Microsoft Sentinel 資料連接器
將 Microsoft Sentinel 上線至工作區之後,請使用數據連接器開始將數據內嵌至 Microsoft Sentinel。 Microsoft Sentinel 隨附許多現用連接器,可即時整合 Microsoft 服務。 例如,Microsoft Defender 全面偵測回應 連接器是一種服務對服務連接器,可整合 Office 365、Microsoft Entra ID、適用於身分識別的 Microsoft Defender 和 適用於雲端的 Microsoft Defender Apps 的數據。
內建連接器可讓您連線到非 Microsoft 產品更廣泛的安全性生態系統。 例如,使用 Syslog、Common Event Format (CEF) 或 REST API,將數據源與 Microsoft Sentinel 連線。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺公開預覽的一部分。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
提供解決方案的數據連接器
Microsoft Sentinel 解決方案提供封裝的安全性內容,包括數據連接器、活頁簿、分析規則、劇本等等。 當您使用資料連接器部署解決方案時,您會將資料連接器與相同部署中的相關內容一起取得。
Microsoft Sentinel Data 連接器 頁面會列出已安裝或使用中的數據連接器。
若要新增更多數據連接器,請從 內容中樞安裝與數據連接器相關聯的解決方案。 如需詳細資訊,請參閱下列文章:
- 尋找您的 Microsoft Sentinel 資料連線器
- 關於 Microsoft Sentinel 內容和解決方案
- 探索及管理 Microsoft Sentinel 現用內容
- Microsoft Sentinel 內容中樞目錄
- 適用於 Microsoft Sentinel 的進階安全性資訊模型 (ASIM) 型領域解決方案
數據連接器的 REST API 整合
許多安全性技術提供一組 API 來擷取記錄檔。 某些數據源可以使用這些 API 來連線到 Microsoft Sentinel。
使用 API 的數據連接器會從提供者端整合,或使用 Azure Functions 進行整合,如下列各節所述。
提供者端的整合
提供者所建置的 API 整合會與提供者數據源連線,並使用 Azure 監視器數據收集器 API 將數據推送至 Microsoft Sentinel 自定義記錄數據表。 如需詳細資訊,請參閱 使用 HTTP 資料收集器 API 將記錄資料傳送至 Azure 監視器。
若要瞭解 REST API 整合,請閱讀提供者檔,並將數據源 連線 至 Microsoft Sentinel 的 REST-API 以內嵌數據。
使用 Azure Functions 進行整合
使用 Azure Functions 與提供者 API 連線的整合會先格式化數據,然後使用 Azure 監視器數據收集器 API 將其傳送至 Microsoft Sentinel 自定義記錄數據表。
如需詳細資訊,請參閱
- 使用 HTTP 資料收集器 API 將記錄資料傳送至 Azure 監視器
- 使用 Azure Functions 將數據源連線至 Microsoft Sentinel
- Azure Functions 文件
使用 Azure Functions 的整合可能會有額外的數據擷取成本,因為您在 Azure 組織中裝載 Azure Functions。 深入瞭解 Azure Functions 定價。
數據連接器的代理程式型整合
Microsoft Sentinel 可以使用 Syslog 通訊協定,將代理程式連線到任何可執行實時記錄串流的數據源。 例如,大部分的內部部署數據源會使用代理程式型整合進行連線。
下列各節說明不同類型的 Microsoft Sentinel 代理程式型數據連接器。 若要使用代理程式型機制設定連線,請遵循每個 Microsoft Sentinel 數據連接器頁面中的步驟。
Syslog
您可以使用 Azure 監視器代理程式 (AMA) 將 Linux 型 Syslog 支援裝置的事件串流至 Microsoft Sentinel。 視裝置類型而定,代理程式會直接安裝在裝置上,或安裝在專用的Linux型記錄轉寄站上。 AMA 會透過UDP從 Syslog 精靈接收事件。 Syslog 精靈會將事件轉送至代理程式內部,透過 UDS 進行通訊(Unix 網域套接字)。 AMA 接著會將這些事件傳送至 Microsoft Sentinel 工作區。
以下是一個簡單的流程,示範 Microsoft Sentinel 如何串流 Syslog 數據。
- 裝置的內建 Syslog 精靈會收集指定類型的本機事件,並將事件轉送至代理程式。
- 代理程式會將事件串流至Log Analytics工作區。
- 成功設定之後,數據會出現在Log Analytics Syslog資料表中。
如需詳細資訊,請參閱 教學課程:使用 Azure 監視器代理程式,將 Syslog 數據轉送至具有 Microsoft Sentinel 的 Log Analytics 工作區。
常見事件格式 (CEF)
記錄格式會有所不同,但許多來源都支援以 CEF 為基礎的格式。 Microsoft Sentinel 代理程序實際上是 Log Analytics 代理程式,會將 CEF 格式的記錄轉換成 Log Analytics 可以內嵌的格式。
針對在 CEF 中發出數據的數據源,請設定 Syslog 代理程式,然後設定 CEF 數據流。 成功設定之後,數據會出現在 CommonSecurityLog 數據表中。
如需詳細資訊,請參閱 從您的裝置或設備取得 CEF 格式的記錄到 Microsoft Sentinel。
自訂的記錄
針對某些數據源,您可以使用Log Analytics 自定義記錄收集代理程式,將記錄收集為Windows或Linux電腦上的檔案。
若要使用Log Analytics自定義記錄收集代理程式進行連線,請遵循每個 Microsoft Sentinel 資料連接器頁面中的步驟。 設定成功之後,數據會出現在自定義數據表中。
如需詳細資訊,請參閱 使用Log Analytics代理程式以自定義記錄格式收集數據至 Microsoft Sentinel。
數據連接器的服務對服務整合
Microsoft Sentinel 會使用 Azure 基礎,為 Microsoft 服務 和 Amazon Web Services 提供現用的服務對服務支援。
如需詳細資訊,請參閱下列文章:
數據連接器支援
Microsoft 和其他組織都撰寫 Microsoft Sentinel 數據連接器。 每個數據連接器都有下列其中一種支持類型列在 Microsoft Sentinel 的數據連接器頁面上。
| 支援類型 | 描述 |
|---|---|
| Microsoft 支援 | 適用於:
合作夥伴或社群支援 Microsoft 以外的任何合作物件所撰寫的數據連接器。 |
| 合作夥伴支援 | 適用於 Microsoft 以外的合作物件所撰寫的數據連接器。 合作夥伴公司為這些數據連接器提供支持或維護。 合作夥伴公司可以是獨立軟體廠商、受控服務提供者(MSP/MSSP)、系統整合者(SI),或任何組織,其連絡資訊是在該數據連接器的 Microsoft Sentinel 頁面上提供。 如需合作夥伴支援之數據連接器的任何問題,請連絡指定的數據連接器支持聯繫人。 |
| 社群支援 | 適用於 Microsoft 或合作夥伴開發人員所撰寫的數據連接器,這些連接器未在 Microsoft Sentinel 的數據連接器頁面上列出數據連接器支援和維護的聯繫人。 如需這些數據連接器的問題,您可以在 Microsoft Sentinel GitHub 社群中提出問題。 |
如需詳細資訊,請參閱 尋找數據連接器的支援。
下一步
如需數據連接器的詳細資訊,請參閱下列文章。
如需 Bicep、Azure Resource Manager 和 Terraform 的基本基礎結構即程式代碼 (IaC) 參考,以在 Microsoft Sentinel 中部署數據連接器,請參閱 Microsoft Sentinel 數據連接器 IaC 參考。