Connettori dati di Microsoft Sentinel

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud statunitensi per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti us government.

Dopo aver eseguito l'onboarding di Microsoft Sentinel nell'area di lavoro, è possibile usare i connettori dati per iniziare a inserire i dati in Microsoft Sentinel. Microsoft Sentinel include molti connettori predefiniti per i servizi Microsoft, che è possibile integrare in tempo reale. Ad esempio, il connettore Microsoft 365 Defender è un connettore da servizio a servizio che integra i dati da Office 365, Azure Active Directory (Azure AD), Microsoft Defender per identità e Microsoft Defender for Cloud Apps.

È anche possibile abilitare connettori predefiniti per l'ecosistema di sicurezza più ampio per i prodotti non Microsoft. Ad esempio, è possibile usare Syslog, Common Event Format (CEF) o API REST per connettere le origini dati con Microsoft Sentinel.

Informazioni sui tipi di connettori dati di Microsoft Sentinel o informazioni sul catalogo di soluzioni Microsoft Sentinel.

La pagina Connettori dati di Microsoft Sentinel mostra l'elenco completo dei connettori e il relativo stato nell'area di lavoro.

Screenshot della raccolta connettori dati.

Abilitare un connettore dati

Selezionare il connettore che si desidera connettere e quindi selezionare Apri connettore pagina.

  • Dopo aver soddisfatto tutti i prerequisiti elencati nella scheda Istruzioni , la pagina del connettore descrive come inserire i dati in Microsoft Sentinel. Potrebbero essere necessari alcuni tempi per l'arrivo dei dati. Dopo la connessione, viene visualizzato un riepilogo dei dati nel grafico Dati ricevuti e lo stato di connettività dei tipi di dati.

    Screenshot che mostra come configurare i connettori dati.

  • Nella scheda Passaggi successivi verranno visualizzati altri contenuti per il tipo di dati specifico: query di esempio, cartelle di lavoro di visualizzazione e modelli di regole di analisi per rilevare e analizzare le minacce.

    Screenshot che mostra la scheda Passaggi successivi del connecter dati.

Informazioni sul connettore dati specifico nel riferimento ai connettori dati.

Integrazione dell'API REST per i connettori dati

Molte tecnologie di sicurezza forniscono un set di API per il recupero dei file di log e alcune origini dati possono usare queste API per connettersi a Microsoft Sentinel.

Connettori dati che usano LE API si integrano dal lato provider o si integrano usando Funzioni di Azure, come descritto nelle sezioni seguenti.

Altre informazioni sui connettori dati nei connettori dati di riferimento.

Integrazione dell'API REST sul lato provider

Un'integrazione API compilata dal provider si connette con le origini dati del provider e esegue il push dei dati nelle tabelle di log personalizzate di Microsoft Sentinel usando l'API agente di raccolta dati di Monitoraggio di Azure.

Per informazioni sull'integrazione dell'API REST, leggere la documentazione del provider e Connettere l'origine dati all'API REST di Microsoft Sentinel per inserire i dati.

Integrazione dell'API REST con Funzioni di Azure

Le integrazioni che usano Funzioni di Azure per connettersi con un'API provider formattano prima i dati e quindi la inviano alle tabelle di log personalizzate di Microsoft Sentinel usando l'API Agente di raccolta dati di Monitoraggio di Azure. Informazioni su come usare Funzioni di Azure per connettere l'origine dati a Microsoft Sentinel.

Importante

Le integrazioni che usano Funzioni di Azure potrebbero avere costi di inserimento dati aggiuntivi, perché si ospitano Funzioni di Azure nel tenant di Azure. Altre informazioni sui prezzi di Funzioni di Azure.

Integrazione basata su agente per i connettori dati

Microsoft Sentinel può usare il protocollo Syslog per connettere un agente a qualsiasi origine dati in grado di eseguire lo streaming dei log in tempo reale. Ad esempio, la maggior parte delle origini dati locali si connette usando l'integrazione basata su agente.

Le sezioni seguenti descrivono i diversi tipi di connettori dati basati sull'agente di Microsoft Sentinel. Seguire la procedura descritta in ogni pagina del connettore dati di Microsoft Sentinel per configurare le connessioni usando meccanismi basati su agenti.

Informazioni su quali firewall, proxy ed endpoint si connettono a Microsoft Sentinel tramite CEF o Syslog nei connettori dati di riferimento.

syslog

È possibile trasmettere eventi da dispositivi basati su Linux e di supporto di Syslog in Microsoft Sentinel usando l'agente Log Analytics per Linux, in precedenza denominato agente OMS. A seconda del tipo di dispositivo, l'agente viene installato direttamente nel dispositivo o in un inoltro di log basato su Linux dedicato. L'agente di Log Analytics riceve eventi dal daemon Syslog su UDP. Se si prevede che un computer Linux raccoglie un volume elevato di eventi Syslog, invia eventi su TCP dal daemon Syslog all'agente e da qui a Log Analytics. Informazioni su come connettere appliance basate su Syslog a Microsoft Sentinel.

