Trovare il connettore dati di Microsoft Sentinel

Nota

Azure Sentinel ora si chiama Microsoft Sentinel e queste pagine verranno aggiornate nelle prossime settimane. Altre informazioni sui miglioramenti recenti della sicurezza Microsoft.

Questo articolo descrive come distribuire connettori dati in Microsoft Sentinel, elencando tutti i connettori di dati supportati, con collegamenti a procedure di distribuzione generiche e passaggi aggiuntivi necessari per connettori specifici.

Suggerimento

Alcuni connettori dati vengono distribuiti solo tramite soluzioni. Per altre informazioni, vedere il catalogo di soluzioni Microsoft Sentinel. È anche possibile trovare altri connettori dati creati dalla community nel repository microsoft sentinel GitHub .

Come usare questa guida

  1. Individuare e selezionare innanzitutto il connettore per il prodotto, il servizio o il dispositivo nel menu delle intestazioni a destra.

    La prima informazione che verrà visualizzata per ogni connettore è il relativo metodo di inserimento dati. Il metodo visualizzato sarà un collegamento a una delle procedure di distribuzione generiche seguenti, che contengono la maggior parte delle informazioni necessarie per connettere le origini dati a Microsoft Sentinel:

    Metodo di inserimento dati Articolo collegato con istruzioni
    Integrazione da servizio a servizio di Azure Connessione azure, Windows, Microsoft e Amazon Services
    Common Event Format (CEF) su Syslog Ottenere log in formato CEF dal dispositivo o dall'appliance in Microsoft Sentinel
    API agente di raccolta dati di Microsoft Sentinel Connessione'origine dati all'API agente di raccolta dati di Microsoft Sentinel per inserire i dati
    Funzioni di Azure e l'API REST Usare Funzioni di Azure per connettere Microsoft Sentinel all'origine dati
    Syslog Raccogliere dati da origini basate su Linux usando Syslog
    Log personalizzati Raccogliere dati in formati di log personalizzati in Microsoft Sentinel con l'agente di Log Analytics

    Nota

    Il metodo di inserimento dei dati di integrazione da servizio a servizio di Azure collega a tre diverse sezioni del relativo articolo, a seconda del tipo di connettore. La sezione seguente di ogni connettore specifica la sezione all'interno dell'articolo a cui si collega.

  2. Quando si distribuisce un connettore specifico, scegliere l'articolo appropriato collegato al relativo metodo di inserimento dei dati e usare le informazioni e le indicazioni aggiuntive nella sezione pertinente riportata di seguito per integrare le informazioni in tale articolo.

Suggerimento

  • Molti connettori dati possono anche essere distribuiti come parte di una soluzione Microsoft Sentinel,insieme a regole di analisi, cartelle di lavoro e playbook correlati. Per altre informazioni, vedere il catalogo di soluzioni Microsoft Sentinel.

  • Altri connettori dati sono forniti dalla community di Microsoft Sentinel e sono disponibili nella Azure Marketplace. La documentazione per i connettori dati della community è responsabilità dell'organizzazione che ha creato il connettore.

  • Se si dispone di un'origine dati non elencata o attualmente supportata, è anche possibile creare un connettore personalizzato. Per altre informazioni, vedere Risorse per la creazione di connettori personalizzati di Microsoft Sentinel.

Importante

I connettori dati di Microsoft Sentinel sono attualmente in anteprima. Le condizioni aggiuntive per l'anteprima di Azure includono termini legali aggiuntivi che si applicano a funzionalità di Azure in versione beta, anteprima o diversamente non ancora disponibili a livello generale.

Agari Phishing Defense and Brand Protection (anteprima)

Attributo del connettore Descrizione
Metodo di inserimento dati Funzioni di Azure e l'API REST

Prima della distribuzione: abilitare l'API Graph sicurezza (facoltativo).
Dopo la distribuzione: assegnare le autorizzazioni necessarie all'app per le funzioni
Tabelle di Log Analytics agari_bpalerts_log_CL
agari_apdtc_log_CL
agari_apdpolicy_log_CL
Codice dell'app per le funzioni di Azure https://aka.ms/Sentinel-agari-functionapp
Credenziali dell'API
  • ID client
  • Client Secret
  • (Facoltativo: id Graph tenant, ID Graph client, Graph segreto client)
  • Documentazione del
    fornitore/istruzioni di installazione
  • Introduzione
  • Sito per sviluppatori Agari
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Impostazioni delle applicazioni
  • clientID
  • clientSecret
  • workspaceID
  • workspaceKey
  • enableBrandProtectionAPI (true/false)
  • enablePhishingResponseAPI (true/false)
  • enablePhishingDefenseAPI (true/false)
  • resGroup (immettere Gruppo di risorse)
  • functionName
  • subId (immettere l'ID sottoscrizione)
  • enableSecurityGraphSharing (true/false; vedere di seguito)
    Obbligatorio se enableSecurityGraphSharing è impostato su true (vedere di seguito):
  • GraphTenantId
  • GraphClientId
  • GraphClientSecret
  • logAnalyticsUri (facoltativo)
  • Supportato da Agari

    Abilitare l'API Graph sicurezza (facoltativo)

    Importante

    Se si esegue questo passaggio, eseguire questa operazione prima di distribuire il connettore dati.

    L'app per le funzioni Agari consente di condividere l'intelligence sulle minacce con Microsoft Sentinel tramite l'API Graph sicurezza. Per usare questa funzionalità, è necessario abilitare il connettore Sentinel Threat Intelligence Platforms e registrare un'applicazione in Azure Active Directory.

    Questo processo offrirà tre informazioni da usare durante la distribuzione dell'app per le funzioni: l'ID tenant di Graph, l'ID client Graph e il segreto client Graph (vedere le impostazioni dell'applicazione nella tabella precedente).

    Assegnare le autorizzazioni necessarie all'app per le funzioni

    Il connettore Agari usa una variabile di ambiente per archiviare i timestamp di accesso ai log. Per consentire all'applicazione di scrivere in questa variabile, è necessario assegnare le autorizzazioni all'identità assegnata dal sistema.

    1. Nel portale di Azure passare ad App per le funzioni.
    2. Nella pagina App per le funzioni selezionare l'app per le funzioni dall'elenco, quindi selezionare Identità in Impostazioni nel menu di spostamento dell'app per le funzioni.
    3. Nella scheda Assegnato dal sistema impostare Stato su On.
    4. Selezionare Salva e verrà visualizzato il pulsante Assegnazioni di ruolo di Azure. Selezionarla.
    5. Nella schermata Assegnazioni di ruolo di Azure selezionare Aggiungi assegnazione di ruolo. Impostare Ambito su Sottoscrizione, selezionare la sottoscrizione dall'elenco a discesa Sottoscrizione e impostare Ruolo su Proprietario dati configurazione app.
    6. Selezionare Salva.

    AI Analyst (AIA) di Darktrace (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog

    Configurare l'inoltro dei log CEF per l'analista di intelligenza artificiale
    Tabelle di Log Analytics CommonSecurityLog
    Supportato da Darktrace

    Configurare l'inoltro dei log CEF per l'analista di intelligenza artificiale

    Configurare Darktrace per inoltrare i messaggi Syslog in formato CEF all'area di lavoro di Azure tramite l'agente di Log Analytics.

    1. Nel visualizzatore delle minacce di Darktrace passare alla pagina Configurazione di sistema nel menu principale in Amministrazione.
    2. Dal menu a sinistra selezionare Moduli e scegliere Microsoft Sentinel dalle integrazioni del flusso di lavoro disponibili.
    3. Verrà visualizzata una finestra di configurazione. Individuare Microsoft Sentinel Syslog CEF e selezionare Nuovo per visualizzare le impostazioni di configurazione, a meno che non siano già esposte.
    4. Nel campo Configurazione server immettere il percorso del server d'inoltro del log e modificare facoltativamente la porta di comunicazione. Assicurarsi che la porta selezionata sia impostata su 514 ed è consentita da qualsiasi firewall intermedio.
    5. Configurare eventuali soglie di avviso, offset di tempo o impostazioni aggiuntive in base alle esigenze.
    6. Esaminare eventuali opzioni di configurazione aggiuntive che è possibile abilitare per modificare la sintassi syslog.
    7. Abilitare Invia avvisi e salvare le modifiche.

    AI Vectra Detect (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog

    Configurare l'inoltro del log CEF per ai Vectra Detect
    Tabelle di Log Analytics CommonSecurityLog
    Supportato da Vectra AI

    Configurare l'inoltro del log CEF per ai Vectra Detect

    Configurare l'agente Vectra (serie X) per inoltrare i messaggi Syslog in formato CEF all'area di lavoro di Microsoft Sentinel tramite l'agente di Log Analytics.

    Nell'interfaccia di Vectra passare a Notifiche Impostazioni > e scegliere Modifica configurazione Syslog. Seguire le istruzioni seguenti per configurare la connessione:

    • Aggiungere una nuova destinazione (il nome host del server d'inoltro log)
    • Impostare la porta su 514
    • Impostare il protocollo come UDP
    • Impostare il formato su CEF
    • Impostare i tipi di log (selezionare tutti i tipi di log disponibili)
    • Selezionare Salva

    È possibile selezionare il pulsante Test per forzare l'invio di alcuni eventi di test al server d'inoltro del log.

    Per altre informazioni, vedere la Guida al rilevamento di Syslog di Cognito, che può essere scaricata dalla pagina delle risorse in Rileva interfaccia utente.

