Microsoft Sentinel-dataanslutningar
Anteckning
Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.
Anteckning
Information om funktionstillgänglighet i US Government-moln finns i Microsoft Sentinel-tabeller i Cloud feature availability for US Government customers (Funktionstillgänglighet för amerikanska myndigheter).
När du har publicerat Microsoft Sentinel på din arbetsyta ansluter du datakällor för att börja mata in data i Microsoft Sentinel. Microsoft Sentinel levereras med många anslutningsappar för Microsoft-produkter, som är tillgängliga direkt och ger integrering i realtid. Tjänst-till-tjänst-anslutningsappar innehåller till exempel Microsoft 365 Defender-anslutningsappar och Microsoft 365-källor, till exempel Office 365, Azure Active Directory (Azure AD), Microsoft Defender for Identity och Microsoft Defender för Molnappar.
Du kan också aktivera in-of-box-anslutningsappar till det bredare säkerhetsekosystemet för produkter som inte kommer från Microsoft. Du kan till exempel använda Syslog, Common Event Format (CEF)eller REST API:er för att ansluta dina datakällor till Microsoft Sentinel.
Sidan Dataanslutningsappar, som kan nås från Microsoft Sentinel-navigeringsmenyn, visar en fullständig lista över anslutningsappar som Microsoft Sentinel tillhandahåller och deras status på din arbetsyta. Välj den anslutningsapp som du vill ansluta och välj sedan Öppna anslutningssidan.
I den här artikeln beskrivs de dataanslutningsmetoder som stöds. Mer information finns i Referens för Microsoft Sentinel-dataanslutningsappar och Katalogen för Microsoft Sentinel-lösningar.
Aktivera en dataanslutning
Sidan Dataanslutningsappar, som kan nås från Microsoft Sentinel-navigeringsmenyn, visar en fullständig lista över anslutningsappar som Microsoft Sentinel tillhandahåller och deras status. Välj den anslutningsapp som du vill ansluta och välj sedan Öppna anslutningssidan.
Du måste ha uppfyllt alla krav och du ser fullständiga instruktioner på anslutningssidan för att mata in data till Microsoft Sentinel. Det kan ta lite tid innan data börjar komma in. När du har anslutit visas en sammanfattning av data i grafen Mottagna data och anslutningsstatus för datatyperna.
På fliken Nästa steg visas ytterligare innehåll som Microsoft Sentinel tillhandahåller för den specifika datatypen – exempelfrågor, visualiseringsarbetsböcker och analysregelmallar som hjälper dig att identifiera och undersöka hot.
Mer information finns i relevant avsnitt för din dataanslutning i referensen för dataanslutningsappar.
REST API integrering
Många säkerhetstekniker tillhandahåller en uppsättning API:er för att hämta loggfiler, och vissa datakällor kan använda dessa API:er för att ansluta till Microsoft Sentinel.
Dataanslutningsappar som använder API:er integrerar antingen från providersidan eller integrerar med Azure Functions, enligt beskrivningen i följande avsnitt.
En fullständig lista och information om dessa anslutningsappar finns i dataanslutningsreferensen.
REST API integrering på providersidan
En API-integrering som har skapats av providern ansluter till providerns datakällor och skickar data till anpassade Microsoft Sentinel-loggtabeller med hjälp Azure Monitor Data Collector API.
Mer information finns i providerdokumentationen och Anslut datakällan till Rest-API:et för Microsoft Sentinel för att mata in data.
REST API med hjälp av Azure Functions
Integreringar som använder Azure Functions för att ansluta med ett provider-API formaterar först data och skickar dem sedan till anpassade loggtabeller i Microsoft Sentinel med hjälp av API:et Azure Monitor Data Collector.
Om du vill konfigurera dessa dataanslutningar för att ansluta till provider-API:et och samla in loggar i Microsoft Sentinel följer du stegen som visas för varje dataanslutning i Microsoft Sentinel.
Mer information finns i Använda Azure Functions för att ansluta datakällan till Microsoft Sentinel.
Viktigt
Integreringar som använder Azure Functions kan medföra ytterligare kostnader för datainmatning, eftersom du är värd Azure Functions din Azure-klientorganisation. Mer information finns på Azure Functions prissättningssidan.
Agentbaserad integrering
Microsoft Sentinel kan använda Syslog-protokollet för att ansluta via en agent till valfri datakälla som kan utföra loggströmning i realtid. De flesta lokala datakällor ansluter till exempel via agentbaserad integrering.
I följande avsnitt beskrivs de olika typerna av Microsoft Sentinel-agentbaserade dataanslutningar. Följ stegen på varje Microsoft Sentinel-dataanslutningssida för att konfigurera anslutningar med hjälp av agentbaserade mekanismer.
En fullständig lista över brandväggar, proxy- och slutpunkter som ansluter till Microsoft Sentinel via CEF eller Syslog finns i referensen för dataanslutningar.
