Veri kaynaklarını bağlama

Not

ABD Kamu bulutlarında özellik kullanılabilirliği hakkında bilgi için, ABD Kamu müşterileri Azure Sentinel bulut özelliği kullanılabilirliği'nin tablolarına bakın.

Azure Sentinel 'i etkinleştirdikten sonra yapmanız gereken ilk şey, veri kaynaklarınızı bağlamak. Azure Sentinel, Microsoft ürünlerine yönelik birçok bağlayıcıyla birlikte sunulur ve gerçek zamanlı tümleştirme sağlar. örneğin, hizmetten hizmete bağlayıcılar, Office 365, Azure Active Directory (Azure AD), kimlik için Microsoft Defender ve Microsoft Cloud App Security gibi Microsoft 365 Defender bağlayıcıları ve Microsoft 365 kaynaklarını içerir.

Ayrıca, yerleşik bağlayıcıları Microsoft dışı ürünler için daha geniş güvenlik ekosistemine de etkinleştirebilirsiniz. Örneğin, veri kaynaklarınızı Azure Sentinel 'e bağlamak için Syslog, ortak olay biçimi (CEF)veya REST API 'leri kullanabilirsiniz.

Daha fazla bilgi için bkz. Azure Sentinel iş ortağı veri bağlayıcıları ve Azure Sentinel çözüm kataloğu.

Veri bağlayıcısını etkinleştirme

Azure Sentinel 'de bir veri bağlayıcısını etkinleştirmek için:

  1. Azure Sentinel sol gezinti menüsünde veri bağlayıcıları' nı seçin. Veri bağlayıcıları sayfası, Azure Sentinel 'in sağladığı bağlayıcıların tam listesini ve bunların durumlarını gösterir. Bağlanmak istediğiniz bağlayıcıyı seçin ve ardından bağlayıcı sayfasını aç' ı seçin.

    Veri bağlayıcıları Galerisi

    Daha fazla bilgi için bkz. hizmetten hizmete tümleştirme ve Azure Sentinel iş ortağı veri bağlayıcıları.

  2. Bağlayıcı sayfasında, tüm önkoşulları karşıladığınızdan emin olun ve verileri Azure Sentinel 'e bağlamak için yönergeleri izleyin. Günlüklerin Azure Sentinel ile eşitlenmeye başlaması biraz zaman alabilir. Bağlandıktan sonra, alınan veri grafiğindeki verilerin bir özetini ve veri türlerinin bağlantı durumunu görürsünüz.

    Veri bağlayıcıları yapılandırma

  3. Belirli veri türü için Azure Sentinel 'in sağladığı içeriği görmek için sonraki adımlar sekmesini seçin.

    Bağlayıcılar için sonraki adımlar

Veri bağlantısı yöntemleri

Azure Sentinel, aşağıdaki veri bağlantısı yöntemlerini destekler:

Hizmetten hizmete tümleştirme

azure Sentinel, aşağıdaki Microsoft hizmetleri ve Amazon Web Services için yerleşik, hizmet-hizmet desteği sağlamak üzere azure foundation 'ı kullanır:

REST API tümleştirme

Birçok güvenlik teknolojisi, günlük dosyalarını almak için bir API kümesi sağlar ve bazı veri kaynakları Azure Sentinel 'e bağlanmak için bu API 'Leri kullanabilir.

API 'Leri kullanan veri bağlayıcıları, sağlayıcı tarafından tümleştirilir veya aşağıdaki bölümlerde açıklandığı gibi Azure Işlevleri kullanılarak tümleştirilir.

Tüm liste ve bu bağlayıcılar hakkında bilgi için bkz. Azure Sentinel iş ortağı veri bağlayıcıları.

Sağlayıcı tarafında REST API tümleştirme

Sağlayıcı tarafından oluşturulan bir API tümleştirmesi, sağlayıcı veri kaynaklarıyla bağlantı kurar ve Azure Izleyici veri TOPLAYıCı API'sini kullanarak verileri Azure Sentinel özel günlük tablolarına gönderir.

