelligence sulle minacce con Microsoft Sentinel tramite il API Graph di sicurezza. Per usare questa funzionalità, è necessario abilitare il connettore Sentinel Threat Intelligence Platforms e registrare anche un'applicazione in Azure Active Directory.

Questo processo fornirà tre informazioni da usare durante la distribuzione dell'app per le funzioni: l'ID tenant Graph, l'ID client Graph e il segreto client Graph (vedere le impostazioni dell'applicazione nella tabella precedente).

Assegnare le autorizzazioni necessarie all'app per le funzioni

Il connettore Agari usa una variabile di ambiente per archiviare i timestamp di accesso al log. Per consentire all'applicazione di scrivere in questa variabile, le autorizzazioni devono essere assegnate all'identità assegnata dal sistema.

1. Nella portale di Azure passare a App per le funzioni.
2. Nella pagina App per le funzioni selezionare l'app per le funzioni dall'elenco, quindi selezionare Identità in Impostazioni nel menu di spostamento dell'app per le funzioni.
3. Nella scheda Assegnata dal sistema impostare Statosu Sì.
4. Selezionare Salva e verrà visualizzato un pulsante Assegnazioni di ruolo di Azure . Selezionarla.
5. Nella schermata Assegnazioni di ruolo di Azure selezionare Aggiungi assegnazione di ruolo. Impostare Ambito su Sottoscrizione, selezionare la sottoscrizione dall'elenco a discesa Sottoscrizione e impostare Ruolosu Configurazione app Proprietario dati.
6. Selezionare Salva.

Ai Analyst (AIA) di Darktrace (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog Configurare l'inoltro dei log CEF per l'analista di intelligenza artificiale
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Supportato da	Darktrace

Configurare l'inoltro dei log CEF per l'analista di intelligenza artificiale

Configurare Darktrace per inoltrare i messaggi Syslog in formato CEF all'area di lavoro di Azure tramite l'agente di Log Analytics.

1. All'interno del visualizzatore di minacce Darktrace passare alla pagina Configurazione di sistema nel menu principale in Amministrazione.
2. Nel menu a sinistra selezionare Moduli e scegliere Microsoft Sentinel dalle integrazioni del flusso di lavoro disponibili.
3. Verrà aperta una finestra di configurazione. Individuare Microsoft Sentinel Syslog CEF e selezionare Nuovo per visualizzare le impostazioni di configurazione, a meno che non siano già esposte.
4. Nel campo Configurazione server immettere il percorso del server d'inoltro del log e, facoltativamente, modificare la porta di comunicazione. Assicurarsi che la porta selezionata sia impostata su 514 ed sia consentita da qualsiasi firewall intermedio.
5. Configurare eventuali soglie di avviso, offset di tempo o impostazioni aggiuntive in base alle esigenze.
6. Esaminare eventuali opzioni di configurazione aggiuntive che è possibile abilitare per modificare la sintassi syslog.
7. Abilitare Invia avvisi e salvare le modifiche.

Rilevamento di intelligenza artificiale Vectra (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog Configurare l'inoltro dei log CEF per il rilevamento di intelligenza artificiale Vectra
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Supportato da	Intelligenza artificiale Vectra

Configurare l'inoltro dei log CEF per il rilevamento di intelligenza artificiale Vectra

Configurare l'agente Vectra (X Series) per inoltrare messaggi Syslog in formato CEF all'area di lavoro di Microsoft Sentinel tramite l'agente di Log Analytics.

Dall'interfaccia Vectra passare a Impostazioni > Notifiche e scegliere Modifica configurazione Syslog. Seguire le istruzioni seguenti per configurare la connessione:

• Aggiungere una nuova destinazione (il nome host del server d'inoltro del log)
• Impostare la porta su 514
• Impostare il protocollo come UDP
• Impostare il formato su CEF
• Impostare tipi di log (selezionare tutti i tipi di log disponibili)
• Selezionare Salva

È possibile selezionare il pulsante Test per forzare l'invio di alcuni eventi di test al server d'inoltro del log.

Per altre informazioni, vedere la Guida di Cognito Detect Syslog, che può essere scaricata dalla pagina della risorsa in Rileva interfaccia utente.

Eventi di sicurezza Akamai (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog, con un parser di funzioni Kusto
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	AkamaiSIEMEvent
URL della funzione Kusto:	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt
Documentazione fornitore/ istruzioni di installazione	Configurare l'integrazione siem (Security Information and Event Management) Configurare un connettore CEF.
Supportato da	Akamai

Alcide kAudit

Attributo del connettore	Descrizione
Metodo di inserimento dati	API dell'agente di raccolta dati di Microsoft Sentinel
Tabelle di Log Analytics	alcide_kaudit_activity_1_CL - Log attività di Alcide kAudit alcide_kaudit_detections_1_CL - Rilevamenti kAudit di Alcide alcide_kaudit_selections_count_1_CL - Conteggi delle attività di Alcide kAudit alcide_kaudit_selections_details_1_CL - Dettagli attività alcide kAudit
Supporto di DCR	Attualmente non supportato
Documentazione fornitore/ istruzioni di installazione	Guida all'installazione di Alcide kAudit
Supportato da	Alcide

Alsid for Active Directory

Attributo del connettore	Descrizione
Metodo di inserimento dati	Agente di Log Analytics - Log personalizzati Configurazione aggiuntiva per Alsid
Tabelle di Log Analytics	AlsidForADLog_CL
Supporto di DCR	Attualmente non supportato
Alias della funzione Kusto:	afad_parser
URL della funzione Kusto:	https://aka.ms/Sentinel-alsidforad-parser
Supportato da	Alsid

Configurazione aggiuntiva per Alsid

1. Configurare il server Syslog

   Per prima cosa è necessario un server Syslog linux a cui Alsid per AD invierà i log. In genere è possibile eseguire rsyslog in Ubuntu.

   È quindi possibile configurare questo server come si desidera, ma è consigliabile poter restituire i log AFAD in un file separato. In alternativa, è possibile usare un modello di avvio rapido per distribuire automaticamente il server Syslog e l'agente Microsoft. Se si usa il modello, è possibile ignorare le istruzioni di installazione dell'agente.

2. Configurare Alsid per l'invio di log al server Syslog

   Nel portale di Alsid per ACTIVE Directory passare a Sistema, Configurazione e quindi Syslog. Da qui è possibile creare un nuovo avviso Syslog per il server Syslog.

   Dopo aver creato un nuovo avviso Syslog, verificare che i log vengano raccolti correttamente nel server in un file separato. Ad esempio, per controllare i log, è possibile usare il pulsante Testa la configurazione nella configurazione degli avvisi Syslog in AFAD. Se è stato usato il modello di avvio rapido, il server Syslog sarà in ascolto per impostazione predefinita sulla porta 514 in UDP e 1514 in TCP, senza TLS.

Amazon Web Services

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connettere Microsoft Sentinel a Amazon Web Services per inserire i dati di log del servizio AWS (Articolo sul connettore principale)
Tabelle di Log Analytics	AWSCloudTrail
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Supportato da	Microsoft

Amazon Web Services S3 (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connettere Microsoft Sentinel a Amazon Web Services per inserire i dati di log del servizio AWS (Articolo sul connettore principale)
Tabelle di Log Analytics	AWSCloudTrail AWSGuardDuty AWSVPCFlow
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Supportato da	Microsoft

Apache HTTP Server

Attributo del connettore	Descrizione
Metodo di inserimento dati	Agente di Log Analytics - Log personalizzati
Tabelle di Log Analytics	ApacheHTTPServer_CL
Supporto di DCR	Attualmente non supportato
Alias della funzione Kusto:	ApacheHTTPServer
URL della funzione Kusto:	https://aka.ms/Sentinel-apachehttpserver-parser
File di esempio di log personalizzato:	access.log o errore.log

Apache Tomcat

Attributo del connettore	Descrizione
Metodo di inserimento dati	Agente di Log Analytics - Log personalizzati
Tabelle di Log Analytics	Tomcat_CL
Supporto di DCR	Attualmente non supportato
Alias della funzione Kusto:	TomcatEvent
URL della funzione Kusto:	https://aka.ms/Sentinel-ApacheTomcat-parser
File di esempio di log personalizzato:	access.log o errore.log

Aruba ClearPass (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog, con un parser di funzioni Kusto
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	ArubaClearPass
URL della funzione Kusto:	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Aruba%20ClearPass/Parsers/ArubaClearPass.txt
Documentazione fornitore/ istruzioni di installazione	Seguire le istruzioni di Aruba per configurare ClearPass.
Supportato da	Microsoft

Atlassian Confluence Audit (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST
Tabelle di Log Analytics	Confluence_Audit_CL
Supporto di DCR	Attualmente non supportato
Codice dell'app per le funzioni di Azure	https://aka.ms/Sentinel-confluenceauditapi-functionapp
Credenziali API	ConfluenceAccessToken ConfluenceUsername ConfluenceHomeSiteName
Documentazione fornitore/ istruzioni di installazione	Documentazione delle API Requisiti e istruzioni per ottenere le credenziali Visualizzare il log di controllo
Istruzioni per la distribuzione del connettore	Distribuzione con clic singolo tramite il modello di Azure Resource Manager (ARM) Distribuzione manuale
Alias della funzione Kusto	ConfluenceAudit
URL della funzione Kusto/ Istruzioni di configurazione del parser	https://aka.ms/Sentinel-confluenceauditapi-parser
Impostazioni delle applicazioni	ConfluenceUsername ConfluenceAccessToken ConfluenceHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (facoltativo)
Supportato da	Microsoft

Atlassian Jira Audit (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST
Tabelle di Log Analytics	Jira_Audit_CL
Supporto di DCR	Attualmente non supportato
Codice dell'app per le funzioni di Azure	https://aka.ms/Sentinel-jiraauditapi-functionapp
Credenziali API	JiraAccessToken JiraUsername JiraHomeSiteName
Documentazione fornitore/ istruzioni di installazione	Documentazione dell'API - Record di controllo Requisiti e istruzioni per ottenere le credenziali
Istruzioni per la distribuzione del connettore	Distribuzione con clic singolo tramite il modello di Azure Resource Manager (ARM) Distribuzione manuale
Alias della funzione Kusto	JiraAudit
URL della funzione Kusto/ Istruzioni di configurazione del parser	https://aka.ms/Sentinel-jiraauditapi-parser
Impostazioni delle applicazioni	JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (facoltativo)
Supportato da	Microsoft

