Łączniki danych usługi Microsoft Sentinel
Po dołączeniu usługi Microsoft Sentinel do obszaru roboczego użyj łączników danych, aby rozpocząć pozyskiwanie danych do usługi Microsoft Sentinel. Usługa Microsoft Sentinel zawiera wiele wbudowanych łączników dla usługi firmy Microsoft, które integrują się w czasie rzeczywistym. Na przykład łącznik XDR usługi Microsoft Defender to łącznik service-to-service, który integruje dane z usługi Office 365, Microsoft Entra ID, Microsoft Defender for Identity i Microsoft Defender dla Chmury Apps.
Wbudowane łączniki umożliwiają połączenie z szerszym ekosystemem zabezpieczeń dla produktów innych niż microsoft. Na przykład użyj usługi Syslog, Common Event Format (CEF) lub interfejsów API REST, aby połączyć źródła danych z usługą Microsoft Sentinel.
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.
Ważne
Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Łączniki danych dostarczane z rozwiązaniami
Rozwiązania microsoft Sentinel zapewniają spakowana zawartość zabezpieczeń, w tym łączniki danych, skoroszyty, reguły analizy, podręczniki i inne. Podczas wdrażania rozwiązania za pomocą łącznika danych łącznik danych jest pobierany wraz z powiązaną zawartością w tym samym wdrożeniu.
Na stronie Łączniki danych usługi Microsoft Sentinel znajduje się lista zainstalowanych lub używanych łączników danych.
Aby dodać więcej łączników danych, zainstaluj rozwiązanie skojarzone z łącznikiem danych z centrum zawartości. Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Znajdowanie łącznika danych usługi Microsoft Sentinel
- Informacje o zawartości i rozwiązaniach usługi Microsoft Sentinel
- Odnajdywanie gotowej zawartości usługi Microsoft Sentinel i zarządzanie nią
- Katalog centrum zawartości usługi Microsoft Sentinel
- Rozwiązania domeny oparte na zaawansowanym modelu informacji o zabezpieczeniach (ASIM) dla usługi Microsoft Sentinel
Integracja interfejsu API REST dla łączników danych
Wiele technologii zabezpieczeń udostępnia zestaw interfejsów API do pobierania plików dziennika. Niektóre źródła danych mogą używać tych interfejsów API do nawiązywania połączenia z usługą Microsoft Sentinel.
Łączniki danych korzystające z interfejsów API integrują się z boku dostawcy lub integrują się z usługą Azure Functions zgodnie z opisem w poniższych sekcjach.
Integracja po stronie dostawcy
Integracja interfejsu API utworzona przez dostawcę łączy się ze źródłami danych dostawcy i wypycha dane do niestandardowych tabel dzienników usługi Microsoft Sentinel przy użyciu interfejsu API modułu zbierającego dane usługi Azure Monitor. Aby uzyskać więcej informacji, zobacz Wysyłanie danych dziennika do usługi Azure Monitor przy użyciu interfejsu API modułu zbierającego dane HTTP.
Aby dowiedzieć się więcej na temat integracji interfejsu API REST, przeczytaj dokumentację dostawcy i Połączenie źródło danych do interfejsu API REST usługi Microsoft Sentinel w celu pozyskiwania danych.
Integracja przy użyciu usługi Azure Functions
Integracje korzystające z usługi Azure Functions do nawiązywania połączenia z interfejsem API dostawcy najpierw formatują dane, a następnie wysyłają je do niestandardowych tabel dzienników usługi Microsoft Sentinel przy użyciu interfejsu API modułu zbierającego dane usługi Azure Monitor.
Aby uzyskać więcej informacji, zobacz:
- Wysyłanie danych dziennika do usługi Azure Monitor przy użyciu interfejsu API modułu zbierającego dane HTTP
- Łączenie źródła danych z usługą Microsoft Sentinel przy użyciu usługi Azure Functions
- Dokumentacja usługi Azure Functions
Integracje korzystające z usługi Azure Functions mogą mieć dodatkowe koszty pozyskiwania danych, ponieważ hostujesz usługę Azure Functions w organizacji platformy Azure. Dowiedz się więcej o cenach usługi Azure Functions.
Integracja oparta na agencie dla łączników danych
Usługa Microsoft Sentinel może używać protokołu Syslog do łączenia agenta z dowolnym źródłem danych, które może wykonywać przesyłanie strumieniowe dzienników w czasie rzeczywistym. Na przykład większość lokalnych źródeł danych łączy się przy użyciu integracji opartej na agencie.
W poniższych sekcjach opisano różne typy łączników danych opartych na agentach usługi Microsoft Sentinel. Aby skonfigurować połączenia przy użyciu mechanizmów opartych na agentach, wykonaj kroki opisane na każdej stronie łącznika danych usługi Microsoft Sentinel.
Dziennik systemu
Zdarzenia można przesyłać strumieniowo z urządzeń obsługujących dziennik systemu Linux do usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor (AMA). W zależności od typu urządzenia agent jest instalowany bezpośrednio na urządzeniu lub w dedykowanym usłudze przesyłania dalej dziennika opartego na systemie Linux. Usługa AMA odbiera zdarzenia z demona dziennika systemowego za pośrednictwem protokołu UDP. Demon dziennika systemowego przekazuje zdarzenia do agenta wewnętrznie, komunikując się za pośrednictwem protokołu UDS (Unix Domain Sockets). Usługa AMA przesyła te zdarzenia do obszaru roboczego usługi Microsoft Sentinel.