Bu veri bağlayıcılarını Azure Sentinel 'e Günlükler gönderecek şekilde yapılandırma hakkında daha fazla bilgi için ilgili sağlayıcı belgelerine bakın.

Azure Işlevleri 'ni kullanarak REST API tümleştirme

Bir sağlayıcı API 'siyle bağlanmak için Azure işlevleri kullanan tümleştirmeler, önce verileri biçimlendirir ve ardından Azure IZLEYICI veri toplayıcı API'sini kullanarak Azure Sentinel özel günlük tablolarına gönderir.

Bu veri bağlayıcılarını sağlayıcı API 'siyle bağlantı kurmak ve günlükleri Azure Sentinel 'de toplamak üzere yapılandırma hakkında daha fazla bilgi için Azure Sentinel 'de her bir veri Bağlayıcısı için gösterilen adımları izleyin.

Azure Işlevleri kullanan tümleştirmelerin Azure Sentinel veri Bağlayıcısı sayfasında Azure 'A dağıt düğmesi de vardır. Bu Tümleştirmeler için, yapılandırmayı basitleştirmek üzere aşağıdakileri yapın:

  1. Azure 'A dağıt 'ı seçin
  2. Sağlayıcı API 'siyle Bağlanılacak parametre değerlerini girin.
  3. Log Analytics ile bağlantı kurmak ve verileri Azure Sentinel 'e göndermek için Azure Sentinel çalışma alanı KIMLIĞINIZI ve anahtarınızı girin.

Önemli

Azure Işlevleri 'ni kullanan tümleştirmeler, Azure kiracınızda Azure Işlevleri barındırmanıza ek veri alma maliyetlerine neden olabilir. Daha fazla bilgi için bkz. Azure işlevleri fiyatlandırma sayfası.

Aracı tabanlı tümleştirme

Azure Sentinel, bir aracı aracılığıyla gerçek zamanlı günlük akışı gerçekleştirebilen herhangi bir veri kaynağına bağlanmak için Syslog protokolünü kullanabilir. Örneğin, çoğu şirket içi veri kaynağı, aracı tabanlı tümleştirme aracılığıyla bağlanır. Aşağıdaki bölümlerde, farklı Azure Sentinel Agent tabanlı veri bağlayıcıları türleri açıklanır. Aracı tabanlı mekanizmaların kullanıldığı bağlantıları yapılandırmak için her bir Azure Sentinel veri bağlayıcı sayfasındaki adımları izleyin.

CEF veya Syslog aracılığıyla Azure Sentinel 'e bağlanan güvenlik duvarlarının, proxy 'lerin ve uç noktaların tamamen listesi için bkz. Azure Sentinel iş ortağı veri bağlayıcıları.

Syslog

Linux tabanlı, syslog destekleme cihazlarından olayları, daha önce OMS Aracısı olarak adlandırılan Linux için Log Analytics aracısını kullanarak Azure Sentinel 'e aktarabilirsiniz. Log Analytics Aracısı, Log Analytics aracısını doğrudan cihaza yüklemenize olanak tanıyan herhangi bir cihaz için desteklenir.

Cihazın yerleşik Syslog programı, belirtilen türlerin yerel olaylarını toplar ve bu dosyaları yerel olarak aracıya iletir ve daha sonra bunları Log Analytics çalışma alanınıza yönlendirir. Yapılandırma başarılı olduktan sonra, veriler Log Analytics Syslog tablosunda görüntülenir.

Cihaz türüne bağlı olarak, aracı doğrudan cihaza ya da ayrılmış bir Linux tabanlı günlük ileticisine yüklenir. Log Analytics Aracısı Syslog Daemon 'tan UDP üzerinden olayları alır. Bir Linux makinenin yüksek hacimli Syslog olaylarını toplaması bekleniyorsa, syslog arka plan programından aracıya TCP üzerinden olaylar gönderir ve Log Analytics.

daha fazla bilgi için bkz. Azure Sentinel 'e Bağlan Syslog tabanlı gereçler.