Azure Active Directory

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connettere i dati di Azure Active Directory a Microsoft Sentinel (Articolo sul connettore principale)
Prerequisiti di licenza/ Informazioni sui costi	Licenza di Azure Active Directory P1 o P2 per i log di accesso Qualsiasi licenza di Azure AD (gratuito/O365/P1/P2) per altri tipi di log Altri addebiti possono essere applicati
Tabelle di Log Analytics	SigninLogs AuditLogs AADNonInteractiveUserSignInLogs AADServicePrincipalSignInLogs AADManagedIdentitySignInLogs AADProvisioningLogs ADFSSignInLogs
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Supportato da	Microsoft

Azure Active Directory Identity Protection

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate su API
Prerequisiti di licenza/ Informazioni sui costi	sottoscrizione di Azure AD Premium P2 Altri addebiti possono essere applicati
Tabelle di Log Analytics	SecurityAlert
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Supportato da	Microsoft

Nota

Questo connettore è stato progettato per importare solo gli avvisi il cui stato è "aperto". Gli avvisi chiusi in Azure AD Identity Protection non verranno importati in Microsoft Sentinel.

Attività di Azure

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate su impostazioni di diagnostica, gestite da Criteri di Azure Eseguire l'aggiornamento al nuovo connettore attività di Azure
Tabelle log Analytics	AzureActivity
Supporto di DCR	Attualmente non supportato
Supportato da	Microsoft

Eseguire l'aggiornamento al nuovo connettore attività di Azure

Modifiche alla struttura dei dati

Questo connettore ha recentemente modificato il meccanismo back-end per la raccolta di eventi del log attività. Viene ora usata la pipeline delle impostazioni di diagnostica . Se si usa ancora il metodo legacy per questo connettore, è consigliabile eseguire l'aggiornamento alla nuova versione, che offre funzionalità migliori e maggiore coerenza con i log delle risorse. Vedere le istruzioni riportate di seguito.

Il metodo impostazioni di diagnostica invia gli stessi dati inviati dal servizio log attività legacy, anche se sono state apportate alcune modifiche alla struttura della tabella AzureActivity .

Ecco alcuni dei miglioramenti principali risultanti dallo spostamento alla pipeline delle impostazioni di diagnostica:

• Miglioramento della latenza di inserimento (inserimento di eventi entro 2-3 minuti di occorrenza invece di 15-20 minuti).
• Miglioramento dell'affidabilità.
• Prestazioni migliorate.
• Supporto per tutte le categorie di eventi registrati dal servizio Log attività (il meccanismo legacy supporta solo un subset, ad esempio nessun supporto per gli eventi di integrità dei servizi).
• Gestione su larga scala con Criteri di Azure.

Vedere la documentazione di Monitoraggio di Azure per un trattamento più approfondito del log attività di Azure e della pipeline di impostazioni di diagnostica.

Disconnettersi dalla pipeline precedente

Prima di configurare il nuovo connettore log attività di Azure, è necessario disconnettere le sottoscrizioni esistenti dal metodo legacy.

1. Dal menu di spostamento di Microsoft Sentinel selezionare Connettori dati. Nell'elenco dei connettori selezionare Attività di Azure e quindi selezionare il pulsante Apri connettore in basso a destra.

2. Nella scheda Istruzioni , nella sezione Configurazione , nel passaggio 1 esaminare l'elenco delle sottoscrizioni esistenti connesse al metodo legacy (in modo da sapere quali aggiungere al nuovo) e disconnetterle tutte contemporaneamente facendo clic sul pulsante Disconnetti tutto sotto.

3. Continuare a configurare il nuovo connettore con le istruzioni collegate nella tabella precedente.

Protezione DDoS di Azure

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sulle impostazioni di diagnostica
Prerequisiti delle licenze/ Informazioni sui costi	È necessario disporre di un piano di protezione Standard DDoS configurato. È necessario avere una rete virtuale configurata con Azure DDoS Standard abilitata Altri addebiti possono essere applicati
Tabelle log Analytics	AzureDiagnostics
Supporto di DCR	Attualmente non supportato
Diagnostica consigliata	DDoSProtectionNotifications DDoSMitigationFlowLogs DDoSMitigationReports
Supportato da	Microsoft

Nota

Lo stato per Azure DDoS Protection Data Connector cambia solo quando le risorse protette sono sotto un attacco DDoS.

Azure Defender

Vedere Microsoft Defender for Cloud.

Firewall di Azure

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sulle impostazioni di diagnostica
Tabelle log Analytics	AzureDiagnostics
Supporto di DCR	Attualmente non supportato
Diagnostica consigliata	AzureFirewallApplicationRule AzureFirewallNetworkRule AzureFirewallDnsProxy
Supportato da	Microsoft

Azure Information Protection (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure
Tabelle log Analytics	InformationProtectionLogs_CL
Supporto di DCR	Attualmente non supportato
Supportato da	Microsoft

Nota

Il connettore dati di Azure Information Protection (AIP) usa la funzionalità log di controllo AIP (anteprima pubblica). A partire dal 18 marzo 2022, l'anteprima pubblica dell'analisi e dei log di controllo AIP verrà eseguita in anteprima pubblica e verrà usata la soluzione di controllo Di Microsoft 365. Il ritiro completo è previsto per il 30 settembre 2022.

Per altre informazioni, vedere Rimuovere e ritirare i servizi.

Insieme di credenziali chiave di Azure

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate su impostazioni di diagnostica, gestite da Criteri di Azure
Tabelle log Analytics	KeyVaultData
Supporto di DCR	Attualmente non supportato
Supportato da	Microsoft

Servizio Azure Kubernetes

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate su impostazioni di diagnostica, gestite da Criteri di Azure
Tabelle log Analytics	kube-apiserver kube-audit kube-audit-admin kube-controller-manager kube-scheduler cluster-autoscaler guard
Supporto di DCR	Attualmente non supportato
Supportato da	Microsoft

Microsoft Purview

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sulle impostazioni di diagnostica Per altre informazioni, vedere Esercitazione: Integrare Microsoft Sentinel e Microsoft Purview.
Tabelle log Analytics	PurviewDataSensitivityLogs
Supporto di DCR	Attualmente non supportato
Supportato da	Microsoft

Database SQL di Azure

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate su impostazioni di diagnostica, gestite da Criteri di Azure Disponibile anche nelle soluzioni Azure SQL e Microsoft Sentinel per SQL PaaS
Tabelle log Analytics	SQLSecurityAuditEvents SQLInsights AutomaticTuning QueryStoreWaitStatistics Errors DatabaseWaitStatistics Timeout Blocchi Deadlock Basic InstanceAndAppAdvanced WorkloadManagement DevOpsOperationsAudit
Supporto di DCR	Attualmente non supportato
Supportato da	Microsoft

Account di archiviazione di Azure

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sulle impostazioni di diagnostica Note sulla configurazione delle impostazioni di diagnostica dell'account di archiviazione
Tabelle log Analytics	StorageBlobLogs StorageQueueLogs StorageTableLogs StorageFileLogs
Diagnostica consigliata	Risorsa account Transazione Risorse BLOB/Code/Table/File StorageRead StorageWrite StorageDelete Transazione
Supporto di DCR	Attualmente non supportato
Supportato da	Microsoft

Note sulla configurazione delle impostazioni di diagnostica dell'account di archiviazione

La risorsa dell'account di archiviazione (padre) include altre risorse (figlio) per ogni tipo di archiviazione: file, tabelle, code e BLOB.

Quando si configura la diagnostica per un account di archiviazione, è necessario selezionare e configurare, a sua volta:

• Risorsa dell'account padre, esportazione della metrica Transazioni .
• Ognuna delle risorse di tipo di archiviazione figlio, esportando tutti i log e le metriche (vedere la tabella precedente).

Verranno visualizzati solo i tipi di archiviazione per cui sono state definite le risorse.

Web application firewall (WAF) di Azure

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sulle impostazioni di diagnostica
Tabelle log Analytics	AzureDiagnostics
Supporto di DCR	Attualmente non supportato
Diagnostica consigliata	Gateway applicazione ApplicationGatewayAccessLog ApplicationGatewayFirewallLog Frontdoor FrontdoorAccessLog FrontdoorWebApplicationFirewallLog Criteri WAF della rete CDN WebApplicationFirewallLogs
Supportato da	Microsoft

Barracuda CloudGen Firewall

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog
Tabelle log Analytics	Syslog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Alias della funzione Kusto:	CGFWFirewallActivity
URL della funzione Kusto:	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Barracuda%20CloudGen%20Firewall/Parsers/CGFWFirewallActivity
Documentazione del fornitore/ istruzioni di installazione	https://aka.ms/Sentinel-barracudacloudfirewall-connector
Supportato da	Barracuda

Barracuda WAF

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog
Tabelle log Analytics	CommonSecurityLog (Barracuda) Barracuda_CL
Documentazione del fornitore/ istruzioni di installazione	https://aka.ms/asi-barracuda-connector
Supportato da	Barracuda

Vedere Istruzioni barracuda: prendere nota delle funzionalità assegnate per i diversi tipi di log e assicurarsi di aggiungerli alla configurazione syslog predefinita.

