Azure Sentinel veri bağlayıcıları

Not

ABD Kamu bulutlarında özellik kullanılabilirliği hakkında bilgi için, ABD Kamu müşterileri Azure Sentinel bulut özelliği kullanılabilirliği'nin tablolarına bakın.

Çalışma alanınıza Azure Sentinel veri kaynağınıza bağlanarak verilerinizi veri kaynağınıza Azure Sentinel. Azure Sentinel, Microsoft ürünleri için hazır olarak kullanılabilen ve gerçek zamanlı tümleştirme sağlayan birçok bağlayıcı ile birlikte gelir. Örneğin, hizmet bağlayıcıları Microsoft 365 Defender bağlayıcıları ve Office 365, Azure Active Directory (Azure AD), Kimlik için Microsoft Defender ve Microsoft 365 gibi Microsoft Cloud App Security.

Microsoft dışı ürünler için daha geniş güvenlik ekosistemi için yerleşik bağlayıcıları da etkinleştirabilirsiniz. Örneğin, veri kaynaklarınızı veri kaynaklarına bağlamak için Syslog,Ortak Olay Biçimi (CEF)veya REST API'leri Azure Sentinel.

Azure Sentinel gezinti menüsünden erişilebilen Veri bağlayıcıları sayfası, Azure Sentinel bağlayıcıların tam listesini ve çalışma alanınız içinde durumlarını gösterir. Bağlanmak istediğiniz bağlayıcıyı seçin ve ardından Bağlayıcı sayfasını aç'ı seçin.

Veri bağlayıcıları galerisi

Bu makalede desteklenen veri bağlantısı yöntemleri açıklanmıştır. Daha fazla bilgi için bkz. Azure Sentinel bağlayıcıları başvurusu ve Azure Sentinel kataloğu.

Veri bağlayıcısı etkinleştirme

Azure Sentinel gezinti menüsünden erişilebilen Veri bağlayıcıları sayfasında, Azure Sentinel bağlayıcıların tam listesi ve bunların durumu görüntülenir. Bağlanmak istediğiniz bağlayıcıyı seçin ve ardından Bağlayıcı sayfasını aç'ı seçin.

Veri bağlayıcıları galerisi

Tüm önkoşulları yerine getirmeli ve bağlayıcı sayfasında verileri veri kaynağına Azure Sentinel. Verilerin gelmesi biraz zaman alır. Bağlandıktan sonra Alınan veriler grafiğinde verilerin bir özetini ve veri türlerinin bağlantı durumunu görebilirsiniz.

Veri bağlayıcılarını yapılandırma

Sonraki adımlar sekmesinde, tehditleri algılamanıza ve araştırmanıza yardımcı Azure Sentinel örnek sorgular, görselleştirme çalışma kitapları ve analiz kuralı şablonları gibi belirli bir veri türü için Azure Sentinel'nin sağladığı ek içerikleri görebilirsiniz.

Bağlayıcılar için sonraki adımlar

Daha fazla bilgi için veri bağlayıcısı başvurusunda veri bağlayıcınız için ilgili bölüme bakın.

REST API tümleştirme

Birçok güvenlik teknolojisi, günlük dosyalarını almak için bir dizi API sağlar ve bazı veri kaynakları bu API'leri kullanarak Azure Sentinel.

API'leri kullanan veri bağlayıcıları, aşağıdaki bölümlerde açıklandığı gibi Azure İşlevleri sağlayıcı tarafından tümleştirilebilir.

Bu bağlayıcılar hakkında eksiksiz bir liste ve bilgi için bkz. veri bağlayıcıları başvurusu.

REST API tarafında tümleştirme

Sağlayıcı tarafından yerleşik bir API tümleştirmesi, sağlayıcı veri kaynaklarına bağlanır ve Azure Sentinel Veri Toplayıcı API'sini kullanarak Azure İzleyici günlük tablolarına veri iletir.

Daha fazla bilgi için sağlayıcı belgelerinize bakın ve Bağlan'nin REST-API'Azure Sentinelveri almak için veri kaynağınızı seçin.