    Eventi di sicurezza Akamai (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog, con un parser di funzioni Kusto
    Tabelle di Log Analytics CommonSecurityLog
    Alias della funzione Kusto: AkamaiSIEMEvent
    URL della funzione Kusto: https://aka.ms/Sentinel-akamaisecurityevents-parser
    Documentazione del
    fornitore/istruzioni di installazione
    Configurare Security Information and Event Management(SIEM)
    Configurare un connettore CEF.
    Supportato da Akamai

    Alcide kAudit

    Attributo del connettore Descrizione
    Metodo di inserimento dati API agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics alcide_kaudit_activity_1_CL - Log attività di Alcide kAudit
    alcide_kaudit_detections_1_CL - Rilevamenti kAudit di Alcide
    alcide_kaudit_selections_count_1_CL - Conteggi delle attività kAudit di Alcide
    alcide_kaudit_selections_details_1_CL - Dettagli dell'attività di Alcide kAudit
    Documentazione del
    fornitore/istruzioni di installazione
    Guida all'installazione di Alcide kAudit
    Supportato da Alcide

    Alsid for Active Directory

    Attributo del connettore Descrizione
    Metodo di inserimento dati Agente di Log Analytics : log personalizzati

    Configurazione aggiuntiva per Alsid
    Tabelle di Log Analytics AlsidForADLog_CL
    Alias della funzione Kusto: afad_parser
    URL della funzione Kusto: https://aka.ms/Sentinel-alsidforad-parser
    Supportato da Alsid

    Configurazione aggiuntiva per Alsid

    1. Configurare il server Syslog

      Sarà innanzitutto necessario un server Syslog Linux a cui Alsid per AD invierà i log. In genere è possibile eseguire rsyslog in Ubuntu.

      È quindi possibile configurare questo server nel modo desiderato, ma è consigliabile eseguire l'output dei log AFAD in un file separato. In alternativa, è possibile usare un modello di avvio rapido per distribuire automaticamente il server Syslog e Microsoft Agent. Se si usa il modello, è possibile ignorare le istruzioni di installazione dell'agente.

    2. Configurare Alsid per l'invio di log al server Syslog

      Nel portale di Alsid per AD passare a Sistema, Configurazione e quindi a Syslog. Da qui è possibile creare un nuovo avviso Syslog per il server Syslog.

      Dopo aver creato un nuovo avviso Syslog, verificare che i log siano raccolti correttamente nel server in un file separato. Ad esempio, per controllare i log, è possibile usare il pulsante Testare la configurazione nella configurazione degli avvisi Syslog in AFAD. Se è stato usato il modello di avvio rapido, per impostazione predefinita il server Syslog sarà in ascolto sulla porta 514 in UDP e 1514 in TCP, senza TLS.

    Amazon Web Services

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure: Connessione
    Microsoft Sentinel
    per Amazon Web Services inserire i dati del log del servizio AWS (articolo principale del connettore)
    Tabelle di Log Analytics AWSCloudTrail
    Supportato da Microsoft

    Amazon Web Services S3 (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure: Connessione Microsoft Sentinel per Amazon Web Services l'inserimento dei dati di log del servizio
    AWS
    (articolo connettore principale)
    Tabelle di Log Analytics AWSCloudTrail
    AWSGuardDuty
    AWSVPCFlow
    Supportato da Microsoft

    Apache HTTP Server

    Attributo del connettore Descrizione
    Metodo di inserimento dati Agente di Log Analytics : log personalizzati
    Tabelle di Log Analytics ApacheHTTPServer_CL
    Alias della funzione Kusto: ApacheHTTPServer
    URL della funzione Kusto: https://aka.ms/Sentinel-apachehttpserver-parser
    File di esempio di log personalizzato: access.log o error.log

    Apache Tomcat

    Attributo del connettore Descrizione
    Metodo di inserimento dati Agente di Log Analytics : log personalizzati
    Tabelle di Log Analytics Tomcat_CL
    Alias della funzione Kusto: TomcatEvent
    URL della funzione Kusto: https://aka.ms/Sentinel-ApacheTomcat-parser
    File di esempio di log personalizzato: access.log o error.log

    Aruba ClearPass (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog, con un parser di funzioni Kusto
    Tabelle di Log Analytics CommonSecurityLog
    Alias della funzione Kusto: ArubaClearPass
    URL della funzione Kusto: https://aka.ms/Sentinel-arubaclearpass-parser
    Documentazione del
    fornitore/istruzioni di installazione
    Seguire le istruzioni di Aruba per configurare ClearPass.
    Supportato da Microsoft

    Atlassian Confluence Audit (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST
    Tabelle di Log Analytics Confluence_Audit_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/Sentinel-confluenceauditapi-functionapp
    Credenziali API
  • ConfluenceAccessToken
  • ConfluenceUsername
  • ConfluenceHomeSiteName
  • Documentazione del
    fornitore/istruzioni di installazione
  • Documentazione dell'API
  • Requisiti e istruzioni per ottenere le credenziali
  • Visualizzare il log di controllo
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Alias della funzione Kusto ConfluenceAudit
    Url della funzione Kusto/Istruzioni
    di configurazione del parser
    https://aka.ms/Sentinel-confluenceauditapi-parser
    Impostazioni delle applicazioni
  • ConfluenceUsername
  • ConfluenceAccessToken
  • ConfluenceHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    Atlassian Jira Audit (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST
    Tabelle di Log Analytics Jira_Audit_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/Sentinel-jiraauditapi-functionapp
    Credenziali API
  • JiraAccessToken
  • JiraUsername
  • JiraHomeSiteName
  • Documentazione del
    fornitore/istruzioni di installazione
  • Documentazione dell'API - Record di controllo
  • Requisiti e istruzioni per ottenere le credenziali
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Alias della funzione Kusto JiraAudit
    Url della funzione Kusto/
    Istruzioni di configurazione del parser
    https://aka.ms/Sentinel-jiraauditapi-parser
    Impostazioni delle applicazioni
  • JiraUsername
  • JiraAccessToken
  • JiraHomeSiteName
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    Azure Active Directory

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    Connessione Azure Active Directory dati a Microsoft Sentinel
    (articolo principale del connettore)
    Prerequisiti della
    licenza/Informazioni sui costi
  • Azure Active Directory licenza P1 o P2 per i log di accesso
  • Qualsiasi Azure AD licenza (gratuita/O365/P1/P2) per altri tipi di log
    Possono essere applicati altri addebiti
  • Tabelle di Log Analytics SigninLogs
    AuditLogs
    AADNonInteractiveUserSignInLogs
    AADServicePrincipalSignInLogs
    AADManagedIdentitySignInLogs
    AADProvisioningLogs
    ADFSSignInLogs
    Supportato da Microsoft

    Azure Active Directory Identity Protection

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su API
    Prerequisiti della
    licenza/Informazioni sui costi
    Azure AD Premium P2 sottoscrizione
    Possono essere applicati altri addebiti
    Tabelle di Log Analytics SecurityAlert
    Supportato da Microsoft

    Attività di Azure

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure: connessioni basate su
    impostazioni di diagnostica, gestite da Criteri di Azure


    Eseguire l'aggiornamento al nuovo connettore attività di Azure
    Tabelle di Log Analytics AzureActivity
    Supportato da Microsoft

    Eseguire l'aggiornamento al nuovo connettore attività di Azure

    Modifiche alla struttura dei dati

    Questo connettore ha modificato di recente il meccanismo back-end per la raccolta degli eventi del log attività. A questo punto usa la pipeline delle impostazioni di diagnostica. Se si usa ancora il metodo legacy per questo connettore, è consigliabile eseguire l'aggiornamento alla nuova versione, che offre funzionalità migliori e una maggiore coerenza con i log delle risorse. Vedere le istruzioni seguenti.

    Il metodo delle impostazioni di diagnostica invia gli stessi dati inviati dal metodo legacy dal servizio Log attività, anche se sono state apportate alcune modifiche alla struttura della tabella AzureActivity.

    Di seguito sono riportati alcuni dei principali miglioramenti risultanti dal passaggio alla pipeline delle impostazioni di diagnostica:

    • Miglioramento della latenza di inserimento (inserimento di eventi entro 2-3 minuti dall'occorrenza anziché 15-20 minuti).
    • Maggiore affidabilità.
    • Prestazioni migliorate.
    • Supporto per tutte le categorie di eventi registrati dal servizio Log attività (il meccanismo legacy supporta solo un subset, ad esempio nessun supporto per gli eventi di Integrità dei servizi).
    • Gestione su larga scala con Criteri di Azure.

    Vedere la documentazione Monitoraggio di Azure per un trattamento più approfondito del log attività di Azure e della pipeline delle impostazioni di diagnostica.

    Disconnettersi dalla pipeline precedente

    Prima di configurare il nuovo connettore log attività di Azure, è necessario disconnettere le sottoscrizioni esistenti dal metodo legacy.

    1. Dal menu di spostamento di Microsoft Sentinel selezionare Connettori dati. Nell'elenco dei connettori selezionare Attività di Azure e quindi selezionare il pulsante Apri pagina connettore in basso a destra.

    2. Nella sezione Configurazione della scheda Istruzioni, nel passaggio 1, esaminare l'elenco delle sottoscrizioni esistenti connesse al metodo legacy (in modo da sapere quali aggiungere al nuovo) e disconnetterle tutte contemporaneamente facendo clic sul pulsante Disconnetti tutto di seguito.