BETTER Mobile Threat Defense (MTD) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	API agente di raccolta dati di Microsoft Sentinel
Tabelle log Analytics	BetterMTDDeviceLog_CL BetterMTDIncidentLog_CL BetterMTDAppLog_CL BetterMTDNetflowLog_CL
Supporto di DCR	Attualmente non supportato
Documentazione del fornitore/ istruzioni di installazione	Documentazione DI BETTER MTD Configurazione dei criteri di minaccia, che definisce gli eventi imprevisti segnalati a Microsoft Sentinel: In Better MTD Console selezionare Criteri sulla barra laterale. Selezionare il pulsante Modifica del criterio usato. Per ogni tipo di evento imprevisto da registrare, passare al campo Invia alle integrazioni e selezionare Sentinel.
Supportato da	Better Mobile

Beyond Security beSECURE

Attributo del connettore	Descrizione
Metodo di inserimento dati	API agente di raccolta dati di Microsoft Sentinel
Tabelle log Analytics	beSECURE_ScanResults_CL beSECURE_ScanEvents_CL beSECURE_Audit_CL
Supporto di DCR	Attualmente non supportato
Documentazione del fornitore/ istruzioni di installazione	Accedere al menu Integrazione : Selezionare l'opzione Di menu Altro . Selezionare Server Selezionare Integrazione Abilitare Microsoft Sentinel Incollare i valori ID area di lavoro e Chiave primaria nella configurazione beSECURE. Selezionare Modifica.
Supportato da	Oltre la sicurezza

BlackBerry CylancePROTECT (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog
Tabelle log Analytics	Syslog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Alias della funzione Kusto:	CylancePROTECT
URL della funzione Kusto:	https://aka.ms/Sentinel-cylanceprotect-parser
Documentazione del fornitore/ istruzioni di installazione	Guida di Cylance Syslog
Supportato da	Microsoft

Broadcom Symantec Data Loss Prevention (DLP) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog, con un parser di funzioni Kusto
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	SymantecDLP
URL della funzione Kusto:	https://aka.ms/Sentinel-symantecdlp-parser
Documentazione fornitore/ istruzioni di installazione	Configurazione dell'azione Log to a Syslog Server
Supportato da	Microsoft

Punto di controllo

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog Disponibile dalla soluzione Check Point
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Documentazione fornitore/ istruzioni di installazione	Esportazione log - Esportazione log Check Point
Supportato da	Check Point

Cisco ASA

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog Disponibile nella soluzione Cisco ASA
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Documentazione fornitore/ istruzioni di installazione	Guida alla configurazione dell'interfaccia della riga di comando di Cisco ASA Series
Supportato da	Microsoft

Cisco Firepower eStreamer (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog Configurazione aggiuntiva per Cisco Firepower eStreamer
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Documentazione fornitore/ istruzioni di installazione	Guida operativa di eStreamer eNcore for Sentinel
Supportato da	Cisco

Configurazione aggiuntiva per Cisco Firepower eStreamer

1. Installare il client Firepower eNcore
   Installare e configurare il client Firepower eNcore eStreamer. Per altre informazioni, vedere la guida completa all'installazione di Cisco.

2. Scaricare Firepower Connector da GitHub
   Scaricare la versione più recente del connettore Firepower eNcore per Microsoft Sentinel dal repository Cisco GitHub. Se si prevede di usare Python3, usare il connettore python3 eStreamer.

3. Creare un file pkcs12 usando l'indirizzo IP di Azure/macchina virtuale
   Creare un certificato pkcs12 usando l'indirizzo IP pubblico dell'istanza della macchina virtuale in Firepower in System > Integration > eStreamer. Per altre informazioni, vedere la guida all'installazione.

4. Testare la connettività tra il client azure/macchina virtuale e l'FMC
   Copiare il file pkcs12 dall'fmc all'istanza di Azure/macchina virtuale ed eseguire l'utilità di test (test con estensione/encore.sh) per assicurarsi che sia possibile stabilire una connessione. Per altre informazioni, vedere la guida alla configurazione.

5. Configurare eNcore per trasmettere i dati all'agente
   Configurare eNcore per trasmettere i dati tramite TCP all'agente di Log Analytics. Questa configurazione deve essere abilitata per impostazione predefinita, ma è possibile configurare porte e protocolli di streaming aggiuntivi in base al comportamento di sicurezza di rete. È anche possibile salvare i dati nel file system. Per altre informazioni, vedere Configurare eNcore.

Cisco Meraki (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog Disponibile nella soluzione Cisco ISE
Tabelle di Log Analytics	Syslog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	CiscoMeraki
URL della funzione Kusto:	https://aka.ms/Sentinel-ciscomeraki-parser
Documentazione fornitore/ istruzioni di installazione	Documentazione di Meraki Device Reporting
Supportato da	Microsoft

Cisco Umbrella (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST Disponibile nella soluzione Cisco Umbrella
Tabelle log Analytics	Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL
Supporto di DCR	Attualmente non supportato
Codice app per le funzioni di Azure	https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp
Credenziali API	ID chiave di accesso AWS Chiave di accesso segreto AWS Nome bucket DI AWS S3
Documentazione del fornitore/ istruzioni di installazione	Registrazione a Amazon S3
Istruzioni sulla distribuzione del connettore	Distribuzione a clic singolo tramite modello di Azure Resource Manager (ARM) Distribuzione manuale
Alias della funzione Kusto	Cisco_Umbrella
URL funzione Kusto/ Istruzioni di configurazione del parser	https://aka.ms/Sentinel-ciscoumbrella-function
Impostazioni delle applicazioni	WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (facoltativo)
Supportato da	Microsoft

Cisco Unified Computing System (UCS) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog
Tabelle log Analytics	Syslog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Alias della funzione Kusto:	CiscoUCS
URL della funzione Kusto:	https://aka.ms/Sentinel-ciscoucs-function
Documentazione del fornitore/ istruzioni di installazione	Configurare Syslog per Cisco UCS - Cisco
Supportato da	Microsoft

Citrix Analytics (Security)

Attributo del connettore	Descrizione
Metodo di inserimento dati	API agente di raccolta dati di Microsoft Sentinel
Tabelle log Analytics	CitrixAnalytics_SAlerts_CL
Supporto di DCR	Attualmente non supportato
Documentazione del fornitore/ istruzioni di installazione	Connettere Citrix a Microsoft Sentinel
Supportato da	Citrix Systems

Citrix Web App Firewall (WAF) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog
Tabelle log Analytics	CommonSecurityLog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Documentazione del fornitore/ istruzioni di installazione	Per configurare WAF, vedere Supporto di WIKI - Configurazione WAF con NetScaler. Per configurare i log CEF, vedere Supporto per la registrazione CEF nel firewall applicazione. Per inoltrare i log al proxy, vedere Configurazione dell'appliance Citrix ADC per la registrazione di controllo.
Supportato da	Citrix Systems

Cognni (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	API agente di raccolta dati di Microsoft Sentinel
Tabelle log Analytics	CognniIncidents_CL
Supporto di DCR	Attualmente non supportato
Documentazione del fornitore/ istruzioni di installazione	Connettersi a Cognni Passare alla pagina Integrazioni di Cognni. Selezionare Connetti nella casella Microsoft Sentinel. Incollare workspaceId e sharedKey (Chiave primaria) ai campi nella schermata delle integrazioni di Cognni. Selezionare il pulsante Connetti per completare la configurazione.
Supportato da	Cognni

Monitoraggio continuo delle minacce per SAP (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Disponibile solo dopo l'installazione della soluzione Continuous Threat Monitoring for SAP
Tabelle log Analytics	Vedere Informazioni di riferimento sulla soluzione SAP di Microsoft Sentinel
Documentazione del fornitore/ istruzioni di installazione	Distribuire il monitoraggio continuo delle minacce SAP
Supportato da	Microsoft

Eventi CyberArk Enterprise Password Vault (EPV) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog
Tabelle log Analytics	CommonSecurityLog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Documentazione del fornitore/ istruzioni di installazione	Applicazioni SIEM (Security Information and Event Management)
Supportato da	CyberArk

Log di sicurezza cyberpion (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	API agente di raccolta dati di Microsoft Sentinel
Tabelle log Analytics	CyberpionActionItems_CL
Supporto di DCR	Attualmente non supportato
Documentazione del fornitore/ istruzioni di installazione	Ottenere una sottoscrizione cyberpion Integrare gli avvisi di sicurezza cyberpion in Microsoft Sentinel
Supportato da	Cyberpion

DNS (anteprima)

Vedere Windows DNS Server (anteprima).

Dynamics 365

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sulle API Disponibile anche come parte della soluzione Dynamics 365 di Microsoft Sentinel 4
Prerequisiti delle licenze/ Informazioni sui costi	Licenza di produzione di Microsoft Dynamics 365. Non disponibile per gli ambienti sandbox. Almeno un utente ha assegnato una licenza Microsoft/Office 365 E1 o successiva. Altri addebiti possono essere applicati
Tabelle log Analytics	Dynamics365Activity
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Supportato da	Microsoft

ESET Enterprise Inspector (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST Creare un utente dell'API
Tabelle log Analytics	ESETEnterpriseInspector_CL
Supporto di DCR	Attualmente non supportato
Credenziali API	Nome utente EEI EEI Password URL di base
Documentazione del fornitore/ istruzioni di installazione	Documentazione dell'API REST di ESET Enterprise Inspector
Istruzioni sulla distribuzione del connettore	Distribuzione a clic singolo tramite modello di Azure Resource Manager (ARM)
Supportato da	ESET

Creare un utente dell'API

1. Accedere alla console ESET Security Management Center/ESET PROTECT con un account amministratore, selezionare la scheda Altre schede e la scheda Utenti .
2. Selezionare il pulsante ADD NEW e aggiungere un utente nativo.
3. Creare un nuovo utente per l'account API. Opzionale: Selezionare un gruppo Home diverso da Tutti per limitare i rilevamenti inseriti.
4. Nella scheda Set di autorizzazioni assegnare il set di autorizzazioni del revisore di Enterprise Inspector .
5. Disconnettersi dall'account amministratore e accedere alla console con le nuove credenziali API per la convalida, quindi disconnettersi dall'account API.

