Microsoft Sentinel veri bağlayıcıları
Not
Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.
Not
ABD Kamu bulutlarında özellik kullanılabilirliği hakkında bilgi için, ABD Kamu müşterileri için Bulut özelliği kullanılabilirliği'nin Microsoft Sentinel tablolarına bakın.
Microsoft Sentinel'i çalışma alanınıza girdikten sonra, verilerinizi Microsoft Sentinel'e alıma başlamak için veri kaynaklarını birbirine bağlamanız gerekir. Microsoft Sentinel, Microsoft ürünleri için hazır olarak kullanılabilen ve gerçek zamanlı tümleştirme sağlayan birçok bağlayıcı ile birlikte gelir. Örneğin, hizmet bağlayıcıları Microsoft 365 Defender bağlayıcıları ve Microsoft 365, Office 365, Azure Active Directory (Azure AD), Kimlik için Microsoft Defender ve Cloud Apps için Microsoft Defender gibi Microsoft 365 kaynaklarını içerir.
Microsoft dışı ürünler için daha geniş güvenlik ekosistemi için hazır bağlayıcıları da etkinleştirebilirsiniz. Örneğin, veri kaynaklarınızı Microsoft Sentinel'e bağlamak için Syslog,Ortak Olay Biçimi (CEF)veya REST API'leri kullanabilirsiniz.
Microsoft Sentinel gezinti menüsünden erişilebilen Veri bağlayıcıları sayfası, Microsoft Sentinel'in sağladığı bağlayıcıların tam listesini ve çalışma alanınıza durumlarını gösterir. Bağlanmak istediğiniz bağlayıcıyı seçin ve ardından Bağlayıcı sayfasını aç'ı seçin.
Bu makalede desteklenen veri bağlantısı yöntemleri açıklanmıştır. Daha fazla bilgi için bkz. Microsoft Sentinel veri bağlayıcıları başvurusu ve Microsoft Sentinel çözümleri kataloğu.
Veri bağlayıcısı etkinleştirme
Microsoft Sentinel gezinti menüsünden erişilebilen Veri bağlayıcıları sayfası, Microsoft Sentinel'in sağladığı bağlayıcıların tam listesini ve durumlarını gösterir. Bağlanmak istediğiniz bağlayıcıyı seçin ve ardından Bağlayıcı sayfasını aç'ı seçin.
Tüm önkoşulları yerine getirmeli ve bağlayıcı sayfasında verileri Microsoft Sentinel'e alan eksiksiz yönergeleri görebilirsiniz. Verilerin gelmesi biraz zaman alır. Bağlandıktan sonra Alınan veriler grafiğinde verilerin bir özetini ve veri türlerinin bağlantı durumunu görebilirsiniz.
Sonraki adımlar sekmesinde Microsoft Sentinel'in belirli bir veri türü için sağladığı ek içerikler (tehditleri algılamanıza ve araştırmanıza yardımcı olacak örnek sorgular, görselleştirme çalışma kitapları ve analiz kuralı şablonları) görebilirsiniz.
Daha fazla bilgi için veri bağlayıcıları başvurusunda veri bağlayıcınız için ilgili bölüme bakın.
REST API tümleştirme
Birçok güvenlik teknolojisi günlük dosyalarını almak için bir dizi API sağlar ve bazı veri kaynakları microsoft Sentinel'e bağlanmak için bu API'leri kullanabilir.
API'leri kullanan veri bağlayıcıları, aşağıdaki bölümlerde açıklandığı gibi Azure İşlevleri sağlayıcı tarafından tümleştirilebilir.
Bu bağlayıcılar hakkında eksiksiz bir liste ve bilgi için bkz. veri bağlayıcıları başvurusu.
REST API tarafında tümleştirme
Sağlayıcı tarafından yerleşik bir API tümleştirmesi, sağlayıcı veri kaynaklarına bağlanır ve veri toplayıcı API'sini kullanarak Microsoft Sentinel özel günlük Azure İzleyici tablolara veri iletir.
Daha fazla bilgi için sağlayıcı belgelerinize bakın ve veri Bağlan microsoft Sentinel'in REST-API'sini kullanarak veri alın.