REST API kullanarak Azure İşlevleri

Bir sağlayıcı API'Azure İşlevleri bağlanmak için Azure Sentinel kullanan tümleştirmeler önce verileri biçimlendirin ve ardından Azure Sentinel Veri Toplayıcı API'sini kullanarak Azure İzleyici günlük tablolarına gönderin.

Bu veri bağlayıcılarını sağlayıcı API'si ile bağlantı kurarak günlük toplamak ve Azure Sentinel veri bağlayıcısı için aşağıdaki adımları Azure Sentinel.

Daha fazla bilgi için bkz. Azure İşlevleri kaynağınızı Azure Sentinel.

Önemli

Azure kiracınız üzerinde Azure İşlevleri tümleştirmeleri barındırmanız nedeniyle Azure İşlevleri veri alımı maliyetlerine neden olabilir. Daha fazla bilgi için Azure İşlevleri sayfasına bakın.

Aracı tabanlı tümleştirme

Azure Sentinel gerçek zamanlı günlük akışı gerçekleştirecek herhangi bir veri kaynağına aracı aracılığıyla bağlanmak için Syslog protokolünü kullanabilirsiniz. Örneğin, şirket içi veri kaynaklarının çoğu aracı tabanlı tümleştirme yoluyla bağlanıyor. Aşağıdaki bölümlerde aracı tabanlı veri bağlayıcılarının Azure Sentinel türleri açıklanmaktadır. Aracı tabanlı mekanizmalar kullanarak Azure Sentinel yapılandırmak için her bir veri bağlayıcısı sayfasındaki adımları izleyin.

CEF veya Syslog aracılığıyla Azure Sentinel güvenlik duvarlarının, sunucularının ve uç noktaların tam listesi için bkz. veri bağlayıcıları başvurusu.

Syslog

Daha önce OMS aracısı olarak adlandırılan Linux için Log Analytics aracılarını kullanarak Linux tabanlı, Syslog destekleyen cihazlardan Azure Sentinel'ye olay akışı sabilirsiniz. Log Analytics aracısı, Log Analytics aracıyı doğrudan cihaza yüklemenize olanak sağlayan tüm cihazlarda de desteklemektedir.

Cihazın yerleşik Syslog daemon'ı, belirtilen türlerin yerel olaylarını toplar ve aracıya yerel olarak iletir ve ardından bunları Log Analytics çalışma alanınıza akışla iletir. Yapılandırma başarılı olduktan sonra veriler Log Analytics Syslog tablosunda görünür.

Cihaz türüne bağlı olarak, aracı doğrudan cihaza veya ayrılmış linux tabanlı günlük ileticiye yüklenir. Log Analytics aracısı, UDP üzerinden Syslog daemon'dan olayları alır. Bir Linux makinesinin yüksek hacimli Syslog olaylarını toplaması bekleniyorsa, olayları TCP üzerinden Syslog daemon'dan aracıya ve buradan Log Analytics'e gönderir.

Daha fazla bilgi için bkz. Bağlan Syslog tabanlı gereçleri Azure Sentinel.

Ortak Olay Biçimi (CEF)

Günlük biçimleri farklılık gösterir, ancak birçok kaynak CEF tabanlı biçimlendirmeyi destekler. Log Analytics Azure Sentinel aracı olan bu aracı, CEF biçimli günlükleri Log Analytics'in alına bir biçime dönüştürür.

CEF'de veri yayın veri kaynakları için Syslog aracıyı ayarlayın ve ardından CEF veri akışını yapılandırabilirsiniz. Yapılandırma başarılı olduktan sonra veriler CommonSecurityLog tablosunda görünür.

Daha fazla bilgi için bkz. Bağlan CEF tabanlı gereçleri Azure Sentinel.

Özel günlükler

Bazı veri kaynaklarında, Linux veya Linux üzerinde dosya olarak Windows günlükler vardır. Bu günlükleri Log Analytics özel günlük toplama aracısı kullanarak toplayabilirsiniz.