Oto prosty przepływ pokazujący, jak usługa Microsoft Sentinel przesyła strumieniowo dane dziennika systemowego.
- Wbudowany demon dziennika systemowego urządzenia zbiera lokalne zdarzenia określonych typów i przekazuje zdarzenia lokalnie do agenta.
- Agent przesyła strumieniowo zdarzenia do obszaru roboczego usługi Log Analytics.
- Po pomyślnej konfiguracji dane są wyświetlane w tabeli Dziennika systemowego usługi Log Analytics.
Aby uzyskać więcej informacji, zobacz Samouczek: przekazywanie danych dziennika systemowego do obszaru roboczego usługi Log Analytics za pomocą usługi Microsoft Sentinel przy użyciu agenta usługi Azure Monitor.
Common Event Format (CEF)
Formaty dzienników różnią się, ale wiele źródeł obsługuje formatowanie oparte na formacie CEF. Agent usługi Microsoft Sentinel, który jest w rzeczywistości agentem usługi Log Analytics, konwertuje dzienniki sformatowane w formacie CEF na format, który może pozyskiwać usługa Log Analytics.
W przypadku źródeł danych emitujących dane w formacie CEF skonfiguruj agenta dziennika systemowego, a następnie skonfiguruj przepływ danych CEF. Po pomyślnej konfiguracji dane są wyświetlane w tabeli CommonSecurityLog .
Aby uzyskać więcej informacji, zobacz Pobieranie dzienników sformatowanych w formacie CEF z urządzenia lub urządzenia do usługi Microsoft Sentinel.
Niestandardowe dzienniki
W przypadku niektórych źródeł danych można zbierać dzienniki jako pliki na komputerach z systemem Windows lub Linux przy użyciu niestandardowego agenta zbierania dzienników usługi Log Analytics.
Aby nawiązać połączenie przy użyciu niestandardowego agenta zbierania dzienników usługi Log Analytics, wykonaj kroki opisane na każdej stronie łącznika danych usługi Microsoft Sentinel. Po pomyślnej konfiguracji dane są wyświetlane w tabelach niestandardowych.
Aby uzyskać więcej informacji, zobacz Zbieranie danych w niestandardowych formatach dziennika w usłudze Microsoft Sentinel przy użyciu agenta usługi Log Analytics.
Integracja z usługą dla łączników danych
Usługa Microsoft Sentinel korzysta z podstaw platformy Azure, aby zapewnić wbudowaną obsługę usług usługi firmy Microsoft i Amazon Web Services.
Aby uzyskać więcej informacji, zobacz następujące artykuły:
- Połączenie usługi Microsoft Sentinel do usług Azure, Windows, Microsoft i Amazon
- Znajdowanie łącznika danych usługi Microsoft Sentinel
Obsługa łącznika danych
Zarówno firma Microsoft, jak i inne organizacje, autorami łączników danych usługi Microsoft Sentinel. Każdy łącznik danych ma jeden z następujących typów pomocy technicznej wymienionych na stronie łącznika danych w usłudze Microsoft Sentinel.
| Typ obsługi | opis |
|---|---|
| Obsługiwane przez firmę Microsoft | Dotyczy:
Partnerzy lub społeczność obsługują łączniki danych utworzone przez każdą firmę inną niż Microsoft. |
| Obsługiwane przez partnera | Dotyczy łączników danych utworzonych przez strony inne niż Microsoft. Firma partnerska zapewnia pomoc techniczną lub konserwację tych łączników danych. Firma partnerska może być niezależnym dostawcą oprogramowania, dostawcą usług zarządzanych (MSP/MSSP), integratorem systemów (SI) lub dowolną organizacją, której informacje kontaktowe są udostępniane na stronie usługi Microsoft Sentinel dla tego łącznika danych. W przypadku wszelkich problemów z łącznikiem danych obsługiwanym przez partnera skontaktuj się z pomocą techniczną określonego łącznika danych. |
| Obsługiwane przez społeczność | Dotyczy łączników danych utworzonych przez deweloperów firmy Microsoft lub partnerów, które nie mają kontaktów na potrzeby pomocy technicznej łącznika danych i konserwacji na stronie łącznika danych w usłudze Microsoft Sentinel. W przypadku pytań lub problemów z tymi łącznikami danych możesz zgłosić problem w społeczności usługi GitHub usługi Microsoft Sentinel. |
Aby uzyskać więcej informacji, zobacz Znajdowanie obsługi łącznika danych.
Następne kroki
Aby uzyskać więcej informacji na temat łączników danych, zobacz następujące artykuły.
- Połączenie źródła danych do usługi Microsoft Sentinel przy użyciu łączników danych
- Znajdowanie łącznika danych usługi Microsoft Sentinel
- Zasoby do tworzenia łączników niestandardowych usługi Microsoft Sentinel
Aby uzyskać podstawowe informacje o infrastrukturze jako kodzie (IaC) Bicep, Azure Resource Manager i Terraform w celu wdrażania łączników danych w usłudze Microsoft Sentinel, zobacz Dokumentacja IaC łącznika danych usługi Microsoft Sentinel.