    3. Continuare a configurare il nuovo connettore con le istruzioni collegate nella tabella precedente.

    Protezione DDoS di Azure

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate sulle impostazioni di diagnostica
    Prerequisiti della
    licenza/Informazioni sui costi
  • È necessario avere un piano di protezione DDoS Standard di Azure configurato.
  • È necessario avere una rete virtuale configurata con Azure DDoS Standard abilitato
    Possono essere applicati altri addebiti
  • Tabelle di Log Analytics AzureDiagnostics
    Diagnostica consigliata DDoSProtectionNotifications
    DDoSMitigationFlowLogs
    DDoSMitigationReports
    Supportato da Microsoft

    Microsoft Defender for Cloud

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure: Connessione
    di sicurezza da Microsoft Defender per Cloud
    (articolo principale del connettore)
    Tabelle di Log Analytics SecurityAlert
    Supportato da Microsoft

    Microsoft Defender per IoT

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su API
    Tabelle di Log Analytics SecurityAlert
    Supportato da Microsoft

    Firewall di Azure

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate sulle impostazioni di diagnostica
    Tabelle di Log Analytics AzureDiagnostics
    Diagnostica consigliata AzureFirewallApplicationRule
    AzureFirewallNetworkRule
    AzureFirewallDnsProxy
    Supportato da Microsoft

    Azure Information Protection

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure
    Tabelle di Log Analytics InformationProtectionLogs_CL
    Supportato da Microsoft

    Per altre informazioni, vedere la documentazione Azure Information Protection .

    Insieme di credenziali chiave di Azure

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su impostazioni di diagnostica, gestite da Criteri di Azure
    Tabelle di Log Analytics KeyVaultData
    Supportato da Microsoft

    Servizio Azure Kubernetes

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su impostazioni di diagnostica, gestite da Criteri di Azure
    Tabelle di Log Analytics kube-apiserver
    kube-audit
    kube-audit-admin
    kube-controller-manager
    kube-scheduler
    cluster-autoscaler
    guard
    Supportato da Microsoft

    Database SQL di Azure

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su impostazioni di diagnostica, gestite da Criteri di Azure


    Disponibile anche nelle soluzioni PaaS SQL Azure e Microsoft Sentinel per SQL paaS
    Tabelle di Log Analytics SQLSecurityAuditEvents
    SQLInsights
    AutomaticTuning
    QueryStoreWaitStatistics
    Errors
    DatabaseWaitStatistics
    Timeout
    Blocchi
    Deadlock
    Basic
    InstanceAndAppAdvanced
    WorkloadManagement
    DevOpsOperationsAudit
    Supportato da Microsoft

    Account di archiviazione di Azure

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate sulle impostazioni di diagnostica


    Note sulla configurazione delle impostazioni di diagnostica dell'account di archiviazione
    Tabelle di Log Analytics StorageBlobLogs
    StorageQueueLogs
    StorageTableLogs
    StorageFileLogs
    Diagnostica consigliata Risorsa account
  • Transazione
    Risorse BLOB/coda/tabella/file
  • StorageRead
  • StorageWrite
  • StorageDelete
  • Transazione
  • Supportato da Microsoft

    Note sulla configurazione delle impostazioni di diagnostica dell'account di archiviazione

    La risorsa dell'account di archiviazione (padre) contiene altre risorse (figlio) per ogni tipo di archiviazione: file, tabelle, code e BLOB.

    Quando si configura la diagnostica per un account di archiviazione, è necessario selezionare e configurare, a sua volta:

    • Risorsa dell'account padre, che esporta la metrica Transaction.
    • Ognuna delle risorse figlio di tipo di archiviazione, esportando tutti i log e le metriche (vedere la tabella precedente).

    Verranno visualizzati solo i tipi di archiviazione per cui sono state effettivamente definite risorse.

    Web application firewall (WAF) di Azure

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate sulle impostazioni di diagnostica
    Tabelle di Log Analytics AzureDiagnostics
    Diagnostica consigliata Gateway applicazione
  • ApplicationGatewayAccessLog
  • ApplicationGatewayFirewallLog
    Frontdoor
  • FrontdoorAccessLog
  • FrontdoorWebApplicationFirewallLog
    rete CDN criteri WAF
  • WebApplicationFirewallLogs
  • Supportato da Microsoft

    Barracuda CloudGen Firewall

    Attributo del connettore Descrizione
    Metodo di inserimento dati Syslog
    Tabelle di Log Analytics syslog
    Alias della funzione Kusto: CGFWFirewallActivity
    URL della funzione Kusto: https://aka.ms/Sentinel-barracudacloudfirewall-function
    Documentazione del
    fornitore/istruzioni di installazione
    https://aka.ms/Sentinel-barracudacloudfirewall-connector
    Supportato da Barracuda

    Barracuda WAF

    Attributo del connettore Descrizione
    Metodo di inserimento dati Agente di Log Analytics : log personalizzati
    Tabelle di Log Analytics syslog
    Documentazione del
    fornitore/istruzioni di installazione
    https://aka.ms/asi-barracuda-connector
    Supportato da Barracuda

    BETTER Mobile Threat Defense (MTD) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati API agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics BetterMTDDeviceLog_CL
    BetterMTDIncidentLog_CL
    BetterMTDAppLog_CL
    BetterMTDNetflowLog_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Documentazione di BETTER MTD

    Configurazione dei criteri di minaccia, che definisce gli eventi imprevisti segnalati a Microsoft Sentinel:
    1. In Better MTD Console (Migliore console MTD) selezionare Policies (Criteri) sulla barra laterale.
    2. Selezionare il pulsante Modifica dei criteri in uso.
    3. Per ogni tipo di evento imprevisto che si vuole registrato, passare al campo Invia a integrazioni e selezionare Sentinel.
    Supportato da Better Mobile

    Beyond Security beSECURE

    Attributo del connettore Descrizione
    Metodo di inserimento dati API agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics beSECURE_ScanResults_CL
    beSECURE_ScanEvents_CL
    beSECURE_Audit_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Accedere al menu Integrazione:
    1. Selezionare l'opzione di menu Altro.
    2. Selezionare il server
    3. Selezionare Integrazione
    4. Abilitare Microsoft Sentinel
    5. Incollare i valori di ID area di lavoro e chiave primaria nella configurazione beSECURE.
    6. Selezionare Modifica.
    Supportato da Oltre la sicurezza

    BlackBerry CylancePROTECT (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Syslog
    Tabelle di Log Analytics syslog
    Alias della funzione Kusto: CylancePROTECT
    URL della funzione Kusto: https://aka.ms/Sentinel-cylanceprotect-parser
    Documentazione del
    fornitore/istruzioni di installazione
    Guida di Cylance Syslog
    Supportato da Microsoft

    Broadcom Symantec Data Loss Prevention (DLP) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog, con un parser di funzioni Kusto
    Tabelle di Log Analytics CommonSecurityLog
    Alias della funzione Kusto: SymantecDLP
    URL della funzione Kusto: https://aka.ms/Sentinel-symantecdlp-parser
    Documentazione del
    fornitore/istruzioni di installazione
    Configurazione dell'azione Log to a Syslog Server (Configurazione del log in un server Syslog)
    Supportato da Microsoft

    Punto di controllo

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog

    Disponibile nella soluzione Check Point
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Log Exporter - Check Point Log Export
    Supportato da Check Point

    Cisco ASA

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog

    Disponibile nella soluzione Cisco ASA
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Guida alla configurazione dell'interfaccia della riga di comando di Cisco ASA Series
    Supportato da Microsoft

    Cisco Firepower eStreamer (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog

    Configurazione aggiuntiva per Cisco Firepower eStreamer
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Guida operativa di eStreamer eNcore per Sentinel
    Supportato da Cisco

    Configurazione aggiuntiva per Cisco Firepower eStreamer

    1. Installare il client Firepower eNcore
      Installare e configurare il client Firepower eNcore eStreamer. Per altre informazioni, vedere la guida all'installazione completa di Cisco.

    2. Scaricare Firepower Connector da GitHub
      Scaricare la versione più recente del connettore Firepower eNcore per Microsoft Sentinel dal repository Cisco GitHub. Se si prevede di usare python3, usare il connettore python3 eStreamer.

    3. Creare un file pkcs12 usando l'indirizzo IP di Azure/VM
      Creare un certificato pkcs12 usando l'indirizzo IP pubblico dell'istanza di macchina virtuale in Firepower in System > Integration > eStreamer. Per altre informazioni, vedere la guida all'installazione.

    4. Testare la connettività tra il client Azure/VM e FMC
      Copiare il file pkcs12 da FMC all'istanza di Azure/VM ed eseguire l'utilità di test (./encore.sh test) per assicurarsi che sia possibile stabilire una connessione. Per altre informazioni, vedere la guida all'installazione.

    5. Configurare eNcore per trasmettere i dati all'agente
      Configurare eNcore per trasmettere i dati tramite TCP all'agente di Log Analytics. Questa configurazione deve essere abilitata per impostazione predefinita, ma è possibile configurare porte aggiuntive e protocolli di streaming a seconda del comportamento di sicurezza di rete. È anche possibile salvare i dati nel file system. Per altre informazioni, vedere Configurare eNcore.

