Microsoft Sentinel-gegevensconnectoren
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
Notitie
Zie de Microsoft Sentinel-tabellen in Cloud-functiebeschikbaarheid voor Amerikaanse overheidsklanten voor meer informatie over de beschikbaarheid van functies in clouds voor de Amerikaanse overheid.
Nadat u Microsoft Sentinel hebt onboarden in uw werkruimte, verbindt u gegevensbronnen om te beginnen met het opnemen van uw gegevens in Microsoft Sentinel. Microsoft Sentinel wordt geleverd met veel connectors voor Microsoft-producten, die direct beschikbaar zijn en realtime-integratie bieden. Service-naar-service-connectors omvatten bijvoorbeeld Microsoft 365 Defender-connectors en Microsoft 365-bronnen, zoals Office 365, Azure Active Directory (Azure AD), Microsoft Defender for Identity en Microsoft Defender voor Cloud Apps.
U kunt ook out-of-the-box-connectors inschakelen voor het bredere beveiligingsecosysteem voor niet-Microsoft-producten. U kunt bijvoorbeeld Syslog, Common Event Format (CEF)of REST API's gebruiken om uw gegevensbronnen te verbinden met Microsoft Sentinel.
Op de pagina Gegevensconnectoren, die toegankelijk is via het navigatiemenu van Microsoft Sentinel, ziet u de volledige lijst met connectors die Microsoft Sentinel biedt en hun status in uw werkruimte. Selecteer de connector die u wilt verbinden en selecteer vervolgens Pagina connector openen.
In dit artikel worden ondersteunde methoden voor gegevensverbindingen beschreven. Zie Naslaginformatie over Microsoft Sentinel-gegevensconnectoren en de microsoft Sentinel-oplossingencatalogus voor meer informatie.
Een gegevensconnector inschakelen
Op de pagina Gegevensconnectoren, die toegankelijk is via het navigatiemenu van Microsoft Sentinel, ziet u de volledige lijst met connectors die Microsoft Sentinel biedt en hun status. Selecteer de connector die u wilt verbinden en selecteer vervolgens Pagina connector openen.
U moet aan alle vereisten hebben voldaan en u ziet volledige instructies op de connectorpagina om de gegevens op te nemen in Microsoft Sentinel. Het kan enige tijd duren om gegevens te laten arriveren. Nadat u verbinding hebt, ziet u een samenvatting van de gegevens in de grafiek Gegevens ontvangen en de connectiviteitsstatus van de gegevenstypen.
Op het tabblad Volgende stappen ziet u aanvullende inhoud die Microsoft Sentinel biedt voor het specifieke gegevenstype: voorbeeldquery's, visualisatiewerkboeken en analyseregelsjablonen om bedreigingen te detecteren en te onderzoeken.
Zie de relevante sectie voor uw gegevensconnector in de naslaginformatie over gegevensconnectoren voor meer informatie.
REST API integratie
Veel beveiligingstechnologieën bieden een set API's voor het ophalen van logboekbestanden en sommige gegevensbronnen kunnen deze API's gebruiken om verbinding te maken met Microsoft Sentinel.
Gegevensconnectoren die gebruikmaken van API's, kunnen worden geïntegreerd vanaf de provider of worden geïntegreerd met Azure Functions, zoals beschreven in de volgende secties.
Zie de naslaginformatie voor gegevensconnectoren voor een volledige lijst en informatie over deze connectors.
REST API integratie aan de providerzijde
Een API-integratie die door de provider is gebouwd, maakt verbinding met de gegevensbronnen van de provider en pusht gegevens naar aangepaste Logboektabellen van Microsoft Sentinel met behulp van de Azure Monitor Data Collector API.
Zie de documentatie van uw provider voor meer informatie en Verbinding maken van uw gegevensbron naar de REST-API van Microsoft Sentinelom gegevens op te nemen.