Log Analytics özel günlük Azure Sentinel kullanarak bağlanmak için her bir veri bağlayıcısı sayfasındaki adımları izleyin. Yapılandırma başarılı olduktan sonra veriler özel tablolarda görünür.

Daha fazla bilgi için bkz. Log Analytics aracısı ile Azure Sentinel için özel günlük biçimlerde veri toplama.

Hizmet-hizmet tümleştirmesi

Azure Sentinel, hizmet ve hizmet kullanımı için yerleşik, hizmetten hizmete destek sağlamak Microsoft hizmetleri Amazon Web Services.

Daha fazla bilgi için bkz Bağlan Azure, Windows, Microsoft ve Amazon hizmetleri ile veri bağlayıcıları başvurusu.

Çözümün parçası olarak dağıtma

Azure Sentinel çözümleri veri bağlayıcıları, çalışma kitapları, analiz kuralları, playbook'lar ve daha fazlası dahil olmak üzere güvenlik içeriği paketleri sağlar. Bir veri bağlayıcısı ile bir çözüm dağıtarak veri bağlayıcıyı aynı dağıtımda ilgili içerikle birlikte elde olursunuz.

Daha fazla bilgi için bkz. Azure Sentinel çözümlerini bulma ve dağıtma ve Azure Sentinel kataloğu.

Veri bağlayıcısı desteği

Hem Microsoft hem de diğer kuruluşlar veri Azure Sentinel yazar. Her veri bağlayıcısı aşağıdaki destek türlerinden birini içerir:

Destek türü Description
Microsoft tarafından desteklenen Aşağıdakiler cihazlar için geçerlidir:
  • Microsoft'un veri sağlayıcısı ve yazarı olduğu veri kaynakları için veri bağlayıcıları.
  • Microsoft dışı veri kaynakları için Microsoft tarafından kaleme alınan bazı veri bağlayıcıları.
Microsoft, bu kategorideki veri bağlayıcılarını Destek Planları'Microsoft Azure destekler ve sürdürür.

İş ortakları Community microsoft dışında herhangi bir taraf tarafından yazan veri bağlayıcılarını destekler.
İş ortağı tarafından desteklenen Microsoft dışında taraflar tarafından kaleme alınan veri bağlayıcıları için geçerlidir.

İş ortağı şirketi bu veri bağlayıcıları için destek veya bakım sağlar. İş ortağı şirket Bağımsız Yazılım Satıcısı, Yönetilen Hizmet Sağlayıcısı (MSP/MSSP), Sistem Tümleştiricisi (SI) veya iletişim bilgileri ilgili veri bağlayıcısı için Azure Sentinel sayfasında sağlanan herhangi bir kuruluş olabilir.

İş ortağı tarafından desteklenen veri bağlayıcısı ile ilgili sorunlar için belirtilen veri bağlayıcısı destek ilgili kişisi ile iletişime geçin.
Community desteklenen Microsoft veya iş ortağı geliştiricileri tarafından, microsoft'ta belirtilen veri bağlayıcısı sayfasındaki veri bağlayıcısı desteği ve bakımı için kişileri listeleyemeden veri bağlayıcıları Azure Sentinel.

Bu veri bağlayıcıları ile ilgili sorular veya sorunlar için, Azure Sentinel GitHub toplulukta sorun Azure Sentinel GitHub.

Veri bağlayıcısı için destek kişisi bulma

Veri bağlayıcısı için destek iletişim bilgilerini bulmak için:

  1. Sol menüde Azure Sentinel Bağlayıcılar'ı seçin.

  2. Destek bilgilerini bulmak istediğiniz bağlayıcıyı seçin.

  3. Veri bağlayıcısı için yan panelde Desteklenenler alanını görüntüleyebilirsiniz.

    Veri bağlayıcısı için Desteklenen alanını gösteren ekran görüntüsü Azure Sentinel.

    Tarafından desteklenen alanında, seçili veri bağlayıcısı için destek ve bakıma erişmek için kullanabileceğiniz bir destek iletişim bağlantısı vardır.

Sonraki adımlar