REST API kullanarak Azure İşlevleri
Bir sağlayıcı API'Azure İşlevleri bağlanmak için Azure İşlevleri kullanan tümleştirmeler önce verileri biçimlendirin ve ardından Azure İzleyici Veri Toplayıcı API'sini kullanarak Microsoft Sentinel özel günlük tablolarına gönderin.
Bu veri bağlayıcılarını sağlayıcı API'si ile bağlantı kurarak Microsoft Sentinel'de günlükleri top edecek şekilde yapılandırmak için, Microsoft Sentinel'de her veri bağlayıcısı için gösterilen adımları izleyin.
Daha fazla bilgi için bkz. Azure İşlevleri kaynağınızı Microsoft Sentinel'e bağlamak için veri kaynağınızı kullanma.
Önemli
Azure kiracınız üzerinde Azure İşlevleri tümleştirmeleri barındırmanız nedeniyle Azure İşlevleri veri alımı maliyetlerine neden olabilir. Daha fazla bilgi için Azure İşlevleri sayfasına bakın.
Aracı tabanlı tümleştirme
Microsoft Sentinel, syslog protokolünü kullanarak bir aracı aracılığıyla gerçek zamanlı günlük akışı gerçekleştirecek herhangi bir veri kaynağına bağlanabilirsiniz. Örneğin, şirket içi veri kaynaklarının çoğu aracı tabanlı tümleştirme yoluyla bağlanıyor.
Aşağıdaki bölümlerde, microsoft Sentinel aracı tabanlı veri bağlayıcılarının farklı türleri açıklanmaktadır. Aracı tabanlı mekanizmalar kullanarak bağlantıları yapılandırmak için her Microsoft Sentinel veri bağlayıcısı sayfasındaki adımları izleyin.
CEF veya Syslog aracılığıyla Microsoft Sentinel'e bağlanan güvenlik duvarlarının, sunucularının ve uç noktaların tam listesi için bkz. veri bağlayıcıları başvurusu.
Syslog
Linux için Log Analytics aracıyı (eski adı OMS aracısı) kullanarak Linux tabanlı, Syslog destekleyen cihazlardan Microsoft Sentinel'e olay akışı sabilirsiniz. Log Analytics aracısı, Log Analytics aracılarını doğrudan cihaza yüklemenize olanak sağlayan tüm cihazlarda de kullanılabilir.
Cihazın yerleşik Syslog daemon'ı, belirtilen türlerin yerel olaylarını toplar ve aracıya yerel olarak iletir ve ardından bunları Log Analytics çalışma alanınıza akışla iletir. Yapılandırma başarılı olduktan sonra veriler Log Analytics Syslog tablosunda görünür.
Cihaz türüne bağlı olarak, aracı doğrudan cihaza veya ayrılmış linux tabanlı günlük ileticiye yüklenir. Log Analytics aracısı, UDP üzerinden Syslog daemon'dan olayları alır. Bir Linux makinesinin yüksek hacimli Syslog olaylarını toplaması bekleniyorsa, olayları TCP üzerinden Syslog daemon'dan aracıya ve buradan Log Analytics'e gönderir.
Daha fazla bilgi için bkz. Syslog Bağlan cihazları Microsoft Sentinel'e yükleme.
Ortak Olay Biçimi (CEF)
Günlük biçimleri farklılık gösterir, ancak birçok kaynak CEF tabanlı biçimlendirmeyi destekler. Aslında Log Analytics aracısı olan Microsoft Sentinel aracısı, CEF biçimli günlükleri Log Analytics'in alına bir biçime dönüştürür.
CEF'de veri yayın veri kaynakları için Syslog aracıyı ayarlayın ve ardından CEF veri akışını yapılandırabilirsiniz. Yapılandırma başarılı olduktan sonra veriler CommonSecurityLog tablosunda görünür.
Daha fazla bilgi için bkz. CEF tabanlı Bağlan Microsoft Sentinel'e gönderme.
Özel günlükler
Bazı veri kaynaklarında, Linux veya Linux üzerinde dosya olarak Windows günlükler vardır. Bu günlükleri Log Analytics özel günlük toplama aracısı kullanarak toplayabilirsiniz.
Log Analytics özel günlük toplama aracısı kullanarak bağlanmak için her Bir Microsoft Sentinel veri bağlayıcısı sayfasındaki adımları izleyin. Yapılandırma başarılı olduktan sonra veriler özel tablolarda görünür.
Daha fazla bilgi için bkz. Log Analytics aracısı ile Microsoft Sentinel'e özel günlük biçimlerini kullanarak veri toplama.
Hizmet-hizmet tümleştirmesi
Microsoft Sentinel, hizmet ve hizmet kullanımı için hazır, hizmetten hizmete destek sağlamak Microsoft hizmetleri Amazon Web Services.
Daha fazla bilgi için bkz Bağlan Azure, Windows, Microsoft ve Amazon hizmetleri ile veri bağlayıcıları başvurusu.
Çözümün parçası olarak dağıtma
Microsoft Sentinel çözümleri veri bağlayıcıları, çalışma kitapları, analiz kuralları, playbook'lar ve daha fazlası dahil olmak üzere güvenlik içeriği paketleri sağlar. Bir veri bağlayıcısı ile bir çözüm dağıtarak veri bağlayıcıyı aynı dağıtımda ilgili içerikle birlikte elde olursunuz.
Daha fazla bilgi için bkz. Microsoft Sentinel'i hazır içerik ve çözümleri merkezi olarak keşfetme ve dağıtma ve Microsoft Sentinelçözüm kataloğu.
Veri bağlayıcısı desteği
Hem Microsoft hem de diğer kuruluşlar Microsoft Sentinel veri bağlayıcıları yazar. Her veri bağlayıcısı aşağıdaki destek türlerinden birini içerir:
| Destek türü | Description |
|---|---|
| Microsoft tarafından desteklenen | Aşağıdakiler cihazlar için geçerlidir:
İş ortakları Community, Microsoft dışında herhangi bir taraf tarafından kaleme alınan veri bağlayıcılarını destekler. |
| İş ortağı tarafından desteklenen | Microsoft dışında taraflar tarafından kaleme alınan veri bağlayıcıları için geçerlidir. İş ortağı şirketi bu veri bağlayıcıları için destek veya bakım sağlar. İş ortağı şirket Bağımsız Yazılım Satıcısı, Yönetilen Hizmet Sağlayıcısı (MSP/MSSP), Sistem Tümleştiricisi (SI) veya iletişim bilgileri bu veri bağlayıcısı için Microsoft Sentinel sayfasında sağlanan herhangi bir kuruluş olabilir. İş ortağı tarafından desteklenen veri bağlayıcısı ile ilgili sorunlar için belirtilen veri bağlayıcısı destek ilgili kişisi ile iletişime geçin. |
| Community desteklenen | Microsoft Sentinel'de belirtilen veri bağlayıcısı sayfasında veri bağlayıcısı desteği ve bakımı için kişileri listeleyemeden Microsoft veya iş ortağı geliştiricileri tarafından kaleme gönderilen veri bağlayıcıları için geçerlidir. Bu veri bağlayıcıları ile ilgili sorular veya sorunlar için, Microsoft Sentinel GitHub toplulukta sorun gönderebilirsiniz. |
Veri bağlayıcısı için destek kişisi bulma
Veri bağlayıcısı için destek iletişim bilgilerini bulmak için:
Microsoft Sentinel sol menüsünde Veri bağlayıcıları'ı seçin.
Destek bilgilerini bulmak istediğiniz bağlayıcıyı seçin.
Veri bağlayıcısı için yan panelde Desteklenenler alanını görüntüleyebilirsiniz.
Tarafından desteklenen alanında, seçili veri bağlayıcısı için destek ve bakıma erişmek için kullanabileceğiniz bir destek iletişim bağlantısı vardır.
Sonraki adımlar
- Microsoft Sentinel ile çalışmaya başlamanız için bir abonelik Microsoft Azure. Aboneliğiniz yoksa ücretsiz deneme sürümüne kaydolabilirsiniz.
- Verilerinizi Microsoft Sentinel 'e ekleme ve verilerinize ve olası tehditlere ilişkin görünürlük almahakkında bilgi edinin.