ESET Security Management Center (SMC) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog Configurare i log SMC di ESET da raccogliere Configurare l'agente OMS per passare i dati SMC di Eset in formato API Modificare la configurazione dell'agente OMS in catch tag oms.api.eset e analizzare i dati strutturati Disabilitare la configurazione automatica e riavviare l'agente
Tabelle log Analytics	eset_CL
Supporto di DCR	Attualmente non supportato
Documentazione del fornitore/ istruzioni di installazione	Documentazione del server Syslog ESET
Supportato da	ESET

Configurare i log di ESET SMC da raccogliere

Configurare rsyslog per accettare i log dall'indirizzo IP di Eset SMC.

    sudo -i
    # Set ESET SMC source IP address
    export ESETIP={Enter your IP address}

    # Create rsyslog configuration file
    cat > /etc/rsyslog.d/80-remote.conf << EOF
    \$ModLoad imudp
    \$UDPServerRun 514
    \$ModLoad imtcp
    \$InputTCPServerRun 514
    \$AllowedSender TCP, 127.0.0.1, $ESETIP
    \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
    EOF

    # Restart rsyslog
    systemctl restart rsyslog

Configurare l'agente OMS per passare i dati SMC Eset in formato API

Per riconoscere facilmente i dati Eset, eseguirne il push in una tabella separata e analizzarla in corrispondenza dell'agente per semplificare e velocizzare la query di Microsoft Sentinel.

Nel file /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf modificare la match oms.** sezione per inviare dati come oggetti API, modificando il tipo out_oms_apiin .

Il codice seguente è un esempio della sezione completa match oms.** :

    <match oms.** docker.**>
      type out_oms_api
      log_level info
      num_threads 5
      run_in_background false

      omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
      cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
      key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key

      buffer_chunk_limit 15m
      buffer_type file
      buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer

      buffer_queue_limit 10
      buffer_queue_full_action drop_oldest_chunk
      flush_interval 20s
      retry_limit 10
      retry_wait 30s
      max_retry_wait 9m
    </match>

Modificare la configurazione dell'agente OMS per intercettare il tag oms.api.eset e analizzare i dati strutturati

Modificare il file /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf .

Ad esempio:

    <source>
      type syslog
      port 25224
      bind 127.0.0.1
      protocol_type udp
      tag oms.api.eset
    </source>

    <filter oms.api.**>
      @type parser
      key_name message
      format /(?<message>.*?{.*})/
    </filter>

    <filter oms.api.**>
      @type parser
      key_name message
      format json
    </filter>

Disabilitare la configurazione automatica e riavviare l'agente

Ad esempio:

    # Disable changes to configuration files from Portal
    sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

    # Restart agent
    sudo /opt/microsoft/omsagent/bin/service_control restart

    # Check agent logs
    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

Configurare Eset SMC per l'invio di log al connettore

Configurare i log Eset usando lo stile BSD e il formato JSON.

• Passare alla configurazione del server Syslog configurare l'host (connettore), Formattare BSD e Transport TCP
• Passare alla sezione Registrazione e abilitare JSON

Per altre informazioni, vedere la documentazione di Eset.

Analisi avanzata exabeam (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog
Tabelle di Log Analytics	Syslog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	ExabeamEvent
URL della funzione Kusto:	https://aka.ms/Sentinel-Exabeam-parser
Documentazione fornitore/ istruzioni di installazione	Configurare le notifiche delle attività di sistema di Advanced Analytics
Supportato da	Microsoft

ExtraHop Reveal(x)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Documentazione fornitore/ istruzioni di installazione	Connettore SIEM di rilevamento ExtraHop
Supportato da	ExtraHop

BIG-IP F5

Attributo del connettore	Descrizione
Metodo di inserimento dati	API dell'agente di raccolta dati di Microsoft Sentinel
Tabelle di Log Analytics	F5Telemetry_LTM_CL F5Telemetry_system_CL F5Telemetry_ASM_CL
Supporto di DCR	Attualmente non supportato
Documentazione fornitore/ istruzioni di installazione	Integrazione di F5 BIG-IP con Microsoft Sentinel
Supportato da	F5 Networks

F5 Networks (ASM)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Documentazione fornitore/ istruzioni di installazione	Configurazione della registrazione eventi di sicurezza delle applicazioni
Supportato da	F5 Networks

Forcepoint Cloud Access Security Broker (CASB) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Documentazione fornitore/ istruzioni di installazione	Forcepoint CASB e Microsoft Sentinel
Supportato da	Forcepoint

Forcepoint Cloud Security Gateway (CSG) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog
Tabelle log Analytics	CommonSecurityLog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Documentazione del fornitore/ istruzioni di installazione	Forcepoint Cloud Security Gateway e Microsoft Sentinel
Supportato da	Forcepoint

Prevenzione della perdita di dati forcepoint (DLP) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	API agente di raccolta dati di Microsoft Sentinel
Tabelle log Analytics	ForcepointDLPEvents_CL
Supporto di DCR	Attualmente non supportato
Documentazione del fornitore/ istruzioni di installazione	Prevenzione della perdita di dati forcepoint e Microsoft Sentinel
Supportato da	Forcepoint

Forcepoint Next Generation Firewall (NGFW) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog
Tabelle log Analytics	CommonSecurityLog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Documentazione del fornitore/ istruzioni di installazione	Forcepoint Next-Gen Firewall e Microsoft Sentinel
Supportato da	Forcepoint

ForgeRock Common Audit (CAUD) per CEF (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog
Tabelle log Analytics	CommonSecurityLog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Documentazione del fornitore/ istruzioni di installazione	Installa questo primo! ForgeRock Common Audit (CAUD) per Microsoft Sentinel
Supportato da	ForgeRock

Fortinet

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog Inviare i log fortinet al log forwarder Disponibile nella soluzione Fortinet Fortigate
Tabelle log Analytics	CommonSecurityLog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Documentazione del fornitore/ istruzioni di installazione	Raccolta documenti Fortinet Scegliere la versione e usare i PDF diriferimento per i messaggi di log e manuale.
Supportato da	Fortinet

Inviare i log fortinet al log forwarder

Aprire l'interfaccia della riga di comando nell'appliance Fortinet ed eseguire i comandi seguenti:

config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end

• Sostituire l'indirizzo IP del server con l'indirizzo IP del log forwarder.
• Impostare la porta syslog su 514 o sulla porta impostata sul daemon Syslog sul server di inoltro.
• Per abilitare il formato CEF nelle versioni iniziali di FortiOS, potrebbe essere necessario eseguire la disabilitazione del set di comandi csv.

GitHub (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	API agente di raccolta dati di Microsoft Sentinel Disponibile solo dopo l'installazione della soluzione Continuous Threat Monitoring per GitHub .
Tabelle log Analytics	GitHubAuditLogPolling_CL
Supporto di DCR	Attualmente non supportato
Credenziali API	Token di accesso di GitHub
Istruzioni sulla distribuzione del connettore	Configurazione aggiuntiva per il connettore GitHub
Supportato da	Microsoft

Configurazione aggiuntiva per il connettore GitHub

Prerequisito: è necessario disporre di un account aziendale GitHub e di un'organizzazione accessibile per connettersi a GitHub da Microsoft Sentinel.

1. Installare la soluzione Continuous Threat Monitoring for GitHub nell'area di lavoro Microsoft Sentinel. Per altre informazioni, vedere Individuazione centrale e distribuzione di contenuti e soluzioni microsoft Sentinel out-of-box (anteprima pubblica).

2. Creare un token di accesso personale gitHub per l'uso nel connettore Microsoft Sentinel. Per altre informazioni, vedere la documentazione di GitHub pertinente.

3. Nell'area Connettori dati di Microsoft Sentinel cercare e individuare il connettore GitHub. A destra selezionare Apri connettore pagina.

4. Nell'area Configurazione della scheda Istruzioni immettere i dettagli seguenti:

   • Nome organizzazione: immettere il nome dell'organizzazione a cui si desidera connettersi.
   • Chiave API: immettere il token di accesso personale di GitHub creato in precedenza in questa procedura.

5. Selezionare Connetti per avviare l'inserimento dei log di GitHub in Microsoft Sentinel.

Google Workspace (G-Suite) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST Configurazione aggiuntiva per l'API Google Reports
Tabelle di Log Analytics	GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL
Supporto di DCR	Attualmente non supportato
Codice dell'app per le funzioni di Azure	https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp
Credenziali API	GooglePickleString
Documentazione fornitore/ istruzioni di installazione	Documentazione delle API Ottenere le credenziali in Eseguire Google Workspace Domain-Wide delega dell'autorità Convertire il file token.pickle in una stringa pickle
Istruzioni per la distribuzione del connettore	Distribuzione con clic singolo tramite il modello di Azure Resource Manager (ARM) Distribuzione manuale
Alias della funzione Kusto	GWorkspaceActivityReports
URL della funzione Kusto/ Istruzioni di configurazione del parser	https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser
Impostazioni delle applicazioni	GooglePickleString WorkspaceID workspaceKey logAnalyticsUri (facoltativo)
Supportato da	Microsoft

Configurazione aggiuntiva per l'API Google Reports

Aggiungere http://localhost:8081/ in URI di reindirizzamento autorizzati durante la creazione delle credenziali dell'applicazione Web.

1. Seguire le istruzioni per ottenere credentials.json.
2. Per ottenere la stringa pickle di Google, eseguire questo script Python (nello stesso percorso di credentials.json).
3. Copiare l'output della stringa pickle tra virgolette singole e salvare. Sarà necessario per distribuire l'app per le funzioni.