    Cisco Meraki (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Syslog

    Disponibile nella soluzione Cisco ISE
    Tabelle di Log Analytics syslog
    Alias della funzione Kusto: CiscoMeraki
    URL della funzione Kusto: https://aka.ms/Sentinel-ciscomeraki-parser
    Documentazione del
    fornitore/istruzioni di installazione
    Documentazione di Meraki Device Reporting
    Supportato da Microsoft

    Cisco Umbrella (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST

    Disponibile nella soluzione Cisco Umbrella
    Tabelle di Log Analytics Cisco_Umbrella_dns_CL
    Cisco_Umbrella_proxy_CL
    Cisco_Umbrella_ip_CL
    Cisco_Umbrella_cloudfirewall_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp
    Credenziali dell'API
  • ID chiave di accesso AWS
  • Chiave di accesso privata AWS
  • Nome bucket AWS S3
  • Documentazione del
    fornitore/istruzioni di installazione
  • Registrazione in Amazon S3
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Alias della funzione Kusto Cisco_Umbrella
    Url della funzione Kusto/
    Istruzioni di configurazione del parser
    https://aka.ms/Sentinel-ciscoumbrella-function
    Impostazioni delle applicazioni
  • WorkspaceID
  • WorkspaceKey
  • S3Bucket
  • AWSAccessKeyId
  • AWSSecretAccessKey
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    Cisco Unified Computing System (UCS) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Syslog
    Tabelle di Log Analytics syslog
    Alias della funzione Kusto: CiscoUCS
    URL della funzione Kusto: https://aka.ms/Sentinel-ciscoucs-function
    Documentazione del
    fornitore/istruzioni di installazione
    Configurare Syslog per Cisco UCS - Cisco
    Supportato da Microsoft

    Citrix Analytics (Security)

    Attributo del connettore Descrizione
    Metodo di inserimento dati API agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics CitrixAnalytics_SAlerts_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Connessione Da Citrix a Microsoft Sentinel
    Supportato da Citrix Systems

    Citrix Web App Firewall (WAF) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Per configurare WAF, vedere Wiki di supporto - Configurazione di WAF con NetScaler.

    Per configurare i log cef, vedere CeF Logging Support in the Application Firewall.

    Per inoltrare i log al proxy, vedere Configurazione dell'appliance Citrix ADC per la registrazione di controllo.
    Supportato da Citrix Systems

    Cognni (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati API agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics CognniIncidents_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Connessione a Cognni
    1. Passare alla pagina integrazioni cognni.
    2. Selezionare Connessione nella casella Microsoft Sentinel.
    3. Incollare workspaceId e sharedKey (chiave primaria) nei campi nella schermata delle integrazioni di Cognni.
    4. Selezionare il Connessione per completare la configurazione.
    Supportato da Cognni

    Monitoraggio continuo delle minacce per SAP (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Disponibile solo dopo l'installazione della soluzione Continuous Threat Monitoring for SAP
    Tabelle di Log Analytics Vedere Informazioni di riferimento per i log delle soluzioni SAP di Microsoft Sentinel
    Documentazione del
    fornitore/istruzioni di installazione
    Distribuire il monitoraggio continuo delle minacce SAP
    Supportato da Microsoft

    Eventi di CyberArk Enterprise Password Vault (EPV) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Security Information and Event Management (SIEM) Applications
    Supportato da CyberArk

    Log di sicurezza cyberpion (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati API agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics CyberpionActionItems_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Ottenere una sottoscrizione di Cyberpion
    Integrare gli avvisi di sicurezza di Cyberpion in Microsoft Sentinel
    Supportato da Cyberpion

    DNS (anteprima)

    Vedere Windows server DNS (anteprima).

    Dynamics 365

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su API


    Disponibile anche come parte della soluzione Microsoft Sentinel 4 Dynamics 365
    Prerequisiti della
    licenza/Informazioni sui costi
  • Licenza di produzione di Microsoft Dynamics 365. Non disponibile per gli ambienti sandbox.
  • Microsoft 365 Enterprise la sottoscrizione E3 o E5 è necessaria per eseguire la registrazione attività.
    Possono essere applicati altri addebiti
  • Tabelle di Log Analytics Dynamics365Activity
    Supportato da Microsoft

    Controllo Enterprise ESET (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST

    Creare un utente dell'API
    Tabelle di Log Analytics ESETEnterpriseInspector_CL
    Credenziali dell'API
  • Nome utente EEI
  • EEI Password
  • URL di base
  • Documentazione del
    fornitore/istruzioni di installazione
  • Documentazione dell'API REST ESET Enterprise Inspector
  • Istruzioni per la distribuzione del connettore Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
    Supportato da ESET

    Creare un utente dell'API

    1. Accedere alla console ESET Security Management Center/ESET PROTECT con un account amministratore, selezionare la scheda Altro e la sottoscheda Utenti.
    2. Selezionare il pulsante AGGIUNGI NUOVO e aggiungere un utente nativo.
    3. Creare un nuovo utente per l'account API. Opzionale: Selezionare un gruppo Home diverso da Tutti per limitare i rilevamenti inseriti.
    4. Nella scheda Set di autorizzazioni assegnare il set di autorizzazioni Enterprise controllo controllo.
    5. Disconnettersi dall'account amministratore e accedere alla console con le nuove credenziali API per la convalida, quindi disconnettersi dall'account API.

    ESET Security Management Center (SMC) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Syslog

    Configurare i log SMC ESET da raccogliere
    Configurare l'agente OMS per passare i dati Eset SMC in formato API
    Modificare la configurazione dell'agente OMS per rilevare il tag oms.api.eset e analizzare i dati strutturati
    Disabilitare la configurazione automatica e riavviare l'agente
    Tabelle di Log Analytics eset_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Documentazione del server Syslog ESET
    Supportato da ESET

    Configurare i log SMC ESET da raccogliere

    Configurare rsyslog per accettare i log dall'indirizzo IP di Eset SMC.

        sudo -i
        # Set ESET SMC source IP address
        export ESETIP={Enter your IP address}
    
        # Create rsyslog configuration file
        cat > /etc/rsyslog.d/80-remote.conf << EOF
        \$ModLoad imudp
        \$UDPServerRun 514
        \$ModLoad imtcp
        \$InputTCPServerRun 514
        \$AllowedSender TCP, 127.0.0.1, $ESETIP
        \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
        EOF
    
        # Restart rsyslog
        systemctl restart rsyslog
    

    Configurare l'agente OMS per passare i dati Eset SMC in formato API

    Per riconoscere facilmente i dati Eset, eseguire il push in una tabella separata e analizzarli in agent per semplificare e velocizzare la query di Microsoft Sentinel.

    Nel file /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf modificare la sezione per inviare dati come oggetti API, modificando il tipo match oms.** in out_oms_api .

    Il codice seguente è un esempio della sezione match oms.** completa:

        <match oms.** docker.**>
          type out_oms_api
          log_level info
          num_threads 5
          run_in_background false
    
          omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
          cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
          key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key
    
          buffer_chunk_limit 15m
          buffer_type file
          buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer
    
          buffer_queue_limit 10
          buffer_queue_full_action drop_oldest_chunk
          flush_interval 20s
          retry_limit 10
          retry_wait 30s
          max_retry_wait 9m
        </match>
    

    Modificare la configurazione dell'agente OMS per rilevare il tag oms.api.eset e analizzare i dati strutturati

    Modificare il file /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf.

    Ad esempio:

        <source>
          type syslog
          port 25224
          bind 127.0.0.1
          protocol_type udp
          tag oms.api.eset
        </source>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format /(?<message>.*?{.*})/
        </filter>
    
        <filter oms.api.**>
          @type parser
          key_name message
          format json
        </filter>
    

    Disabilitare la configurazione automatica e riavviare l'agente

    Ad esempio:

        # Disable changes to configuration files from Portal
        sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
    
        # Restart agent
        sudo /opt/microsoft/omsagent/bin/service_control restart
    
        # Check agent logs
        tail -f /var/opt/microsoft/omsagent/log/omsagent.log
    

    Configurare Eset SMC per l'invio di log al connettore

    Configurare i log Eset usando lo stile BSD e il formato JSON.

    • Passare alla configurazione del server Syslog configurare host (connettore), Format BSD e Transport TCP
    • Passare alla sezione Registrazione e abilitare JSON

    Per altre informazioni, vedere la documentazione di Eset.

    Exabeam Advanced Analytics (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Syslog
    Tabelle di Log Analytics syslog
    Alias della funzione Kusto: ExabeamEvent
    URL della funzione Kusto: https://aka.ms/Sentinel-Exabeam-parser
    Documentazione del
    fornitore/istruzioni di installazione
    Configurare le notifiche delle attività di sistema di Advanced Analytics
    Supportato da Microsoft

    ExtraHop Reveal(x)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Connettore SIEM di rilevamento ExtraHop
    Supportato da ExtraHop

    BIG-IP F5

    Attributo del connettore Descrizione
    Metodo di inserimento dati API agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics F5Telemetry_LTM_CL
    F5Telemetry_system_CL
    F5Telemetry_ASM_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Integrazione di F5 BIG-IP con Microsoft Sentinel
    Supportato da F5 Networks

    Reti F5 (ASM)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Configurazione della registrazione degli eventi di sicurezza delle applicazioni
    Supportato da F5 Networks

    Forcepoint Cloud Access Security Broker (CASB) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Forcepoint CASB e Microsoft Sentinel
    Supportato da Forcepoint

    Forcepoint Cloud Security Gateway (CSG) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Forcepoint Cloud Security Gateway e Microsoft Sentinel
    Supportato da Forcepoint

    Prevenzione della perdita dei dati di Forcepoint (DLP) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati API agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics ForcepointDLPEvents_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Prevenzione della perdita di dati di Forcepoint e Microsoft Sentinel
    Supportato da Forcepoint

    Forcepoint Next Generation Firewall (NGFW) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Forcepoint Next-Gen Firewall e Microsoft Sentinel
    Supportato da Forcepoint

    ForgeRock Common Audit (CAUD) per CEF (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Installare questo prima di tutto. Controllo comune ForgeRock (CAUD) per Microsoft Sentinel
    Supportato da ForgeRock

    Fortinet

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog

    Inviare i log fortinet al server d'inoltro log

    Disponibile nella soluzione Fortinet Fortigate
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Raccolta documenti Fortinet
    Scegliere la versione e usare i FILE DI RIFERIMENTO del manuale e del messaggio di log.
    Supportato da Fortinet

    Inviare i log fortinet al server d'inoltro log

    Aprire l'interfaccia della riga di comando nell'appliance Fortinet ed eseguire i comandi seguenti:

    config log syslogd setting
    set status enable
    set format cef
    set port 514
    set server <ip_address_of_Forwarder>
    end
    
    • Sostituire l'indirizzo IP del server con l'indirizzo IP del server d'inoltro del log.
    • Impostare la porta syslog su 514 o la porta impostata nel daemon Syslog nel server d'inoltro.
    • Per abilitare il formato CEF nelle versioni precedenti di FortiOS, potrebbe essere necessario eseguire il set di comandi csv disable.