REST API integratie met behulp van Azure Functions
Integraties die gebruikmaken van Azure Functions verbinding te maken met een provider-API, formatteert de gegevens eerst en verzendt deze vervolgens naar aangepaste Logboektabellen van Microsoft Sentinel met behulp van de Azure Monitor Data Collector API.
Als u deze gegevensconnectoren wilt configureren om verbinding te maken met de provider-API en logboeken te verzamelen in Microsoft Sentinel, volgt u de stappen die worden weergegeven voor elke gegevensconnector in Microsoft Sentinel.
Zie Use Azure Functions to connect your data source to Microsoft Sentinel (Uw gegevensbron verbinden met Microsoft Sentinel) voor meer informatie.
Belangrijk
Integraties die gebruikmaken van Azure Functions kunnen extra kosten voor gegevens opname in rekening brengen, omdat u Azure Functions host in uw Azure-tenant. Zie de pagina met prijzen Azure Functions meer informatie.
Integratie op basis van een agent
Microsoft Sentinel kan het Syslog-protocol gebruiken om via een agent verbinding te maken met elke gegevensbron die realtime logboekstreaming kan uitvoeren. De meeste on-premises gegevensbronnen maken bijvoorbeeld verbinding via integratie op basis van een agent.
In de volgende secties worden de verschillende typen gegevensconnectoren op basis van een Microsoft Sentinel-agent beschreven. Volg de stappen op elke pagina van de Microsoft Sentinel-gegevensconnector om verbindingen te configureren met behulp van mechanismen op basis van een agent.
Zie de naslaginformatie over gegevensconnectoren voor een volledig overzicht van firewalls, -proxies en -eindpunten die verbinding maken met Microsoft Sentinel via CEF of Syslog.
Syslog
U kunt gebeurtenissen van op Linux gebaseerde, Syslog-ondersteunende apparaten streamen naar Microsoft Sentinel met behulp van de Log Analytics-agent voor Linux, voorheen de OMS-agent genoemd. De Log Analytics-agent wordt ondersteund voor elk apparaat waarmee u de Log Analytics-agent rechtstreeks op het apparaat kunt installeren.
De ingebouwde Syslog-daemon van het apparaat verzamelt lokale gebeurtenissen van de opgegeven typen en wordt lokaal doorgestuurd naar de agent, waarna deze naar uw Log Analytics-werkruimte worden gestreamd. Nadat de configuratie is geslaagd, worden de gegevens weergegeven in de tabel Log Analytics Syslog.
Afhankelijk van het apparaattype wordt de agent rechtstreeks op het apparaat of op een specifieke Linux-logboek doorsturen geïnstalleerd. De Log Analytics-agent ontvangt gebeurtenissen van de Syslog-daemon via UDP. Als een Linux-machine naar verwachting een groot aantal Syslog-gebeurtenissen verzamelt, worden gebeurtenissen via TCP van de Syslog-daemon naar de agent en van daar naar Log Analytics verzendt.
Zie Syslog-apparaten Verbinding maken Microsoft Sentinelvoor meer informatie.
Common Event Format (CEF)
Logboekindelingen variëren, maar veel bronnen ondersteunen cef-opmaak. De Microsoft Sentinel-agent, die in feite de Log Analytics-agent is, converteert logboeken in CEF-indeling naar een indeling die log analytics kan opnemen.
Voor gegevensbronnen die gegevens in CEF zenden, stelt u de Syslog-agent in en configureert u vervolgens de CEF-gegevensstroom. Nadat de configuratie is geslaagd, worden de gegevens weergegeven in de tabel CommonSecurityLog.
Zie Op CEF gebaseerde apparaten Verbinding maken Microsoft Sentinel voor meer informatie.
Aangepaste logboeken
Sommige gegevensbronnen hebben logboeken die kunnen worden verzameld als bestanden op Windows of Linux. U kunt deze logboeken verzamelen met behulp van de agent voor aangepaste logboekverzameling van Log Analytics.