Ecco un flusso semplice che illustra come Microsoft Sentinel flussi i dati syslog.

  1. Il daemon Syslog predefinito del dispositivo raccoglie gli eventi locali dei tipi specificati e inoltra gli eventi in locale all'agente.
  2. L'agente trasmette gli eventi all'area di lavoro Log Analytics.
  3. Dopo aver completato la configurazione, i dati sono visualizzati nella tabella Syslog di Log Analytics.

Common Event Format (CEF)

I formati di log variano, ma molte origini supportano la formattazione basata su CEF. L'agente di Microsoft Sentinel, che è effettivamente l'agente di Log Analytics, converte i log formattati cef in un formato che Log Analytics può inserire.

Per le origini dati che generano dati in CEF, configurare l'agente Syslog e quindi configurare il flusso di dati CEF. Dopo aver completato la configurazione, i dati sono visualizzati nella tabella CommonSecurityLog .

Informazioni su come connettere appliance basate su CEF a Microsoft Sentinel.

Log personalizzati

Per alcune origini dati, è possibile raccogliere i log come file nei computer Windows o Linux usando l'agente di raccolta log personalizzato di Log Analytics.

Seguire la procedura descritta in ogni pagina del connettore dati di Microsoft Sentinel per connettersi usando l'agente di raccolta log personalizzato di Log Analytics. Dopo aver completato la configurazione, i dati vengono visualizzati nelle tabelle personalizzate.

Informazioni su come raccogliere dati in formati di log personalizzati in Microsoft Sentinel con l'agente Log Analytics.

Integrazione da servizio a servizio per connettori dati

Microsoft Sentinel usa la base di Azure per fornire supporto esterno al servizio per i servizi Microsoft e Amazon Web Services.

Informazioni su come connettersi a Azure, Windows, Microsoft e Amazon services o informazioni sui tipi di connettore dati nei connettori dati di riferimento.

Distribuire connettori dati come parte di una soluzione

Le soluzioni Microsoft Sentinel forniscono pacchetti di contenuto di sicurezza, inclusi connettori dati, cartelle di lavoro, regole di analisi, playbook e altro ancora. Quando si distribuisce una soluzione con un connettore dati, si ottiene il connettore dati insieme al contenuto correlato nella stessa distribuzione.

Informazioni su come individuare e distribuire in modo centralizzato il contenuto e le soluzioni predefinite di Microsoft Sentinel o informazioni sul catalogo di soluzioni Microsoft Sentinel.

Supporto del connettore dati

Microsoft e altre organizzazioni creano connettori dati di Microsoft Sentinel. Ogni connettore dati ha uno di questi tipi di supporto:

Tipo di supporto Descrizione
Microsoft supportato Si applica a:
  • Connettori dati per le origini dati in cui Microsoft è il provider di dati e l'autore.
  • Alcuni connettori dati creati da Microsoft per origini dati non Microsoft.
Microsoft supporta e gestisce i connettori dati in questa categoria in base ai piani di supporto di Microsoft Azure.

Partner o community supportano connettori dati creati da qualsiasi parte diversa da Microsoft.
Partner supportato Si applica ai connettori dati creati da parti diverse da Microsoft.

L'azienda partner fornisce supporto o manutenzione per questi connettori dati. L'azienda partner può essere un fornitore di software indipendente, un provider di servizi gestiti (MSP/MSSP), un Integratore di sistemi (SI) o qualsiasi organizzazione le cui informazioni di contatto vengono fornite nella pagina Microsoft Sentinel per tale connettore dati.

Per eventuali problemi relativi a un connettore dati supportato dal partner, contattare il contatto di supporto del connettore dati specificato.
Community supportata Si applica ai connettori dati creati da Microsoft o dagli sviluppatori partner che non dispongono di contatti elencati per il supporto e la manutenzione del connettore dati nella pagina del connettore dati specificata in Microsoft Sentinel.

Per domande o problemi relativi a questi connettori dati, è possibile segnalare un problema nella community GitHub di Microsoft Sentinel.

Trovare il contatto di supporto per un connettore dati

  1. Nella pagina Connettori dati di Microsoft Sentinel selezionare il connettore pertinente.
  2. Per accedere al supporto e alla manutenzione per il connettore, usare il collegamento contatto di supporto nel campo Supportato dal pannello sul lato per il connecter.

Screenshot che mostra il campo Supportato per un connettore dati in Microsoft Sentinel.

Passaggi successivi