    Area di lavoro Di Google (G-Suite) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST

    Configurazione aggiuntiva per l'API Google Reports
    Tabelle di Log Analytics GWorkspace_ReportsAPI_admin_CL
    GWorkspace_ReportsAPI_calendar_CL
    GWorkspace_ReportsAPI_drive_CL
    GWorkspace_ReportsAPI_login_CL
    GWorkspace_ReportsAPI_mobile_CL
    GWorkspace_ReportsAPI_token_CL
    GWorkspace_ReportsAPI_user_accounts_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp
    Credenziali dell'API
  • GooglePickleString
  • Documentazione del
    fornitore/istruzioni di installazione
  • Documentazione dell'API
  • Ottenere le credenziali in Eseguire google workspace Domain-Wide delega dell'autorità
  • Convertire il file token.pickle in stringa pickle
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Alias della funzione Kusto GWorkspaceActivityReports
    Url della funzione Kusto/
    Istruzioni di configurazione del parser
    https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser
    Impostazioni delle applicazioni
  • GooglePickleString
  • WorkspaceID
  • workspaceKey
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    Configurazione aggiuntiva per l'API Google Reports

    Aggiungere http://localhost:8081/ in URI di reindirizzamento autorizzati durante la creazione di credenziali dell'applicazione Web.

    1. Seguire le istruzioni per ottenere il file credentials.json.
    2. Per ottenere la stringa pickle di Google, eseguire questo script Python (nello stesso percorso di credentials.json).
    3. Copiare l'output della stringa pickle tra virgolette singole e salvare. Sarà necessario per distribuire l'app per le funzioni.

    AmS (Illusive Attack Management System) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Guida dell'amministratore di Reti illusive
    Supportato da Illusive Networks

    Gateway WAF Imperva (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog

    Disponibile nella soluzione WAF di Imperva Cloud
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Passaggi per l'abilitazione della registrazione degli avvisi del gateway Imperva WAF in Microsoft Sentinel
    Supportato da Imperva

    Infoblox Network Identity Operating System (NIOS) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Syslog

    disponibile nella soluzione InfoBlox Threat Defense
    Tabelle di Log Analytics syslog
    Alias della funzione Kusto: InfobloxNIOS
    URL della funzione Kusto: https://aka.ms/sentinelgithubparsersinfoblox
    Documentazione del
    fornitore/istruzioni di installazione
    Guida alla distribuzione di NIOS SNMP e Syslog
    Supportato da Microsoft

    Juniper SRX (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Syslog
    Tabelle di Log Analytics syslog
    Alias della funzione Kusto: JuniperSRX
    URL della funzione Kusto: https://aka.ms/Sentinel-junipersrx-parser
    Documentazione del
    fornitore/istruzioni di installazione
    Configurare la registrazione del traffico (log dei criteri di sicurezza) per i dispositivi SRX Branch
    Configurare la registrazione di sistema
    Supportato da Juniper Networks

    Lookout Mobile Threat Defense (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST

    Disponibile solo dopo l'installazione della soluzione Lookout Mobile Threat Defense per Microsoft Sentinel
    Tabelle di Log Analytics Lookout_CL
    Credenziali dell'API
  • Chiave dell'applicazione Lookout
  • Documentazione del
    fornitore/istruzioni di installazione
  • Guida all'installazione (accesso obbligatorio)
  • Documentazione dell'API (è necessario l'accesso)
  • Lookout Mobile Endpoint Security
  • Supportato da Lookout

    Microsoft 365 Defender

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    Connessione dati da Microsoft 365 Defender a Microsoft Sentinel
    (articolo connettore principale)
    Prerequisiti della
    licenza/Informazioni sui costi
    Licenza valida per Microsoft 365 Defender
    Tabelle di Log Analytics Avvisi:
    SecurityAlert
    SecurityIncident
    Eventi di Defender per endpoint:
    DeviceEvents
    DeviceFileEvents
    DeviceImageLoadEvents
    DeviceInfo
    DeviceLogonEvents
    DeviceNetworkEvents
    DeviceNetworkInfo
    DeviceProcessEvents
    DeviceRegistryEvents
    DeviceFileCertificateInfo
    Defender per Office 365 eventi:
    EmailAttachmentInfo
    EmailUrlInfo
    Eventi di posta elettronica
    EmailPostDeliveryEvents
    Supportato da Microsoft

    Microsoft 365 Insider Risk Management (IRM) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su API


    Disponibile anche nella soluzione Microsoft 365 Insider Risk Management
    Licenza e altri prerequisiti
    • Sottoscrizione valida per Microsoft 365 E5/A5/G5 o i relativi componenti aggiuntivi Conformità o IRM.
    • Microsoft 365 gestione dei rischi Insider completamente onboarding e criteri IRM definiti e che generano avvisi.
    • Microsoft 365 IRM configurato per abilitare l'esportazione degli avvisi IRM nell'API delle attività di gestione di Office 365 per ricevere gli avvisi tramite il connettore Microsoft Sentinel.
    Tabelle di Log Analytics SecurityAlert
    Filtro query di dati SecurityAlert
    \| where ProductName == "Microsoft 365 Insider Risk Management"
    Supportato da Microsoft

    Microsoft Defender for Cloud Apps

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su API


    Per Cloud Discovery, abilitare Microsoft Sentinel come sistema SIEM in Microsoft Defender per le app cloud
    Tabelle di Log Analytics SecurityAlert - per gli avvisi
    McasShadowItReporting : per Cloud Discovery log
    Supportato da Microsoft

    Microsoft Defender for Endpoint

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su API
    Prerequisiti della
    licenza/Informazioni sui costi
    Licenza valida per la distribuzione di Microsoft Defender per endpoint
    Tabelle di Log Analytics SecurityAlert
    Supportato da Microsoft

    Microsoft Defender per identità

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su API
    Tabelle di Log Analytics SecurityAlert
    Supportato da Microsoft

    Microsoft Defender per Office 365

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su API
    Prerequisiti della
    licenza/Informazioni sui costi
    È necessario disporre di una licenza valida per Office 365 ATP Piano 2
    Tabelle di Log Analytics SecurityAlert
    Supportato da Microsoft

    Microsoft Office 365

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su API
    Prerequisiti della
    licenza/Informazioni sui costi
    La Office 365 deve essere nello stesso tenant dell'area di lavoro di Microsoft Sentinel.
    Possono essere applicati altri addebiti
    Tabelle di Log Analytics OfficeActivity
    Supportato da Microsoft

    Morphisec UTPP (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog, con un parser di funzioni Kusto
    Tabelle di Log Analytics CommonSecurityLog
    Alias della funzione Kusto: Morphisec
    URL della funzione Kusto https://aka.ms/Sentinel-Morphiescutpp-parser
    Supportato da Morphisec

    Netskope (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST
    Tabelle di Log Analytics Netskope_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/Sentinel-netskope-functioncode
    Credenziali dell'API
  • Netskope API Token
  • Documentazione del
    fornitore/istruzioni di installazione
  • Netskope Cloud Security Platform
  • Documentazione dell'API Netskope
  • Ottenere un token API
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Alias della funzione Kusto Netskope
    Url della funzione Kusto/
    Istruzioni di configurazione del parser
    https://aka.ms/Sentinel-netskope-parser
    Impostazioni delle applicazioni
  • apikey
  • workspaceID
  • workspaceKey
  • uri (dipende dall'area, lo schema seguente: https://<Tenant Name>.goskope.com )
  • timeInterval (impostato su 5)
  • logTypes
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    Server HTTP NGINX (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Agente di Log Analytics : log personalizzati
    Tabelle di Log Analytics NGINX_CL
    Alias della funzione Kusto: NGINXHTTPServer
    URL della funzione Kusto https://aka.ms/Sentinel-NGINXHTTP-parser
    Documentazione del
    fornitore/istruzioni di installazione
    Modulo ngx_http_log_module
    File di esempio di log personalizzato: access.log o error.log
    Supportato da Microsoft

    NXLog Basic Security Module (BSM) macOS (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati API agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics BSMmacOS_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Guida dell'utente di Microsoft Sentinel NXLog
    Supportato da NXLog

    Log DNS NXLog (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati API agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics DNS_Logs_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Guida dell'utente di Microsoft Sentinel NXLog
    Supportato da NXLog

    NXLog LinuxAudit (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati API agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics LinuxAudit_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Guida dell'utente di Microsoft Sentinel NXLog
    Supportato da NXLog

    Okta Single Sign-On (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST
    Tabelle di Log Analytics Okta_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/sentineloktaazurefunctioncodev2
    Credenziali dell'API
  • API Token
  • Documentazione del
    fornitore/istruzioni di installazione
  • Documentazione dell'API Registro di sistema okta
  • Creare un token API
  • Connessione SSO di Okta a Microsoft Sentinel
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Impostazioni delle applicazioni
  • apiToken
  • workspaceID
  • workspaceKey
  • uri (segue lo schema https://<OktaDomain>/api/v1/logs?since= . Identificare lo spazio dei nomi didominio.
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    Piattaforma Onapsis (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog, con una funzione di ricerca e arricchimento Kusto

    Configurare Onapsis per l'invio di log CEF al server d'inoltro log
    Tabelle di Log Analytics CommonSecurityLog
    Alias della funzione Kusto: incident_lookup
    URL della funzione Kusto https://aka.ms/Sentinel-Onapsis-parser
    Supportato da Onapsis

    Configurare Onapsis per l'invio di log CEF al server d'inoltro log

    Per configurare l'inoltro dei log all'agente di Log Analytics, vedere la Guida di Onapsis nel prodotto.