Ortak Olay Biçimi (CEF)

Günlük biçimleri farklılık gösterir, ancak birçok kaynak CEF tabanlı biçimlendirmeyi destekler. Aslında Log Analytics aracı olan Azure Sentinel Aracısı, CEF biçimli günlükleri, Log Analytics alabilen bir biçime dönüştürür.

CEF 'de verileri yayan veri kaynakları için Syslog aracısını ayarlayın ve sonra CEF veri akışını yapılandırın. Başarılı yapılandırmadan sonra veriler Commonsecuritylog tablosunda görüntülenir.

daha fazla bilgi için bkz. Azure Sentinel 'e Bağlan cef tabanlı gereçler.

Özel günlükler

bazı veri kaynaklarında, Windows veya Linux üzerinde dosya olarak koleksiyon için kullanılabilir günlükler bulunur. Bu günlükleri Log Analytics özel günlük toplama aracısını kullanarak toplayabilirsiniz.

Log Analytics özel günlük toplama Aracısı 'nı kullanarak bağlanmak için her bir Azure Sentinel veri bağlayıcı sayfasındaki adımları izleyin. Yapılandırma başarılı olduktan sonra veriler özel tablolarda görüntülenir.

Daha fazla bilgi için bkz. Log Analytics aracısında özel Günlükler toplama.

Veri Bağlayıcısı desteği

Hem Microsoft hem de diğer kuruluşlar Azure Sentinel veri bağlayıcıları yazar. Her veri Bağlayıcısı aşağıdaki destek türlerinden birine sahiptir:

Destek türü Açıklama
Microsoft tarafından desteklenen Aşağıdakiler cihazlar için geçerlidir:
  • Microsoft 'un veri sağlayıcısı ve yazarı olduğu veri kaynakları için veri bağlayıcıları.
  • Microsoft dışı veri kaynakları için Microsoft tarafından yazılan bazı veri bağlayıcıları.
Microsoft, Microsoft Azure destek planlarınauygun olarak bu kategorideki veri bağlayıcılarını destekler ve korur.

iş ortakları veya Community, Microsoft dışındaki herhangi bir taraf tarafından yazılan veri bağlayıcılarını destekler.
İş ortağı-destekleniyor Microsoft dışındaki taraflar tarafından yazılan veri bağlayıcıları için geçerlidir.

İş ortağı şirketi, bu veri bağlayıcıları için destek veya bakım sağlar. İş ortağı şirketi bağımsız bir yazılım satıcısı, yönetilen hizmet sağlayıcısı (MSP/MSSP), bir sistem tümleştirici (sı) veya bu veri Bağlayıcısı için Azure Sentinel sayfasında iletişim bilgileri sunulan herhangi bir kuruluş olabilir.

İş ortağı tarafından desteklenen bir veri Bağlayıcısı ile ilgili herhangi bir sorun için, belirtilen veri Bağlayıcısı destek ekibine başvurun.
Community-destekleniyor , Microsoft veya iş ortağı geliştiricileri tarafından yazılan ve veri bağlayıcı desteği ve bakım için Azure Sentinel 'teki belirtilen veri bağlayıcı sayfasında bulunan ilgili kişileri bulunmayan veri bağlayıcıları için geçerlidir.

bu veri bağlayıcılarıyla ilgili sorular veya sorunlar için Azure Sentinel GitHub community'de bir sorun oluşturabilirsiniz.

Bir veri Bağlayıcısı için destek kişisi bulma

Bir veri bağlayıcısının destek iletişim bilgilerini bulmak için:

  1. Azure Sentinel sol menüsünde veri bağlayıcıları' nı seçin.

  2. Destek bilgilerini bulmak istediğiniz bağlayıcıyı seçin.

  3. Veri bağlayıcısının yan panelindeki tarafından desteklenen alanını görüntüleyin.

    Azure Sentinel 'de bir veri Bağlayıcısı için desteklenen alanı gösteren ekran görüntüsü.

    Tarafından desteklenen alanı, seçili veri Bağlayıcısı için destek ve bakım hizmetlerine erişmek üzere kullanabileceğiniz bir destek iletişim bağlantısına sahiptir.

Sonraki adımlar