Illusive Attack Management System (AMS) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Documentazione fornitore/ istruzioni di installazione	Guida alle reti illusive Amministrazione
Supportato da	Illusive Networks

Gateway WAF Imperva (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog Disponibile nella soluzione WAF Imperva Cloud
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Documentazione fornitore/ istruzioni di installazione	Passaggi per l'abilitazione della registrazione degli avvisi del gateway WAF di Imperva in Microsoft Sentinel
Supportato da	Imperva

Infoblox Network Identity Operating System (NIOS) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog disponibile nella soluzione InfoBlox Threat Defense
Tabelle di Log Analytics	Syslog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	InfobloxNIOS
URL della funzione Kusto:	https://aka.ms/sentinelgithubparsersinfoblox
Documentazione fornitore/ istruzioni di installazione	Guida alla distribuzione di NIOS SNMP e Syslog
Supportato da	Microsoft

Juniper SRX (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog
Tabelle di Log Analytics	Syslog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	JuniperSRX
URL della funzione Kusto:	https://aka.ms/Sentinel-junipersrx-parser
Documentazione fornitore/ istruzioni di installazione	Configurare la registrazione del traffico (log dei criteri di sicurezza) per i dispositivi di ramo SRX Configurare la registrazione del sistema
Supportato da	Juniper Networks

Lookout Mobile Threat Defense (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST Disponibile solo dopo l'installazione della soluzione Lookout Mobile Threat Defense per Microsoft Sentinel
Tabelle di Log Analytics	Lookout_CL
Supporto di DCR	Attualmente non supportato
Credenziali API	Chiave dell'applicazione Lookout
Documentazione fornitore/ istruzioni di installazione	Guida all'installazione (accesso richiesto) Documentazione dell'API (accesso richiesto) Lookout Mobile Endpoint Security
Supportato da	Lookout

Microsoft 365 Defender

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connettere i dati da Microsoft 365 Defender a Microsoft Sentinel (articolo Connettore principale)
Prerequisiti di licenza/ Informazioni sui costi	Licenza valida per Microsoft 365 Defender
Tabelle di Log Analytics	Avvisi: SecurityAlert SecurityIncident Eventi di Defender per endpoint: DeviceEvents DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceFileCertificateInfo Defender per Office 365 eventi: EmailAttachmentInfo EmailUrlInfo EmailEvents EmailPostDeliveryEvents Eventi di Defender per identità: IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents Eventi di Defender for Cloud Apps: CloudAppEvents Avvisi di Defender come eventi: AlertInfo AlertEvidence
Supporto di DCR	Attualmente non supportato
Supportato da	Microsoft

Gestione dei rischi Insider Microsoft Purview (IRM) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate su API Disponibile anche nella soluzione Gestione dei rischi Insider Microsoft Purview
Licenza e altri prerequisiti	Sottoscrizione valida per i componenti aggiuntivi Microsoft 365 E5/A5/G5 o conformità o IRM associati. Gestione dei rischi Insider Microsoft Purview i criteri completamente onboarding e IRM definiti e generano avvisi. Microsoft 365 IRM configurato per abilitare l'esportazione degli avvisi IRM nell'API dell'attività di gestione di Office 365 per ricevere gli avvisi tramite il connettore Microsoft Sentinel.
Tabelle di Log Analytics	SecurityAlert
Filtro query di dati	SecurityAlert | where ProductName == "Microsoft Purview Insider Risk Management"
Supportato da	Microsoft

Microsoft Defender for Cloud

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connettere gli avvisi di sicurezza da Microsoft Defender for Cloud (Articolo sul connettore principale)
Tabelle di Log Analytics	SecurityAlert
Supportato da	Microsoft

Microsoft Defender for Cloud Apps

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sulle API Per i log di Cloud Discovery, abilitare Microsoft Sentinel come SIEM in Microsoft Defender for Cloud Apps
Tabelle log Analytics	SecurityAlert : per gli avvisi McasShadowItReporting - per i log di Cloud Discovery
Supportato da	Microsoft

Microsoft Defender for Endpoint

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sulle API
Prerequisiti delle licenze/ Informazioni sui costi	Licenza valida per la distribuzione di Microsoft Defender per endpoint
Tabelle log Analytics	SecurityAlert
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Supportato da	Microsoft

Microsoft Defender per identità

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sulle API
Tabelle log Analytics	SecurityAlert
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Supportato da	Microsoft

Microsoft Defender per IoT

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sulle API
Tabelle log Analytics	SecurityAlert
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Supportato da	Microsoft

Microsoft Defender per Office 365

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sulle API
Prerequisiti delle licenze/ Informazioni sui costi	È necessario disporre di una licenza valida per Office 365 ATP Piano 2
Tabelle log Analytics	SecurityAlert
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Supportato da	Microsoft

Microsoft Office 365

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sulle API
Prerequisiti delle licenze/ Informazioni sui costi	La distribuzione di Office 365 deve trovarsi nello stesso tenant dell'area di lavoro di Microsoft Sentinel. Altri addebiti possono essere applicati.
Tabelle log Analytics	OfficeActivity
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Supportato da	Microsoft

Microsoft Power BI (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sulle API
Prerequisiti delle licenze/ Informazioni sui costi	La distribuzione di Office 365 deve trovarsi nello stesso tenant dell'area di lavoro di Microsoft Sentinel. Altri addebiti possono essere applicati.
Tabelle log Analytics	PowerBIActivity
Supportato da	Microsoft

Microsoft Project (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate su API
Prerequisiti di licenza/ Informazioni sui costi	La distribuzione Office 365 deve trovarsi nello stesso tenant dell'area di lavoro di Microsoft Sentinel. Possono essere applicati altri addebiti.
Tabelle di Log Analytics	ProjectActivity
Supportato da	Microsoft

Microsoft Sysmon per Linux (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog, con parser ASIM basati su funzioni Kusto
Tabelle di Log Analytics	Syslog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Supportato da	Microsoft

Morphisec UTPP (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog, con un parser di funzioni Kusto
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	Morphisec
URL della funzione Kusto	https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Morphisec/Parsers/Morphisec/
Supportato da	Morphisec

Netskope (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST
Tabelle di Log Analytics	Netskope_CL
Supporto di DCR	Attualmente non supportato
Codice dell'app per le funzioni di Azure	https://aka.ms/Sentinel-netskope-functioncode
Credenziali API	Netskope API Token
Documentazione fornitore/ istruzioni di installazione	Netskope Cloud Security Platform Documentazione dell'API Netskope Ottenere un token API
Istruzioni per la distribuzione del connettore	Distribuzione con clic singolo tramite il modello di Azure Resource Manager (ARM) Distribuzione manuale
Alias della funzione Kusto	Netskope
URL della funzione Kusto/ Istruzioni di configurazione del parser	https://aka.ms/Sentinel-netskope-parser
Impostazioni delle applicazioni	apikey workspaceID workspaceKey URI (dipende dall'area, schema seguente: https://<Tenant Name>.goskope.com) timeInterval (impostato su 5) logTypes logAnalyticsUri (facoltativo)
Supportato da	Microsoft

Server HTTP NGINX (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Agente di Log Analytics - Log personalizzati
Tabelle di Log Analytics	NGINX_CL
Supporto di DCR	Attualmente non supportato
Alias della funzione Kusto:	NGINXHTTPServer
URL della funzione Kusto	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/NGINX%20HTTP%20Server/Parsers/NGINXHTTPServer.txt
Documentazione fornitore/ istruzioni di installazione	Ngx_http_log_module del modulo
File di esempio di log personalizzato:	access.log o errore.log
Supportato da	Microsoft

NXLog Basic Security Module (BSM) macOS (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	API dell'agente di raccolta dati di Microsoft Sentinel
Tabelle di Log Analytics	BSMmacOS_CL
Supporto di DCR	Attualmente non supportato
Documentazione fornitore/ istruzioni di installazione	Guida dell'utente di NXLog Microsoft Sentinel
Supportato da	NXLog

Log DNS di NXLog (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	API agente di raccolta dati di Microsoft Sentinel
Tabelle log Analytics	DNS_Logs_CL
Supporto di DCR	Attualmente non supportato
Documentazione del fornitore/ istruzioni di installazione	Guida utente di NXLog Microsoft Sentinel
Supportato da	NXLog

NXLog LinuxAudit (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	API agente di raccolta dati di Microsoft Sentinel
Tabelle log Analytics	LinuxAudit_CL
Supporto di DCR	Attualmente non supportato
Documentazione del fornitore/ istruzioni di installazione	Guida utente di NXLog Microsoft Sentinel
Supportato da	NXLog

Okta Single Sign-On (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST
Tabelle log Analytics	Okta_CL
Supporto di DCR	Attualmente non supportato
Codice app per le funzioni di Azure	https://aka.ms/sentineloktaazurefunctioncodev2
Credenziali API	API Token
Documentazione del fornitore/ istruzioni di installazione	Documentazione dell'API log di sistema okta Creare un token API Connettere Okta SSO a Microsoft Sentinel
Istruzioni sulla distribuzione del connettore	Distribuzione a clic singolo tramite modello di Azure Resource Manager (ARM) Distribuzione manuale
Impostazioni delle applicazioni	apiToken workspaceID workspaceKey uri (segue lo schema https://<OktaDomain>/api/v1/logs?since=. Identificare lo spazio dei nomi del dominio. logAnalyticsUri (facoltativo)
Supportato da	Microsoft

Piattaforma Onapsis (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog, con una funzione di ricerca e arricchimento Kusto Configurare Onapsis per inviare i log CEF al log forwarder
Tabelle log Analytics	CommonSecurityLog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Alias della funzione Kusto:	incident_lookup
URL della funzione Kusto	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Onapsis%20Platform/Parsers/OnapsisLookup.txt
Supportato da	Onapsis

Configurare Onapsis per inviare i log CEF al log forwarder

Fare riferimento alla Guida in-product Onapsis per configurare l'inoltro dei log all'agente di Log Analytics.

1. Passare all'installazione > di integrazioni di terze parti Per difendere gli > avvisi e seguire le istruzioni per Microsoft Sentinel.
2. Assicurarsi che la console Onapsis possa raggiungere il computer di inoltro log in cui è installato l'agente. I log devono essere inviati alla porta 514 usando TCP.