    1. Passare a Configura > integrazioni di terze parti > e seguire le istruzioni per Microsoft Sentinel.
    2. Assicurarsi che la console Onapsis possa raggiungere il computer del server d'inoltro log in cui è installato l'agente. I log devono essere inviati alla porta 514 tramite TCP.

    One Identity Safeguard (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    One Identity Safeguard for Privileged Sessions Administration Guide
    Supportato da One Identity

    Oracle WebLogic Server (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Agente di Log Analytics : log personalizzati
    Tabelle di Log Analytics OracleWebLogicServer_CL
    Alias della funzione Kusto: OracleWebLogicServerEvent
    URL della funzione Kusto: https://aka.ms/Sentinel-OracleWebLogicServer-parser
    Documentazione del
    fornitore/istruzioni di installazione
    Documentazione di Oracle WebLogic Server
    File di esempio di log personalizzato: server.log
    Supportato da Microsoft

    Sicurezza orca (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati API dell'agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics OrcaAlerts_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Integrazione di Microsoft Sentinel
    Supportato da Orca Security

    OSSEC (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog, con un parser di funzioni Kusto
    Tabelle di Log Analytics CommonSecurityLog
    Alias della funzione Kusto: OSSECEvent
    URL della funzione Kusto: https://aka.ms/Sentinel-OSSEC-parser
    Documentazione del
    fornitore/istruzioni di installazione
    Documentazione di OSSEC
    Invio di avvisi tramite Syslog
    Supportato da Microsoft

    Palo Alto Networks

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog

    Disponibile anche nelle soluzioni Palo Alto PAN-OS e Prisma
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    guide alla configurazione di Common Event Format (CEF)
    Configurare il monitoraggio syslog
    Supportato da Palo Alto Networks

    Log attività perimetrali 81 (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati API dell'agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics Perimeter81_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Documentazione di Perimeter 81
    Supportato da Perimeter 81

    Proofpoint On Demand (POD) Email Security (Anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST

    Disponibile anche nella soluzione POD proofpoint
    Tabelle di Log Analytics ProofpointPOD_message_CL
    ProofpointPOD_maillog_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/Sentinel-proofpointpod-functionapp
    Credenziali API
  • ProofpointClusterID
  • ProofpointToken
  • Documentazione del
    fornitore/istruzioni di installazione
  • Accedere all'applicazione Proofpoint Community
  • Documentazione e istruzioni dell'API Proofpoint
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Alias della funzione Kusto ProofpointPOD
    Url della funzione Kusto/Istruzioni
    di configurazione del parser
    https://aka.ms/Sentinel-proofpointpod-parser
    Impostazioni delle applicazioni
  • ProofpointClusterID
  • ProofpointToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    Proofpoint Targeted Attack Protection (TAP) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST

    Disponibile anche nella soluzione Proofpoint TAP
    Tabelle di Log Analytics ProofPointTAPClicksPermitted_CL
    ProofPointTAPClicksBlocked_CL
    ProofPointTAPMessagesDelivered_CL
    ProofPointTAPMessagesBlocked_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/sentinelproofpointtapazurefunctioncode
    Credenziali API
  • Nome utente API
  • API Password
  • Documentazione del
    fornitore/istruzioni di installazione
  • Documentazione dell'API SIEM proofpoint
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Impostazioni delle applicazioni
  • apiUsername
  • apiUsername
  • uri (impostato su https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300 )
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    Pulse Connessione Secure (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Syslog
    Tabelle di Log Analytics syslog
    Alias della funzione Kusto: PulseConnectSecure
    URL della funzione Kusto: https://aka.ms/sentinelgithubparserspulsesecurevpn
    Documentazione del
    fornitore/istruzioni di installazione
    Configurazione di Syslog
    Supportato da Microsoft

    Qualys VM KnowledgeBase (KB) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST

    Configurazione aggiuntiva per la KB della macchina virtuale Qualys

    Disponibile anche nella soluzione qualys VM
    Tabelle di Log Analytics QualysKB_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/Sentinel-qualyskb-functioncode
    Credenziali API
  • Nome utente API
  • API Password
  • Documentazione del
    fornitore/istruzioni di installazione
  • Manuale dell'utente dell'API QualysVM
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Alias della funzione Kusto QualysKB
    Url della funzione Kusto/
    Istruzioni di configurazione del parser
    https://aka.ms/Sentinel-qualyskb-parser
    Impostazioni delle applicazioni
  • apiUsername
  • apiUsername
  • uri (per area; vedere Elenco server API. Segue lo schema https://<API Server>/api/2.0 .
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (aggiungere alla fine dell'URI, delimitato da & . Nessun spazio.
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    Configurazione aggiuntiva per la KB della macchina virtuale Qualys

    1. Accedere alla console qualys Vulnerability Management con un account amministratore, selezionare la scheda Utenti e la sottoscheda Utenti.
    2. Selezionare il menu a discesa Nuovo e selezionare Utenti.
    3. Creare un nome utente e una password per l'account API.
    4. Nella scheda Ruoli utente verificare che il ruolo dell'account sia impostato su Manager e che l'accesso sia consentito all'interfaccia utente grafica e all'API
    5. Disconnettersi dall'account amministratore e accedere alla console con le nuove credenziali API per la convalida, quindi disconnettersi dall'account API.
    6. Accedere di nuovo alla console usando un account amministratore e modificare gli account API Ruoli utente, rimuovendo l'accesso all'interfaccia utente grafica.
    7. Salvare tutte le modifiche.

    Qualys Vulnerability Management (VM) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST

    Configurazione aggiuntiva per la macchina virtuale Qualys
    Distribuzione manuale: dopo la configurazione dell'app per le funzioni
    Tabelle di Log Analytics QualysHostDetection_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/sentinelqualysvmazurefunctioncode
    Credenziali dell'API
  • Nome utente API
  • API Password
  • Documentazione del
    fornitore/istruzioni di installazione
  • Guida dell'utente dell'API QualysVM
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Impostazioni delle applicazioni
  • apiUsername
  • apiUsername
  • uri (per area; vedere Elenco server API. Segue lo schema https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after= .
  • WorkspaceID
  • WorkspaceKey
  • filterParameters (aggiungere alla fine dell'URI, delimitato da & . Nessun spazio.
  • timeInterval (impostato su 5. Se si modifica, modificare di conseguenza il trigger timer dell'app per le funzioni.
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    Configurazione aggiuntiva per la macchina virtuale Qualys

    1. Accedere alla console qualys Vulnerability Management con un account amministratore, selezionare la scheda Utenti e la sottoscheda Utenti.
    2. Selezionare il menu a discesa Nuovo e selezionare Utenti.
    3. Creare un nome utente e una password per l'account API.
    4. Nella scheda Ruoli utente verificare che il ruolo dell'account sia impostato su Manager e che l'accesso sia consentito all'interfaccia utente grafica e all'API
    5. Disconnettersi dall'account amministratore e accedere alla console con le nuove credenziali API per la convalida, quindi disconnettersi dall'account API.
    6. Accedere di nuovo alla console usando un account amministratore e modificare gli account API Ruoli utente, rimuovendo l'accesso all'interfaccia utente grafica.
    7. Salvare tutte le modifiche.

    Distribuzione manuale: dopo la configurazione dell'app per le funzioni

    Configurare il file host.json

    A causa della quantità potenzialmente grande di dati di rilevamento host Qualys inseriti, il tempo di esecuzione può superare il timeout predefinito dell'app per le funzioni di cinque minuti. Aumentare la durata del timeout predefinita fino a un massimo di 10 minuti, nel piano a consumo, per consentire più tempo per l'esecuzione dell'app per le funzioni.

    1. Nell'app per le funzioni selezionare il nome dell'app per le funzioni e selezionare la editor del servizio app pagina.
    2. Selezionare Vai per aprire l'editor, quindi selezionare il file host.json nella directory wwwroot.
    3. Aggiungere la riga "functionTimeout": "00:10:00", sopra la managedDependancy riga.
    4. Assicurarsi che SAVED venga visualizzato nell'angolo superiore destro dell'editor, quindi uscire dall'editor.

    Se è necessaria una durata di timeout più lunga, è consigliabile eseguire l'aggiornamento a un piano di servizio app.