Syslog
Du kan strömma händelser från Linux-baserade Syslog-stödenheter till Microsoft Sentinel med hjälp av Log Analytics-agenten för Linux, som tidigare kallades OMS-agenten. Log Analytics-agenten stöds för alla enheter där du kan installera Log Analytics-agenten direkt på enheten.
Enhetens inbyggda Syslog-daemon samlar in lokala händelser av de angivna typerna och vidarebefordrar dem lokalt till agenten, som sedan strömmar dem till Din Log Analytics-arbetsyta. När konfigurationen har lyckats visas data i tabellen Log Analytics Syslog.
Beroende på enhetstyp installeras agenten antingen direkt på enheten eller på en dedikerad Linux-baserad logg vidarebefordrare. Log Analytics-agenten tar emot händelser från Syslog-daemonen via UDP. Om en Linux-dator förväntas samla in en stor mängd Syslog-händelser skickar den händelser via TCP från Syslog-daemonen till agenten och därifrån till Log Analytics.
Mer information finns i Anslut syslog-baserade installationer till Microsoft Sentinel.
Common Event Format (CEF)
Loggformaten varierar, men många källor stöder CEF-baserad formatering. Microsoft Sentinel-agenten, som faktiskt är Log Analytics-agenten, konverterar CEF-formaterade loggar till ett format som Log Analytics kan mata in.
För datakällor som skickar data i CEF konfigurerar du Syslog-agenten och konfigurerar sedan CEF-dataflödet. När konfigurationen har lyckats visas data i tabellen CommonSecurityLog.
Mer information finns i Anslut CEF-baserade installationer till Microsoft Sentinel.
Anpassade loggar
Vissa datakällor har loggar som är tillgängliga för insamling som filer på Windows eller Linux. Du kan samla in dessa loggar med hjälp av log Analytics-agenten för anpassad logginsamling.
Följ stegen på varje Microsoft Sentinel-dataanslutningssida för att ansluta med log Analytics-agenten för anpassad logginsamling. När konfigurationen har lyckats visas data i anpassade tabeller.
Mer information finns i Samla in data i anpassade loggformat till Microsoft Sentinel med Log Analytics-agenten.
Tjänst-till-tjänst-integrering
Microsoft Sentinel använder Azure Foundation för att tillhandahålla support från tjänsten till tjänsten för Microsoft-tjänster och Amazon Web Services.
Mer information finns i Anslut till Azure, Windows, Microsoft och Amazon services och dataanslutningsapparna refererar till.
Distribuera som en del av en lösning
Microsoft Sentinel-lösningar tillhandahåller paket med säkerhetsinnehåll, inklusive dataanslutningsappar, arbetsböcker, analysregler, spelböcker med mera. När du distribuerar en lösning med en dataanslutning får du dataanslutningen tillsammans med relaterat innehåll i samma distribution.
Mer information finns i Identifiera och distribuera Innehåll och lösningar för Microsoft Sentinel centralt och katalogen över Microsoft Sentinel-lösningar.
Stöd för dataanslutning
Både Microsoft och andra organisationer skapar Microsoft Sentinel-dataanslutningar. Varje dataanslutning har någon av följande supporttyper:
| Supporttyp | Description |
|---|---|
| Microsoft-stöd | Gäller för:
Partner eller communityn stöder dataanslutningar som har redigerats av någon annan part än Microsoft. |
| Partnerstödd | Gäller för dataanslutningsappar som har skrivits av andra parter än Microsoft. Partnerföretaget tillhandahåller support eller underhåll för dessa dataanslutningar. Partnerföretaget kan vara en oberoende programvaruleverantör, en leverantör av hanterad tjänst (MSP/MSSP), systemintegrerare (SI) eller en organisation vars kontaktuppgifter anges på Microsoft Sentinel-sidan för den dataanslutningen. Om du har problem med en dataanslutning som stöds av en partner kontaktar du den angivna supportkontakten för dataanslutningen. |
| Community-stöd | Gäller för dataanslutningsappar som har redigerats av Microsoft eller partnerutvecklare och som inte har listat kontakter för support och underhåll av dataanslutningsappen på den angivna sidan för dataanslutning i Microsoft Sentinel. För frågor eller problem med dessa dataanslutningar kan du skicka in ett problem i Microsoft Sentinel GitHub communityn. |
Hitta supportkontakten för en dataanslutning
Så här hittar du kontaktuppgifter till supporten för en dataanslutning:
På menyn till vänster i Microsoft Sentinel väljer du Dataanslutningsappar.
Välj den anslutningsapp som du vill hitta supportinformation för.
Visa fältet Stöds av på sidopanelen för dataanslutningen.
Fältet Stöds av har en kontaktlänk för support som du kan använda för att få åtkomst till support och underhåll för den valda dataanslutningen.
Nästa steg
- För att komma igång med Microsoft Sentinel behöver du en prenumeration på Microsoft Azure. Om du inte har en prenumeration kan du registrera dig för en kostnadsfri utvärderingsversion.
- Lär dig att publicera dina data till Microsoft Sentinel och få insyn i dina data och potentiella hot.