Una protezione delle identità (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog
Tabelle log Analytics	CommonSecurityLog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Documentazione del fornitore/ istruzioni di installazione	Guida all'amministrazione di un'identità per le sessioni con privilegi
Supportato da	One Identity

Oracle WebLogic Server (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Agente di Log Analytics - log personalizzati
Tabelle log Analytics	OracleWebLogicServer_CL
Supporto di DCR	Attualmente non supportato
Alias della funzione Kusto:	OracleWebLogicServerEvent
URL della funzione Kusto:	https://aka.ms/Sentinel-OracleWebLogicServer-parser
Documentazione del fornitore/ istruzioni di installazione	Documentazione di Oracle WebLogic Server
File di esempio di log personalizzato:	server.log
Supportato da	Microsoft

Sicurezza orca (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	API agente di raccolta dati di Microsoft Sentinel
Tabelle log Analytics	OrcaAlerts_CL
Supporto di DCR	Attualmente non supportato
Documentazione del fornitore/ istruzioni di installazione	Integrazione di Microsoft Sentinel
Supportato da	Orca Security

OSSEC (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog, con un parser di funzioni Kusto
Tabelle log Analytics	CommonSecurityLog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Alias della funzione Kusto:	OSSECEvent
URL della funzione Kusto:	https://aka.ms/Sentinel-OSSEC-parser
Documentazione del fornitore/ istruzioni di installazione	Documentazione di OSSEC Invio di avvisi tramite syslog
Supportato da	Microsoft

Palo Alto Networks

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog Disponibile anche nelle soluzioni Palo Alto PAN-OS e Prisma
Tabelle log Analytics	CommonSecurityLog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Documentazione del fornitore/ istruzioni di installazione	Guide di configurazione common event format (CEF) Configurare il monitoraggio syslog
Supportato da	Palo Alto Networks

Log attività perimetrale 81 (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	API agente di raccolta dati di Microsoft Sentinel
Tabelle log Analytics	Perimeter81_CL
Supporto di DCR	Attualmente non supportato
Documentazione del fornitore/ istruzioni di installazione	Documentazione di Perimetrale 81
Supportato da	Perimeter 81

Proofpoint On Demand (POD) Email Sicurezza (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST Disponibile anche nella soluzione Proofpoint POD
Tabelle log Analytics	ProofpointPOD_message_CL ProofpointPOD_maillog_CL
Supporto di DCR	Attualmente non supportato
Codice app per le funzioni di Azure	https://aka.ms/Sentinel-proofpointpod-functionapp
Credenziali API	ProofpointClusterID ProofpointToken
Documentazione del fornitore/ istruzioni di installazione	Accedere alla Community di Proofpoint Documentazione e istruzioni sull'API proofpoint
Istruzioni sulla distribuzione del connettore	Distribuzione a clic singolo tramite modello di Azure Resource Manager (ARM) Distribuzione manuale
Alias della funzione Kusto	ProofpointPOD
URL funzione Kusto/ Istruzioni di configurazione del parser	https://aka.ms/Sentinel-proofpointpod-parser
Impostazioni delle applicazioni	ProofpointClusterID ProofpointToken WorkspaceID WorkspaceKey logAnalyticsUri (facoltativo)
Supportato da	Microsoft

Proofpoint Targeted Attack Protection (TAP) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST Disponibile anche nella soluzione Tap proofpoint
Tabelle di Log Analytics	ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL
Supporto di DCR	Attualmente non supportato
Codice dell'app per le funzioni di Azure	https://aka.ms/sentinelproofpointtapazurefunctioncode
Credenziali API	Nome utente API API Password
Documentazione fornitore/ istruzioni di installazione	Documentazione dell'API SIEM di Proofpoint
Istruzioni per la distribuzione del connettore	Distribuzione con clic singolo tramite il modello di Azure Resource Manager (ARM) Distribuzione manuale
Impostazioni delle applicazioni	apiUsername apiUsername uri (impostato su https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300) WorkspaceID WorkspaceKey logAnalyticsUri (facoltativo)
Supportato da	Microsoft

Pulse Connect Secure (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog
Tabelle di Log Analytics	Syslog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	PulseConnectSecure
URL della funzione Kusto:	https://aka.ms/sentinelgithubparserspulsesecurevpn
Documentazione fornitore/ istruzioni di installazione	Configurazione di Syslog
Supportato da	Microsoft

KnowledgeBase della macchina virtuale Qualys (KB) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST Configurazione aggiuntiva per la knowledge base della macchina virtuale Qualys Disponibile anche nella soluzione vm Qualys
Tabelle di Log Analytics	QualysKB_CL
Supporto di DCR	Attualmente non supportato
Codice dell'app per le funzioni di Azure	https://aka.ms/Sentinel-qualyskb-functioncode
Credenziali API	Nome utente API API Password
Documentazione fornitore/ istruzioni di installazione	Guida dell'utente dell'API QualysVM
Istruzioni per la distribuzione del connettore	Distribuzione con clic singolo tramite il modello di Azure Resource Manager (ARM) Distribuzione manuale
Alias della funzione Kusto	QualysKB
URL della funzione Kusto/ Istruzioni di configurazione del parser	https://aka.ms/Sentinel-qualyskb-parser
Impostazioni delle applicazioni	apiUsername apiUsername uri (in base all'area; vedere Elenco dei server API. Segue lo schema https://<API Server>/api/2.0. WorkspaceID WorkspaceKey filterParameters (aggiungere alla fine dell'URI, delimitato da &. Nessuna spazi. logAnalyticsUri (facoltativo)
Supportato da	Microsoft

Configurazione aggiuntiva per la knowledge base della macchina virtuale Qualys

1. Accedere alla console Qualys Vulnerability Management con un account amministratore, selezionare la scheda Utenti e la sottotabula Utenti .
2. Selezionare il menu a discesa Nuovo e selezionare Utenti.
3. Creare un nome utente e una password per l'account API.
4. Nella scheda Ruoli utente verificare che il ruolo dell'account sia impostato su Manager e che l'accesso sia consentito a GUI e API
5. Disconnettersi dall'account amministratore e accedere alla console con le nuove credenziali API per la convalida, quindi disconnettersi dall'account API.
6. Accedere nuovamente alla console usando un account amministratore e modificare gli account API Ruoli utente, rimuovendo l'accesso alla GUI.
7. Salvare tutte le modifiche.

Qualys Vulnerability Management (VM) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST Configurazione aggiuntiva per la macchina virtuale Qualys Distribuzione manuale: dopo la configurazione dell'app per le funzioni
Tabelle log Analytics	QualysHostDetection_CL
Supporto di DCR	Attualmente non supportato
Codice app per le funzioni di Azure	https://aka.ms/sentinelqualysvmazurefunctioncode
Credenziali API	Nome utente API API Password
Documentazione del fornitore/ istruzioni di installazione	Guida utente dell'API QualysVM
Istruzioni sulla distribuzione del connettore	Distribuzione a clic singolo tramite modello di Azure Resource Manager (ARM) Distribuzione manuale
Impostazioni delle applicazioni	apiUsername apiUsername uri (in base all'area; vedere Elenco server API. Segue lo schema https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=. WorkspaceID WorkspaceKey filterParameters (aggiungere alla fine dell'URI, delimitato da &. Nessuna spazi. timeInterval (impostato su 5. Se si modifica, modificare il trigger timer dell'app per le funzioni di conseguenza. logAnalyticsUri (facoltativo)
Supportato da	Microsoft

Configurazione aggiuntiva per la macchina virtuale Qualys

1. Accedere alla console di gestione delle vulnerabilità Qualys con un account amministratore, selezionare la scheda Utenti e la sottotabula Utenti .
2. Selezionare il menu a discesa Nuovo e selezionare Utenti.
3. Creare un nome utente e una password per l'account API.
4. Nella scheda Ruoli utente verificare che il ruolo dell'account sia impostato su Manager e l'accesso sia consentito a GUI e API
5. Disconnettersi dall'account amministratore e accedere alla console con le nuove credenziali API per la convalida, quindi disconnettersi dall'account API.
6. Accedere alla console usando un account amministratore e modificare gli account API Ruoli utente, rimuovendo l'accesso all'interfaccia utente.
7. Salvare tutte le modifiche.

Distribuzione manuale: dopo la configurazione dell'app per le funzioni

Configurare il file host.json

A causa della quantità potenzialmente elevata di dati di rilevamento host Qualys inseriti, il tempo di esecuzione può superare il timeout predefinito dell'app per le funzioni di cinque minuti. Aumentare la durata predefinita del timeout al massimo di 10 minuti, sotto il piano di consumo, per consentire più tempo per l'esecuzione dell'app per le funzioni.

1. Nell'app per le funzioni selezionare il nome dell'app per le funzioni e selezionare la pagina servizio app Editor.
2. Selezionare Vai per aprire l'editor e quindi selezionare il file host.json nella directory wwwroot .
3. Aggiungere la riga sopra la managedDependancy riga"functionTimeout": "00:10:00",.
4. Assicurarsi che SAVED venga visualizzato nell'angolo in alto a destra dell'editor, quindi uscire dall'editor.

Se è necessaria una durata di timeout più lunga, è consigliabile eseguire l'aggiornamento a un piano di servizio app.

Salesforce Service Cloud (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST
Tabelle log Analytics	SalesforceServiceCloud_CL
Supporto di DCR	Attualmente non supportato
Codice app per le funzioni di Azure	https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp
Credenziali API	Nome utente dell'API Salesforce Password dell'API Salesforce Token di sicurezza salesforce Chiave consumer salesforce Segreto consumer salesforce
Documentazione del fornitore/ istruzioni di installazione	Guida per sviluppatori api REST salesforce In Configura autorizzazione usare il metodo ID sessione anziché OAuth.
Istruzioni sulla distribuzione del connettore	Distribuzione a clic singolo tramite modello di Azure Resource Manager (ARM) Distribuzione manuale
Alias della funzione Kusto	SalesforceServiceCloud
URL funzione Kusto/ Istruzioni di configurazione del parser	https://aka.ms/Sentinel-SalesforceServiceCloud-parser
Impostazioni delle applicazioni	SalesforceUser SalesforcePass SalesforceSecurityToken SalesforceConsumerKey SalesforceConsumerSecret WorkspaceID WorkspaceKey logAnalyticsUri (facoltativo)
Supportato da	Microsoft

Eventi di sicurezza tramite Agente legacy (Windows)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sull'agente di Log Analytics (legacy)
Tabelle log Analytics	SecurityEvents
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Supportato da	Microsoft

Per altre informazioni, vedere:

• Set di eventi di sicurezza di Windows che possono essere inviati a Microsoft Sentinel
• Installazione della cartella di lavoro dei protocolli non sicuri
• eventi Sicurezza di Windows tramite il connettore AMA basato sull'agente di Monitoraggio di Azure
• Configurare il connettore Eventi di sicurezza/eventi Sicurezza di Windows per il rilevamento anomalo dell'accesso RDP.