    Cloud del servizio Salesforce (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST
    Tabelle di Log Analytics SalesforceServiceCloud_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp
    Credenziali dell'API
  • Nome utente DELL'API Salesforce
  • Password dell'API Salesforce
  • Token di sicurezza salesforce
  • Chiave consumer di Salesforce
  • Segreto di Salesforce Consumer
  • Documentazione del
    fornitore/istruzioni di installazione
    Guida per gli sviluppatori dell'API REST salesforce
    In Configura autorizzazione usare il metodo ID sessione anziché OAuth.
    Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Alias della funzione Kusto SalesforceServiceCloud
    Url della funzione Kusto/
    Istruzioni di configurazione del parser
    https://aka.ms/Sentinel-SalesforceServiceCloud-parser
    Impostazioni delle applicazioni
  • SalesforceUser
  • SalesforcePass
  • SalesforceSecurityToken
  • SalesforceConsumerKey
  • SalesforceConsumerSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    Eventi di sicurezza tramite agente legacy (Windows)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su agente di Log Analytics
    Tabelle di Log Analytics SecurityEvents
    Supportato da Microsoft

    Per altre informazioni, vedere Configurazione della cartella di lavoro protocolli non sicuri.

    Vedere anche: Sicurezza di Windows eventi tramite il connettore DELL'agente di gestione delle applicazioni basato su Monitoraggio di Azure Agent (UNIS)

    Configurare il connettore Eventi di sicurezza/Sicurezza di Windows eventi per il rilevamento anomalo dell'accesso RDP.

    SentinelOne (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST

    Configurazione aggiuntiva per SentinelOne
    Tabelle di Log Analytics SentinelOne_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/Sentinel-SentinelOneAPI-functionapp
    Credenziali API
  • SentinelOneAPIToken
  • SentinelOneUrl ( https://<SOneInstanceDomain>.sentinelone.net )
  • Documentazione del
    fornitore/istruzioni di installazione
  • https:// <SOneInstanceDomain> .sentinelone.net/api-doc/overview
  • Vedere le istruzioni riportate di seguito
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Alias della funzione Kusto SentinelOne
    Url della funzione Kusto/Istruzioni
    di configurazione del parser
    https://aka.ms/Sentinel-SentinelOneAPI-parser
    Impostazioni delle applicazioni
  • SentinelOneAPIToken
  • SentinelOneUrl
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    Configurazione aggiuntiva per SentinelOne

    Seguire le istruzioni per ottenere le credenziali.

    1. Accedere a SentinelOne Management Console con le credenziali di utente amministratore.
    2. Nella Console di gestione selezionare Impostazioni.
    3. Nella visualizzazione IMPOSTAZIONI selezionare UTENTI
    4. Selezionare New User (Nuovo utente).
    5. Immettere le informazioni per il nuovo utente della console.
    6. In Ruolo selezionare Amministratore.
    7. Selezionare SALVA
    8. Salvare le credenziali del nuovo utente da usare nel connettore dati.

    SonicWall Firewall (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Log > Syslog
    Selezionare facility local4 e ArcSight come formato Syslog.
    Supportato da SonicWALL

    Sophos Cloud Optix (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati API dell'agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics SophosCloudOptix_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Eseguire l'integrazione con Microsoft Sentinel,ignorando il primo passaggio.
    Esempi di query Sophos
    Supportato da Sophos

    Sophos XG Firewall (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Syslog
    Tabelle di Log Analytics syslog
    Alias della funzione Kusto: SophosXGFirewall
    URL della funzione Kusto: https://aka.ms/sentinelgithubparserssophosfirewallxg
    Documentazione del
    fornitore/istruzioni di installazione
    Aggiungere un server Syslog
    Supportato da Microsoft

    Squadra Technologies secRMM

    Attributo del connettore Descrizione
    Metodo di inserimento dati API agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics secRMM_CL
    Documentazione del
    fornitore/istruzioni di installazione
    SecRMM Guida dell'amministratore di Microsoft Sentinel
    Supportato da Squadra Technologies

    Proxy di calamaro (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Agente di Log Analytics : log personalizzati
    Tabelle di Log Analytics SquidProxy_CL
    Alias della funzione Kusto: SquidProxy
    URL della funzione Kusto https://aka.ms/Sentinel-squidproxy-parser
    File di esempio di log personalizzato: access.log o cache.log
    Supportato da Microsoft

    Symantec Integrated Cyber Defense Exchange (ICDx)

    Attributo del connettore Descrizione
    Metodo di inserimento dati API agente di raccolta dati di Microsoft Sentinel
    Tabelle di Log Analytics SymantecICDx_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Configurazione dei server d'inoltro di Microsoft Sentinel (Log Analytics)
    Supportato da Broadcom Symantec

    Symantec ProxySG (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Syslog
    Tabelle di Log Analytics syslog
    Alias della funzione Kusto: SymantecProxySG
    URL della funzione Kusto: https://aka.ms/sentinelgithubparserssymantecproxysg
    Documentazione del
    fornitore/istruzioni di installazione
    Invio di log di accesso a un server Syslog
    Supportato da Microsoft

    Symantec VIP (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Syslog
    Tabelle di Log Analytics syslog
    Alias della funzione Kusto: SymantecVIP
    URL della funzione Kusto: https://aka.ms/sentinelgithubparserssymantecvip
    Documentazione del
    fornitore/istruzioni di installazione
    Configurazione di syslog
    Supportato da Microsoft

    Thycotic Secret Server (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Registrazione syslog/CEF protetta
    Supportato da Thycotic

    Trend Micro Deep Security

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog, con un parser di funzioni Kusto
    Tabelle di Log Analytics CommonSecurityLog
    Alias della funzione Kusto: TrendMicroDeepSecurity
    URL della funzione Kusto https://aka.ms/TrendMicroDeepSecurityFunction
    Documentazione del
    fornitore/istruzioni di installazione
    Inoltrare eventi di deep security a un server Syslog o SIEM
    Supportato da Trend Micro

    Trend Micro TippingPoint (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog, con un parser di funzioni Kusto
    Tabelle di Log Analytics CommonSecurityLog
    Alias della funzione Kusto: TrendMicroTippingPoint
    URL della funzione Kusto https://aka.ms/Sentinel-trendmicrotippingpoint-function
    Documentazione del
    fornitore/istruzioni di installazione
    Inviare messaggi Syslog in formato ArcSight CEF v4.2.
    Supportato da Trend Micro

    Trend Micro Vision One (XDR) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST
    Tabelle di Log Analytics TrendMicro_XDR_CL
    Credenziali API
  • API Token
  • Documentazione del
    fornitore/istruzioni di installazione
  • Trend Micro Vision One API
  • Recupero di chiavi API per l'accesso a terze parti
  • Istruzioni per la distribuzione del connettore Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
    Supportato da Trend Micro

    VMware Carbon Black Endpoint Standard (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST
    Tabelle di Log Analytics CarbonBlackEvents_CL
    CarbonBlackAuditLogs_CL
    CarbonBlackNotifications_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/sentinelcarbonblackazurefunctioncode
    Credenziali API Livello di accesso API (per log di controllo ed eventi):
  • API ID
  • Chiave API

    Livello di accesso SIEM (per eventi di notifica):
  • SIEM API ID
  • Chiave API SIEM
  • Documentazione del
    fornitore/istruzioni di installazione
  • Documentazione dell'API Carbon Black
  • Creazione di una chiave API
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Impostazioni delle applicazioni
  • apiId
  • apiKey
  • WorkspaceID
  • WorkspaceKey
  • uri (in base all'area; Vedere l'elenco delle opzioni. Schema seguente: https://<API URL>.conferdeploy.net .
  • timeInterval (impostato su 5)
  • SIEMapiId (se si inseriscono eventi di notifica)
  • SIEMapiKey (se si inseriscono eventi di notifica)
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    VMware ESXi (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Syslog
    Tabelle di Log Analytics syslog
    Alias della funzione Kusto: VMwareESXi
    URL della funzione Kusto: https://aka.ms/Sentinel-vmwareesxi-parser
    Documentazione del
    fornitore/istruzioni di installazione
    Abilitazione di Syslog in ESXi 3.5 e 4.x
    Configurare Syslog in host ESXi
    Supportato da Microsoft

    WatchGuard Firebox (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Syslog
    Tabelle di Log Analytics syslog
    Alias della funzione Kusto: WatchGuardFirebox
    URL della funzione Kusto: https://aka.ms/Sentinel-watchguardfirebox-parser
    Documentazione del
    fornitore/istruzioni di installazione
    Guida all'integrazione di Microsoft Sentinel
    Supportato da Tecnologie WatchGuard

    WireX Network Forensics Platform (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Contattare il supporto di WireX per configurare la soluzione NFP per l'invio di messaggi Syslog in formato CEF.
    Supportato da Sistemi WireX

    Windows server DNS (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su agente di Log Analytics
    Tabelle di Log Analytics DnsEvents
    DnsInventory
    Supportato da Microsoft

    Windows eventi inoltrati (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure: Monitoraggio di Azure
    connessioni basate su Agent


    Istruzioni aggiuntive per la distribuzione del connettore Windows eventi inoltrati
    Prerequisiti È necessario che la Windows eventi (WEC) sia abilitata e in esecuzione.
    Installare l Monitoraggio di Azure Agent nel computer WEC.
    Prefisso delle query xPath "ForwardedEvents!*"
    Tabelle di Log Analytics Eventi di Windows
    Supportato da Microsoft

    Istruzioni aggiuntive per la distribuzione del connettore Windows eventi inoltrati

    È consigliabile installare i parser ASIM (Advanced SIEM Information Model) per garantire il supporto completo per la normalizzazione dei dati. È possibile distribuire questi parser dal Azure-Sentinel repository GitHub usando il pulsante Distribuisci in Azure.

