Соединители данных Microsoft Sentinel

Примечание

Azure Sentinel теперь называется Microsoft Sentinel, и мы будем обновлять эти страницы в ближайшие недели. Узнайте подробнее о последних усовершенствованиях в системе безопасности Майкрософт.

Примечание

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

После подключения Microsoft Sentinel к своей рабочей области подключите источники данных, чтобы начать прием данных в Microsoft Sentinel. В состав Microsoft Sentinel входит множество готовых соединителей для продуктов Майкрософт, обеспечивающих интеграцию в режиме реального времени. Например, перечень соединителей между службами включает соединители Microsoft 365 Defender и источники Microsoft 365, например Office 365, Azure Active Directory (Azure AD), Microsoft Defender для удостоверений и Microsoft Defender для облака.

Кроме того, можно включить готовые соединители, чтобы использовать их в более широкой экосистеме безопасности для решений сторонних разработчиков. Например, можно подключить источники данных к Microsoft Sentinel с помощью Syslog, Common Event Format (CEF) или REST API.

Страница Соединители данных, доступная из меню навигации Microsoft Sentinel, содержит полный список соединителей, которые предоставляет Microsoft Sentinel, и их статус в рабочей области. Выберите нужный соединитель и щелкните Открыть страницу соединителя.

Data connectors gallery

В этой статье описаны поддерживаемые методы подключения к данным. Дополнительные сведения см. в Справочнике по соединителям данных Microsoft Sentinel и в Каталоге решений Microsoft Sentinel.

Включение соединителя данных

Страница Соединители данных, доступная из меню навигации Microsoft Sentinel, содержит полный список соединителей, которые предоставляет Microsoft Sentinel, и их статус. Выберите нужный соединитель и щелкните Открыть страницу соединителя.

Data connectors gallery

Вам необходимо выполнить все предварительные требования, и вы увидите полные инструкции на странице соединителя для приема данных в Microsoft Sentinel. Для начала поступления данных может потребоваться некоторое время. После подключения отобразится сводка данных в графике Полученные данные и состояние подключения для типов данных.

Configure data connectors

На вкладке Следующие шаги вы увидите дополнительное содержимое, которое Microsoft Sentinel предоставляет для определенного типа данных: образцы запросов, книги визуализации и шаблоны правил аналитики, которые помогут вам обнаруживать и исследовать угрозы.

Next steps for connectors

Для получения дополнительной информации см. соответствующий раздел для вашего коннектора данных в справочнике по коннекторам данных.

Интеграция REST API.

Во многих технологиях обеспечения безопасности имеются наборы API для получения файлов журналов. Некоторые источники данных могут использовать эти API для подключения к Microsoft Sentinel.

Соединители данных, использующие API, интегрированы либо со стороны поставщика, либо с помощью службы "Функции Azure", как описано в следующих разделах.

Полный список и информацию об этих соединителях см. в справочнике по соединителям данных.

Интеграция REST API на стороне поставщика

Интеграция API, созданная поставщиком, подключается к источникам данных поставщика и передает данные в пользовательские таблицы журналов Microsoft Sentinel с помощью API сборщика данных Azure Monitor.

Дополнительные сведения см. в документации вашего поставщика и в разделе Подключение источника данных к REST API Microsoft Sentinel для приема данных.

Интеграция REST API с помощью службы "Функции Azure"

В интеграциях, в которых служба Функции Azure используется для подключения к API поставщиков услуг, сначала выполняется форматирование данных, а затем эти данные поступают в пользовательские таблицы журналов Microsoft Sentinel с помощью API сборщика данных Azure Monitor.

Чтобы настроить эти соединители данных для подключения к API поставщика и сбора журналов в Microsoft Sentinel, выполните действия, указанные для каждого соединителя данных в Microsoft Sentinel.

Дополнительные сведения см. в разделе Подключение Microsoft Sentinel к источнику данных в помощью Функций Azure.

Важно!

В интеграциях, в которых используется служба "Функции Azure", могут возникать дополнительные расходы на прием данных, так как вы размещаете службу "Функции Azure" в клиенте Azure. Дополнительные сведения см. на странице цен на Функции Azure.

Интеграция на основе агентов

С помощью агента и протокола Syslog служба Microsoft Sentinel может подключаться к любому источнику данных, способному выполнять потоковую передачу журналов в режиме реального времени. Например, большинство локальных источников данных подключают с использованием интеграции на основе агентов.

В следующих разделах рассказывается о различных типах соединителей данных Microsoft Sentinel на основе агентов. Чтобы настроить подключения, для которых используются механизмы на основе агентов, на каждой странице соединителя данных Microsoft Sentinel выполните описанные здесь действия.

Полный список брандмауэров, прокси-серверов и конечных точек, которые подключаются к Microsoft Sentinel через CEF или системный журнал, см. в справочнике по соединителям данных.

Системный журнал

Вы можете выполнять потоковую передачу событий с устройств на базе Linux, поддерживающих Syslog, в Microsoft Sentinel с помощью агента Log Analytics для Linux (ранее назывался агентом OMS). Агент Log Analytics поддерживается для любых устройств, благодаря чему можно устанавливать его непосредственно на устройства.

Встроенная в устройство управляющая программа Syslog собирает сведения о локальных событиях указанных типов и пересылает их в локальной среде в агент, который выполняет потоковую трансляцию этих сведений в вашу рабочую область Log Analytics. После успешной настройки данные будут отображаться в таблице Syslog службы Log Analytics.

В зависимости от типа устройства агент устанавливают либо непосредственно на устройстве, либо на выделенном сервере пересылки журналов на базе ОС Linux. Агент Log Analytics получает события от управляющей программы Syslog по протоколу UDP. Если компьютер с ОС Linux должен собирать большое количество событий Syslog, он отправляет их по протоколу TCP из управляющей программы Syslog в агент, а затем — в службу Log Analytics.

Дополнительные сведения см. в статье Подключение устройств на базе Syslog к Microsoft Sentinel.

Common Event Format (CEF);

Разные журналы имеют разные форматы, но во многих источниках поддерживается форматирование на основе CEF. Агент Microsoft Sentinel, который фактически является агентом Log Analytics, преобразует журналы в формате CEF в формат, который может принимать служба Log Analytics.

При работе с источниками данных, которые создают данные в формате CEF, настройте агент Syslog, а затем настройте поток данных CEF. После успешной настройки данные будут отображаться в таблице CommonSecurityLog.

Дополнительные сведения см. в статье Подключение устройств на базе CEF к Microsoft Sentinel.

Пользовательские журналы

В некоторых источниках данных имеются журналы, которые можно собирать в виде файлов в ОС Windows или Linux. Эти журналы можно собирать с помощью пользовательского агента сбора журналов Log Analytics.

Чтобы выполнить подключение с помощью пользовательского агента сбора журналов Log Analytics, на каждой странице соединителя данных Microsoft Sentinel выполните описанные здесь действия. После успешной настройки данные отобразятся в пользовательских таблицах.

Дополнительные сведения см. в разделе Сбор данных в настраиваемых форматах журналов в Microsoft Sentinel с помощью агента Log Analytics.

Интеграция между службами

Microsoft Sentinel использует платформу Azure для предоставления встроенной поддержки между службами Майкрософт и Amazon Web Services.

Дополнительные сведения см. в разделе Подключение к службам Azure, Windows, Microsoft и Amazon и в справочнике по соединителям данных.

Развернуть как часть решения

Решения Microsoft Sentinel предоставляют пакеты содержимого безопасности, включая соединители данных, книги, правила аналитики, сборники схем и многое другое. При развертывании решения с соединителем данных вы получите соединитель данных вместе со связанным контентом в одном развертывании.

Дополнительные сведения см. в статье Централизованное обнаружение и развертывание готового содержимого и решений Microsoft Sentinel и в каталоге решений Microsoft Sentinel.

Поддержка соединителя данных

Корпорация Майкрософт и другие организации создают соединители данных Microsoft Sentinel. Для каждого соединителя данных действует один из указанных ниже видов поддержки.

Тип поддержки Описание
Поддержка Майкрософт Область применения:
  • Соединители данных источников данных, для которых Майкрософт является поставщиком данных и автором.
  • Ряд соединителей данных, созданных корпорацией Майкрософт и предназначенных для источников данных сторонних поставщиков.
Корпорация Майкрософт поддерживает и обслуживает соединители данных в этой категории в соответствии с планами Службы поддержки Microsoft Azure.

Соединители данных, поддерживаемые партнерами или сообществом и созданные любым другим поставщиком, а не корпорацией Майкрософт.
Поддерживаемые партнерами Применимо к соединителям данных, созданных другими поставщиками, а не корпорацией Майкрософт.

Компания-партнер оказывает поддержку по этим соединителям данных либо выполняет их обслуживание. Компания-партнер может быть независимым поставщиком программного обеспечения, поставщиком управляемых служб (MSP/MSSP), системным интегратором (SI) или любой организацией, контактные данные которой указаны на странице Microsoft Sentinel для этого соединителя данных.

По всем проблемам, которые связаны с соединителями данных, поддерживаемыми партнерами, обращайтесь по указанным контактным данным служб поддержки этих соединителей данных.
Поддерживаемые сообществом Применимо к соединителям данных, которые созданы разработчиками Майкрософт или компаний-партнеров и для которых на соответствующих страницах соединителей данных в Microsoft Sentinel не указаны контактные данные служб поддержки и обслуживания.

При возникновении вопросов или проблем, связанных с такими соединителями данных, можно сообщить о проблеме в сообществе Microsoft Sentinel на GitHub.

Поиск контактных данных службы поддержки для соединителя данных

Чтобы найти контактные данные службы поддержки для соединителя данных, выполните указанные ниже действия.

  1. В расположенном слева меню Microsoft Sentinel выберите пункт Соединители данных.

  2. Выберите соединитель, для которого требуется найти сведения о службе поддержки.

  3. На боковой панели для соединителя данных просмотрите поле Поддерживается.

    Screenshot showing the Supported by field for a data connector in Microsoft Sentinel.

    В поле Поддерживается указана ссылка, с помощью которой можно получить доступ к службе поддержке и обслуживания выбранного соединителя данных.

Дальнейшие действия