SentinelOne (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST Configurazione aggiuntiva per SentinelOne
Tabelle di Log Analytics	SentinelOne_CL
Supporto di DCR	Attualmente non supportato
Codice dell'app per le funzioni di Azure	https://aka.ms/Sentinel-SentinelOneAPI-functionapp
Credenziali API	SentinelOneAPIToken SentinelOneUrl (https://<SOneInstanceDomain>.sentinelone.net)
Documentazione fornitore/ istruzioni di installazione	<SOneInstanceDomain>https://.sentinelone.net/api-doc/overview Vedere le istruzioni seguenti
Istruzioni per la distribuzione del connettore	Distribuzione con clic singolo tramite il modello di Azure Resource Manager (ARM) Distribuzione manuale
Alias della funzione Kusto	SentinelOne
URL della funzione Kusto/ Istruzioni di configurazione del parser	https://aka.ms/Sentinel-SentinelOneAPI-parser
Impostazioni delle applicazioni	SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (facoltativo)
Supportato da	Microsoft

Configurazione aggiuntiva per SentinelOne

Seguire le istruzioni per ottenere le credenziali.

1. Accedere a SentinelOne Management Console con Amministrazione credenziali utente.
2. Nella Console di gestione selezionare Impostazioni.
3. Nella visualizzazione IMPOSTAZIONI selezionare UTENTI
4. Selezionare Nuovo utente.
5. Immettere le informazioni per il nuovo utente della console.
6. In Ruolo selezionare Amministrazione.
7. Selezionare SALVA
8. Salvare le credenziali del nuovo utente per l'uso nel connettore dati.

Firewall di SonicWall (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Documentazione fornitore/ istruzioni di installazione	Log > Syslog Selezionare facility local4 e ArcSight come formato Syslog.
Supportato da	SonicWALL

Sophos Cloud Optix (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	API dell'agente di raccolta dati di Microsoft Sentinel
Tabelle di Log Analytics	SophosCloudOptix_CL
Supporto di DCR	Attualmente non supportato
Documentazione fornitore/ istruzioni di installazione	Eseguire l'integrazione con Microsoft Sentinel ignorando il primo passaggio. Esempi di query Sophos
Supportato da	Sophos

Firewall Sophos XG (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog
Tabelle di Log Analytics	Syslog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	SophosXGFirewall
URL della funzione Kusto:	https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Sophos%20XG%20Firewall/Parsers/SophosXGFirewall.txt
Documentazione fornitore/ istruzioni di installazione	Aggiungere un server syslog
Supportato da	Microsoft

Squadra Technologies secRMM

Attributo del connettore	Descrizione
Metodo di inserimento dati	API dell'agente di raccolta dati di Microsoft Sentinel
Tabelle di Log Analytics	secRMM_CL
Supporto di DCR	Attualmente non supportato
Documentazione fornitore/ istruzioni di installazione	SecRMM Guida per l'amministratore di Microsoft Sentinel
Supportato da	Squadra Technologies

Proxy Squid (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Agente di Log Analytics - Log personalizzati
Tabelle di Log Analytics	SquidProxy_CL
Supporto di DCR	Attualmente non supportato
Alias della funzione Kusto:	SquidProxy
URL della funzione Kusto	https://aka.ms/Sentinel-squidproxy-parser
File di esempio di log personalizzato:	access.log o cache.log
Supportato da	Microsoft

Symantec Integrated Cyber Defense Exchange (ICDx)

Attributo del connettore	Descrizione
Metodo di inserimento dati	API dell'agente di raccolta dati di Microsoft Sentinel
Tabelle di Log Analytics	SymantecICDx_CL
Supporto di DCR	Attualmente non supportato
Documentazione fornitore/ istruzioni di installazione	Configurazione di server d'inoltro di Microsoft Sentinel (Log Analytics)
Supportato da	Broadcom Symantec

Symantec ProxySG (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog
Tabelle di Log Analytics	Syslog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	SymantecProxySG
URL della funzione Kusto:	https://aka.ms/sentinelgithubparserssymantecproxysg
Documentazione fornitore/ istruzioni di installazione	Invio di log di accesso a un server Syslog
Supportato da	Microsoft

Indirizzo VIP Symantec (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog
Tabelle di Log Analytics	Syslog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	SymantecVIP
URL della funzione Kusto:	https://aka.ms/sentinelgithubparserssymantecvip
Documentazione fornitore/ istruzioni di installazione	Configurazione di syslog
Supportato da	Microsoft

Thycotic Secret Server (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Documentazione fornitore/ istruzioni di installazione	Registrazione syslog/CEF sicura
Supportato da	Timocotico

Trend Micro Deep Security

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog, con un parser di funzioni Kusto
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	TrendMicroDeepSecurity
URL della funzione Kusto	https://aka.ms/TrendMicroDeepSecurityFunction
Documentazione fornitore/ istruzioni di installazione	Inoltrare gli eventi di Deep Security a un server Syslog o SIEM
Supportato da	Trend Micro

Trend Micro TippingPoint (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog, con un parser di funzioni Kusto
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	TrendMicroTippingPoint
URL della funzione Kusto	https://aka.ms/Sentinel-trendmicrotippingpoint-function
Documentazione fornitore/ istruzioni di installazione	Inviare messaggi Syslog nel formato CEF di ArcSight v4.2.
Supportato da	Trend Micro

Trend Micro Vision One (XDR) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST
Tabelle di Log Analytics	TrendMicro_XDR_CL
Supporto di DCR	Attualmente non supportato
Credenziali API	API Token
Documentazione fornitore/ istruzioni di installazione	Trend Micro Vision One API Recupero delle chiavi API per l'accesso di terze parti
Istruzioni per la distribuzione del connettore	Distribuzione con clic singolo tramite il modello di Azure Resource Manager (ARM)
Supportato da	Trend Micro

VMware Carbon Black Endpoint Standard (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST
Tabelle di Log Analytics	CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL
Supporto di DCR	Attualmente non supportato
Codice dell'app per le funzioni di Azure	https://aka.ms/sentinelcarbonblackazurefunctioncode
Credenziali API	Livello di accesso api (per i log di controllo ed eventi ): API ID Chiave API Livello di accesso SIEM (per gli eventi di notifica ): SIEM API ID Chiave API SIEM
Documentazione fornitore/ istruzioni di installazione	Documentazione dell'API Carbon Black Creazione di una chiave API
Istruzioni per la distribuzione del connettore	Distribuzione con clic singolo tramite il modello di Azure Resource Manager (ARM) Distribuzione manuale
Impostazioni delle applicazioni	apiId apiKey WorkspaceID WorkspaceKey uri (per area; vedere l'elenco delle opzioni. Schema seguente: https://<API URL>.conferdeploy.net.) timeInterval (impostato su 5) SIEMapiId (se si inseriscono eventi di notifica ) SIEMapiKey (se si inseriscono eventi di notifica ) logAnalyticsUri (facoltativo)
Supportato da	Microsoft

VMware ESXi (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog
Tabelle di Log Analytics	Syslog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Alias della funzione Kusto:	VMwareESXi
URL della funzione Kusto:	https://aka.ms/Sentinel-vmwareesxi-parser
Documentazione fornitore/ istruzioni di installazione	Abilitazione di syslog in ESXi 3.5 e 4.x Configurare Syslog negli host ESXi
Supportato da	Microsoft

WatchGuard Firebox (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Syslog
Tabelle log Analytics	Syslog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Alias della funzione Kusto:	WatchGuardFirebox
URL della funzione Kusto:	https://aka.ms/Sentinel-watchguardfirebox-parser
Documentazione del fornitore/ istruzioni di installazione	Guida all'integrazione di Microsoft Sentinel
Supportato da	WatchGuard Technologies

WireX Network Forensics Platform (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog
Tabelle log Analytics	CommonSecurityLog
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Documentazione del fornitore/ istruzioni di installazione	Contattare il supporto di WireX per configurare la soluzione NFP per inviare messaggi Syslog in formato CEF.
Supportato da	Sistemi WireX

Server DNS Windows (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sull'agente di Log Analytics (legacy)
Tabelle log Analytics	DnsEvents DnsInventory
Supporto di DCR	Registro di dominio della trasformazione dell'area di lavoro
Supportato da	Microsoft

Risoluzione dei problemi relativi al connettore dati di Windows DNS Server

Se gli eventi DNS non vengono visualizzati in Microsoft Sentinel:

1. Assicurarsi che i log di analisi DNS nei server siano abilitati.
2. Passare ad Analisi DNS di Azure.
3. Nell'area Configurazione modificare una delle impostazioni e salvare le modifiche. Modificare nuovamente le impostazioni se è necessario e quindi salvare di nuovo le modifiche.
4. Controllare l'analisi DNS di Azure per assicurarsi che gli eventi e le query vengano visualizzati correttamente.

Per altre informazioni, vedere Raccogliere informazioni dettagliate sull'infrastruttura DNS con la soluzione DNS Analytics Preview.

Eventi inoltrati di Windows (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate su Agente di Monitoraggio di Azure Istruzioni aggiuntive per la distribuzione del connettore Eventi inoltrati di Windows
Prerequisiti	È necessario avere abilitata e in esecuzione La raccolta eventi di Windows (WEC). Installare l'agente di Monitoraggio di Azure nel computer WEC.
Prefisso query xPath	"ForwardedEvents!*"
Tabelle log Analytics	WindowsEvents
Supporto di DCR	Registro di dominio standard
Supportato da	Microsoft

Istruzioni aggiuntive per la distribuzione del connettore Eventi inoltrati di Windows

È consigliabile installare i parser Advanced Security Information Model (ASIM) per garantire il supporto completo per la normalizzazione dei dati. È possibile distribuire questi parser dal repository GitHub usando ilAzure-Sentinel pulsante Distribuisci in Azure.

Windows Firewall

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate sull'agente di Log Analytics (legacy)
Tabelle log Analytics	WindowsFirewall
Supportato da	Microsoft

Eventi di Sicurezza di Windows tramite AMA

Attributo del connettore	Descrizione
Metodo di inserimento dati	Integrazione da servizio a servizio di Azure: Connessioni basate su Agente di Monitoraggio di Azure
Prefisso query xPath	"Sicurezza!*"
Tabelle log Analytics	SecurityEvents
Supporto di DCR	Registro di dominio standard
Supportato da	Microsoft

Vedere anche: Eventi di sicurezza tramite connettore agente legacy .

Configurare il connettore Eventi di sicurezza/Sicurezza di Windows per il rilevamento anomalo dell'accesso RDP

Importante

Il rilevamento di accesso RDP anomalo è attualmente disponibile in anteprima pubblica. Questa funzionalità viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.

Microsoft Sentinel può applicare machine learning (ML) ai dati degli eventi di sicurezza per identificare l'attività di accesso RDP (Remote Desktop Protocol) anomalo. Alcuni scenari includono:

• IP insolito : l'indirizzo IP ha raramente o mai stato osservato negli ultimi 30 giorni

• Posizione geografica insolita : l'indirizzo IP, la città, il paese e l'ASN raramente o non sono mai stati osservati negli ultimi 30 giorni

• Nuovo utente: un nuovo utente accede da un indirizzo IP e da una posizione geografica, entrambi o uno dei quali non dovrebbero essere visualizzati in base ai dati dei 30 giorni precedenti.

Istruzioni di configurazione

1. È necessario raccogliere dati di accesso RDP (ID evento 4624) tramite gli eventi di sicurezza o i connettori dati eventi di Sicurezza di Windows. Assicurarsi di aver selezionato un set di eventi oltre a "None" o di creare una regola di raccolta dati che include questo ID evento, per trasmettere in Microsoft Sentinel.

2. Nel portale di Microsoft Sentinel selezionare Analisi e quindi selezionare la scheda Modelli di regola . Scegliere la regola di rilevamento accessi RDP anomali (anteprima) e spostare il dispositivo di scorrimento Stato su Abilitato.

   Nota

   Poiché l'algoritmo di Machine Learning richiede 30 giorni di dati per creare un profilo di base del comportamento dell'utente, è necessario consentire la raccolta di 30 giorni di dati degli eventi Sicurezza di Windows prima che sia possibile rilevare eventuali eventi imprevisti.

Workplace from Facebook (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST Configurare i webhook Aggiungere l'URL di callback alla configurazione webhook
Tabelle log Analytics	Workplace_Facebook_CL
Supporto di DCR	Attualmente non supportato
Codice app per le funzioni di Azure	https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Workplace%20from%20Facebook/Data%20Connectors/WorkplaceFacebook/WorkplaceFacebookWebhooksSentinelConn.zip
Credenziali API	WorkplaceAppSecret WorkplaceVerifyToken
Documentazione del fornitore/ istruzioni di installazione	Configurare i webhook Configurare le autorizzazioni
Istruzioni sulla distribuzione del connettore	Distribuzione a clic singolo tramite modello di Azure Resource Manager (ARM) Distribuzione manuale
Alias della funzione Kusto	Workplace_Facebook
URL funzione Kusto/ Istruzioni di configurazione del parser	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Workplace%20from%20Facebook/Parsers/Workplace_Facebook.txt
Impostazioni delle applicazioni	WorkplaceAppSecret WorkplaceVerifyToken WorkspaceID WorkspaceKey logAnalyticsUri (facoltativo)
Supportato da	Microsoft

Configurare i webhook

1. Accedere a Workplace con le credenziali utente Amministrazione.
2. Nel pannello Amministrazione selezionare Integrazioni.
3. Nella visualizzazione Tutte le integrazioni selezionare Crea integrazione personalizzata.
4. Immettere il nome e la descrizione e selezionare Crea.
5. Nel pannello Dettagli integrazione visualizzare il segreto dell'app e copiarlo.
6. Nel pannello Autorizzazioni di integrazione impostare tutte le autorizzazioni di lettura. Per informazioni dettagliate, vedere la pagina delle autorizzazioni .

Aggiungere l'URL di callback alla configurazione webhook

1. Aprire la pagina dell'app per le funzioni, passare all'elenco Funzioni , selezionare Recupera URL funzione e copiarlo.
2. Indietro a Workplace da Facebook. Nel pannello Configura webhook , in ogni scheda impostare l'URL di callback come URL di funzione copiato nell'ultimo passaggio e il token Verifica dello stesso valore ricevuto durante la distribuzione automatica o immesso durante la distribuzione manuale.
3. Selezionare Salva.

Zimperium Mobile Thread Defense (anteprima)

Zimperium Mobile Threat Defense data connector connette il log delle minacce Zimperium a Microsoft Sentinel per visualizzare i dashboard, creare avvisi personalizzati e migliorare l'analisi. Questo connettore offre maggiori informazioni sul panorama delle minacce per dispositivi mobili dell'organizzazione e migliora le funzionalità dell'operazione di sicurezza.

Per altre informazioni, vedere Connettere Zimperium a Microsoft Sentinel.

Attributo del connettore	Descrizione
Metodo di inserimento dati	API agente di raccolta dati di Microsoft Sentinel Configurare e connettere Zimperium MTD
Tabelle log Analytics	ZimperiumThreatLog_CL ZimperiumMitigationLog_CL
Supporto di DCR	Attualmente non supportato
Documentazione del fornitore/ istruzioni di installazione	Portale di supporto clienti zimperium (obbligatorio l'accesso)
Supportato da	Zimperium

Configurare e connettere Zimperium MTD

1. In zConsole selezionare Gestisci sulla barra di spostamento.
2. Selezionare la scheda Integrazioni .
3. Selezionare il pulsante Report minacce e quindi il pulsante Aggiungi integrazioni .
4. Creare l'integrazione:
   1. Nelle integrazioni disponibili selezionare Microsoft Sentinel.
   2. Immettere l'ID dell'area di lavoro e la chiave primaria, selezionare Avanti.
   3. Compilare un nome per l'integrazione di Microsoft Sentinel.
   4. Selezionare un livello di filtro per i dati delle minacce che si desidera eseguire il push in Microsoft Sentinel.
   5. Selezionare Fine.

Report di zoom (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Funzioni di Azure e l'API REST
Tabelle log Analytics	Zoom_CL
Supporto di DCR	Attualmente non supportato
Codice app per le funzioni di Azure	https://aka.ms/Sentinel-ZoomAPI-functionapp
Credenziali API	ZoomApiKey ZoomApiSecret
Documentazione del fornitore/ istruzioni di installazione	Ottenere le credenziali con JWT con Zoom
Istruzioni per la distribuzione del connettore	Distribuzione con clic singolo tramite il modello di Azure Resource Manager (ARM) Distribuzione manuale
Alias della funzione Kusto	Zoom
URL della funzione Kusto/ Istruzioni di configurazione del parser	https://aka.ms/Sentinel-ZoomAPI-parser
Impostazioni delle applicazioni	ZoomApiKey ZoomApiSecret WorkspaceID WorkspaceKey logAnalyticsUri (facoltativo)
Supportato da	Microsoft

Zscaler

Attributo del connettore	Descrizione
Metodo di inserimento dati	Common Event Format (CEF) su Syslog
Tabelle di Log Analytics	CommonSecurityLog
Supporto di DCR	DCR per la trasformazione dell'area di lavoro
Documentazione fornitore/ istruzioni di installazione	Guida alla distribuzione di Zscaler e Microsoft Sentinel
Supportato da	Zscaler

Zscaler Private Access (ZPA) (anteprima)

Attributo del connettore	Descrizione
Metodo di inserimento dati	Agente di Log Analytics - Log personalizzati Configurazione aggiuntiva per L'accesso privato Zscaler
Tabelle di Log Analytics	ZPA_CL
Supporto di DCR	Attualmente non supportato
Alias della funzione Kusto:	ZPAEvent
URL della funzione Kusto	https://aka.ms/Sentinel-zscalerprivateaccess-parser
Documentazione fornitore/ istruzioni di installazione	Documentazione di Zscaler Private Access Vedere anche di seguito
Supportato da	Microsoft

Configurazione aggiuntiva per L'accesso privato Zscaler

Seguire la procedura di configurazione seguente per ottenere i log di Accesso privato di Zscaler in Microsoft Sentinel. Per altre informazioni, vedere la documentazione di Monitoraggio di Azure. I log di accesso privato di Zscaler vengono recapitati tramite il servizio LSS (Log Streaming Service). Per informazioni dettagliate, vedere la documentazione di LSS .

1. Configurare i ricevitori di log. Durante la configurazione di un ricevitore di log, scegliere JSON come modello di log.

2. Scaricare il file di configurazione zpa.conf.

   wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
   

3. Accedere al server in cui è stato installato l'agente di Azure Log Analytics.

4. Copiare zpa.conf nella cartella /etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/.

5. Modificare zpa.conf come indicato di seguito:

   1. Specificare la porta impostata dai ricevitori di log Zscaler per inoltrare i log a (riga 4)
   2. Sostituire workspace_id con il valore reale dell'ID area di lavoro (righe 14,15,16,19)

6. Salvare le modifiche e riavviare l'agente di Azure Log Analytics per il servizio Linux con il comando seguente:

   sudo /opt/microsoft/omsagent/bin/service_control restart
   

È possibile trovare il valore dell'ID dell'area di lavoro nella pagina del connettore ZScaler Private Access o nella pagina di gestione degli agenti dell'area di lavoro Log Analytics.

Passaggi successivi

Per altre informazioni, vedere:

• Catalogo delle soluzioni di Microsoft Sentinel
• Integrazione dell'intelligence sulle minacce in Microsoft Sentinel