Volg de stappen op elke pagina van de Microsoft Sentinel-gegevensconnector om verbinding te maken met behulp van de agent voor aangepaste logboekverzameling van Log Analytics. Nadat de configuratie is geslaagd, worden de gegevens weergegeven in aangepaste tabellen.
Zie Gegevens in aangepaste logboekindelingen verzamelen voor Microsoft Sentinel met de Log Analytics-agentvoor meer informatie.
Service-naar-service-integratie
Microsoft Sentinel maakt gebruik van de Azure-basis om out-of-the-box service-to-service-ondersteuning te bieden voor Microsoft-services en Amazon Web Services.
Zie voor meer informatie Verbinding maken azure-, Windows-, Microsoft- en Amazon-services en de naslaginformatie over gegevensconnectoren.
Implementeren als onderdeel van een oplossing
Microsoft Sentinel-oplossingen bieden pakketten met beveiligingsinhoud, waaronder gegevensconnectoren, werkmappen, analyseregels, playbooks en meer. Wanneer u een oplossing met een gegevensconnector implementeert, krijgt u de gegevensconnector samen met gerelateerde inhoud in dezelfde implementatie.
Zie Microsoft Sentinel out-of-the-box-inhoud en -oplossingen centraal ontdekken en implementeren en de microsoft Sentinel-oplossingencatalogus voor meer informatie.
Ondersteuning voor gegevensconnector
Zowel Microsoft als andere organisaties maken Microsoft Sentinel-gegevensconnectoren. Elke gegevensconnector heeft een van de volgende ondersteuningstypen:
| Ondersteuningstype | Description |
|---|---|
| Door Microsoft ondersteund | Van toepassing op:
Partners of de community ondersteunen gegevensconnectoren die zijn geschreven door een andere partij dan Microsoft. |
| Door partners ondersteund | Is van toepassing op gegevensconnectoren die zijn geschreven door andere partijen dan Microsoft. Het partnerbedrijf biedt ondersteuning of onderhoud voor deze gegevensconnectoren. Het partnerbedrijf kan een onafhankelijke softwareleverancier, een MSP/MSSP (Managed Service Provider), een SI (Systems Integrator) of een organisatie zijn waarvan de contactgegevens worden opgegeven op de Microsoft Sentinel-pagina voor die gegevensconnector. Voor problemen met een door een partner ondersteunde gegevensconnector, neem dan contact op met de contactpersoon voor de opgegeven gegevensconnectorondersteuning. |
| Door de community ondersteund | Is van toepassing op gegevensconnectoren die zijn geschreven door Microsoft of partnerontwikkelaars die geen contactpersonen hebben vermeld voor ondersteuning en onderhoud van gegevensconnectoren op de opgegeven gegevensconnectorpagina in Microsoft Sentinel. Voor vragen over of problemen met deze gegevensconnectoren kunt u een probleem indienen in de Microsoft Sentinel-GitHub community. |
De contactpersoon voor ondersteuning voor een gegevensconnector zoeken
De contactgegevens voor ondersteuning voor een gegevensconnector zoeken:
Selecteer gegevensconnectoren in het linkermenu van Microsoft Sentinel.
Selecteer de connector voor wie u ondersteuningsinformatie wilt zoeken.
Bekijk het veld Ondersteund door in het zijpaneel voor de gegevensconnector.
Het veld Ondersteund door heeft een koppeling naar de contactpersoon voor ondersteuning die u kunt gebruiken voor toegang tot ondersteuning en onderhoud voor de geselecteerde gegevensconnector.
Volgende stappen
- Als u aan de slag wilt met Microsoft Sentinel, hebt u een abonnement op Microsoft Azure. Als u geen abonnement hebt, kunt u zich registreren voor een gratis proefversie.
- Meer informatie over het onboarden van uw gegevens naar Microsoft Sentinel en het krijgen van inzicht in uw gegevens en mogelijke bedreigingen.