    Windows Firewall

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure:
    connessioni basate su agente di Log Analytics
    Tabelle di Log Analytics WindowsFirewall
    Supportato da Microsoft

    Sicurezza di Windows eventi tramite AMA

    Attributo del connettore Descrizione
    Metodo di inserimento dati Integrazione da servizio a servizio di Azure: Monitoraggio di Azure
    connessioni basate su Agent
    Prefisso delle query xPath "Security!*"
    Tabelle di Log Analytics SecurityEvents
    Supportato da Microsoft

    Vedere anche: Eventi di sicurezza tramite connettore agente legacy.

    Configurare il connettore Eventi di sicurezza/Sicurezza di Windows eventi per il rilevamento anomalo degli accessi RDP

    Importante

    Il rilevamento anomalo degli accessi RDP è attualmente in anteprima pubblica. Questa funzionalità viene fornita senza un contratto di servizio e non è consigliata per i carichi di lavoro di produzione. Per altre informazioni, vedere Condizioni supplementari per l'utilizzo delle anteprime di Microsoft Azure.

    Microsoft Sentinel può applicare Machine Learning (ML) ai dati degli eventi di sicurezza per identificare l'attività di accesso Remote Desktop Protocol (RDP). Gli scenari includono:

    • IP insolito: l'indirizzo IP è stato osservato raramente o mai negli ultimi 30 giorni

    • Posizione geografica insolita: l'indirizzo IP, la città, il paese e l'ASN sono stati osservati raramente o mai negli ultimi 30 giorni

    • Nuovo utente: un nuovo utente accede da un indirizzo IP e da una posizione geografica, entrambi o uno dei quali non era previsto che fossero visibili in base ai dati dei 30 giorni precedenti.

    Istruzioni di configurazione

    1. È necessario raccogliere i dati di accesso RDP (ID evento 4624) tramite i connettori dati eventi di sicurezza o Sicurezza di Windows eventi. Assicurarsi di aver selezionato un set di eventi oltre a "Nessuno" o di aver creato una regola di raccolta dati che include questo ID evento, per eseguire lo streaming in Microsoft Sentinel.

    2. Nel portale di Microsoft Sentinel selezionare Analisi e quindi selezionare la scheda Modelli di regola. Scegliere la regola di rilevamento degli accessi RDP anomali (anteprima) e spostare il dispositivo di scorrimento Stato su Abilitato.

      Nota

      Poiché l'algoritmo di Machine Learning richiede 30 giorni di dati per creare un profilo di base del comportamento dell'utente, è necessario consentire la raccolta di 30 giorni di dati degli eventi Sicurezza di Windows prima che possano essere rilevati eventi imprevisti.

    Workplace from Facebook (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST

    Configurare i webhook
    Aggiungere l'URL di callback alla configurazione del webhook
    Tabelle di Log Analytics Workplace_Facebook_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/Sentinel-WorkplaceFacebook-functionapp
    Credenziali dell'API
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • Documentazione del
    fornitore/istruzioni di installazione
  • Configurare i webhook
  • Configurare le autorizzazioni
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Alias della funzione Kusto Workplace_Facebook
    Url della funzione Kusto/
    Istruzioni di configurazione del parser
    https://aka.ms/Sentinel-WorkplaceFacebook-parser
    Impostazioni delle applicazioni
  • WorkplaceAppSecret
  • WorkplaceVerifyToken
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    Configurare i webhook

    1. Accedere all'area di lavoro con le credenziali utente di amministratore.
    2. Nel pannello Amministratore selezionare Integrazioni.
    3. Nella visualizzazione Tutte le integrazioni selezionare Crea integrazione personalizzata.
    4. Immettere il nome e la descrizione e selezionare Crea.
    5. Nel pannello Dei dettagli di integrazione visualizzare il segreto dell'app e copiarlo.
    6. Nel pannello Autorizzazioni di integrazione impostare tutte le autorizzazioni di lettura. Per informazioni dettagliate, vedere la pagina delle autorizzazioni.

    Aggiungere l'URL di callback alla configurazione del webhook

    1. Aprire la pagina dell'app per le funzioni, passare all'elenco Funzioni, selezionare Ottieni URL funzione e copiarlo.
    2. Tornare a Workplace da Facebook. Nel pannello Configura webhook, in ogni scheda impostare l'URL di callback come URL funzione copiato nell'ultimo passaggio e il token di verifica dello stesso valore ricevuto durante la distribuzione automatica o immesso durante la distribuzione manuale.
    3. Selezionare Salva.

    Zimperium Mobile Thread Defense (anteprima)

    Il connettore dati Zimperium Mobile Threat Defense connette il log delle minacce zimperium a Microsoft Sentinel per visualizzare i dashboard, creare avvisi personalizzati e migliorare l'analisi. Questo connettore offre informazioni più dettagliate sul panorama delle minacce per dispositivi mobili dell'organizzazione e migliora le funzionalità di funzionamento della sicurezza.

    Per altre informazioni, vedere Connessione Da Zimperium a Microsoft Sentinel.

    Attributo del connettore Descrizione
    Metodo di inserimento dati API agente di raccolta dati di Microsoft Sentinel

    Configurare e connettere Zimperium MTD
    Tabelle di Log Analytics ZimperiumThreatLog_CL
    ZimperiumMitigationLog_CL
    Documentazione del
    fornitore/istruzioni di installazione
    Portale di supporto clienti di Zimperium (è necessario l'accesso)
    Supportato da Zimperium

    Configurare e connettere Zimperium MTD

    1. In zConsole selezionare Gestisci sulla barra di spostamento.
    2. Selezionare la scheda Integrazioni.
    3. Selezionare il pulsante Segnalazione minacce e quindi il pulsante Aggiungi integrazioni.
    4. Creare l'integrazione:
      1. Dalle integrazioni disponibili selezionare Microsoft Sentinel.
      2. Immettere l'ID dell'area di lavoro e la chiave primaria, selezionare Avanti.
      3. Immettere un nome per l'integrazione di Microsoft Sentinel.
      4. Selezionare un livello di filtro per i dati sulle minacce di cui si vuole eseguire il push in Microsoft Sentinel.
      5. Selezionare Fine.

    Report zoom (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Funzioni di Azure e l'API REST
    Tabelle di Log Analytics Zoom_CL
    Codice dell'app per le funzioni di Azure https://aka.ms/Sentinel-ZoomAPI-functionapp
    Credenziali dell'API
  • ZoomApiKey
  • ZoomApiSecret
  • Documentazione del
    fornitore/istruzioni di installazione
  • Ottenere le credenziali usando JWT con Zoom
  • Istruzioni per la distribuzione del connettore
  • Distribuzione con un solo clic tramite Azure Resource Manager (ARM)
  • Distribuzione manuale
  • Alias della funzione Kusto Zoom
    Url della funzione Kusto/
    Istruzioni di configurazione del parser
    https://aka.ms/Sentinel-ZoomAPI-parser
    Impostazioni delle applicazioni
  • ZoomApiKey
  • ZoomApiSecret
  • WorkspaceID
  • WorkspaceKey
  • logAnalyticsUri (facoltativo)
  • Supportato da Microsoft

    Zscaler

    Attributo del connettore Descrizione
    Metodo di inserimento dati Common Event Format (CEF) su Syslog
    Tabelle di Log Analytics CommonSecurityLog
    Documentazione del
    fornitore/istruzioni di installazione
    Guida alla distribuzione di Zscaler e Microsoft Sentinel
    Supportato da Zscaler

    Zscaler Private Access (ZPA) (anteprima)

    Attributo del connettore Descrizione
    Metodo di inserimento dati Agente di Log Analytics : log personalizzati

    Configurazione aggiuntiva per L'accesso privato di Zscaler
    Tabelle di Log Analytics ZPA_CL
    Alias della funzione Kusto: ZPAEvent
    URL della funzione Kusto https://aka.ms/Sentinel-zscalerprivateaccess-parser
    Documentazione del
    fornitore/istruzioni di installazione
    Documentazione di Zscaler Private Access
    Vedere anche di seguito
    Supportato da Microsoft

    Configurazione aggiuntiva per L'accesso privato di Zscaler

    Seguire i passaggi di configurazione seguenti per ottenere i log di accesso privato di Zscaler in Microsoft Sentinel. Per altre informazioni, vedere la documentazione Monitoraggio di Azure . I log di accesso privato di Zscaler vengono recapitati tramite il servizio di streaming dei log (LSS). Per informazioni dettagliate, vedere la documentazione di LSS.

    1. Configurare ricevitori di log. Durante la configurazione di un ricevitore di log, scegliere JSON come Modello di log.

    2. Scaricare il file di configurazione zpa.conf.

      wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf
      
    3. Accedere al server in cui è stato installato l'agente di Azure Log Analytics.

    4. Copiare zpa.conf nella cartella /etc/opt/microsoft/omsagent/ workspace_id /conf/omsagent.d/.

    5. Modificare zpa.conf come segue:

      1. Specificare la porta a cui sono stati impostati i ricevitori di log di Zscaler a cui inoltrare i log (riga 4)
      2. Sostituire workspace_id con il valore reale dell'ID area di lavoro (righe 14,15,16,19)
    6. Salvare le modifiche e riavviare l'agente di Azure Log Analytics per il servizio Linux con il comando seguente:

      sudo /opt/microsoft/omsagent/bin/service_control restart
      

    È possibile trovare il valore dell'ID dell'area di lavoro nella pagina del connettore ZScaler Private Access o nella pagina di gestione degli agenti dell'area di lavoro Log Analytics.

    Passaggi successivi

    Per altre informazioni, vedere: