使用 API 型數據連接器將 Microsoft Sentinel 連線 至其他 Microsoft 服務
本文說明如何建立以 API 為基礎的 Microsoft Sentinel 連線。 Microsoft Sentinel 使用 Azure 基礎來提供內建的服務對服務支援,以便從許多 Azure 和 Microsoft 365 服務、Amazon Web Services 和各種 Windows Server 服務擷取數據。 有一些不同的方法,這些連接是透過這些方法建立的。
本文提供 API 型數據連接器群組通用的資訊。
注意
如需美國政府雲端中功能可用性的相關信息,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 數據表。
必要條件
您必須具有 Log Analytics 工作區的讀取和寫入許可權。
您必須擁有 Microsoft Sentinel 工作區租使用者上的全域管理員或安全性系統管理員角色。
資料連接器特定需求:
數據連接器 授權、成本和其他必要條件 Microsoft Entra ID Protection - Microsoft Entra ID P2 訂用帳戶
- 可能適用其他費用Dynamics 365 - Microsoft Dynamics 365 生產授權。 不適用於沙箱環境。
- 至少一位用戶獲派 Microsoft/Office 365 E1 或更新版 授權。
- 在 Microsoft Purview 中啟用稽核記錄。 請參閱 開啟或關閉稽核。
- 稽核在您的 Microsoft Dataverse 環境中啟用的記錄。 請參閱 Microsoft Dataverse 和模型驅動應用程式活動記錄。
- 可能適用其他費用。Microsoft Defender for Cloud Apps 針對 Cloud Discovery 記錄,在 適用於雲端的 Microsoft Defender Apps 中啟用 Microsoft Sentinel 作為 SIEM 適用於端點的 Microsoft Defender 適用於端點的 Microsoft Defender部署的有效授權 適用於 Office 365 的 Microsoft Defender Office 365 ATP 方案 2 的有效授權 Microsoft Office 365 - 您的 Office 365 部署必須位於與 Microsoft Sentinel 工作區相同的租使用者上。
- 可能適用其他費用。Microsoft Power BI - 您的 Office 365 部署必須位於與 Microsoft Sentinel 工作區相同的租使用者上。
- 可能適用其他費用。Microsoft Purview 資訊保護 - 您的 Office 365 部署必須位於與 Microsoft Sentinel 工作區相同的租使用者上。
- 可能適用其他費用。Microsoft Purview 內部風險管理 (IRM) - Microsoft 365 E5/A5/G5 的有效訂用帳戶,或其隨附的合規性或 IRM 附加元件。
- Microsoft Purview 內部風險管理 完整上線,以及定義併產生警示的 IRM 原則。
- 設定為啟用 IRM 警示匯出至 Office 365 管理活動 API 的 Microsoft 365 IRM ,以便透過 Microsoft Sentinel 連接器接收警示。
指示
從 Microsoft Sentinel 導覽功能表中,選取 [數據連接器]。
從數據連接器資源庫選取您的服務,然後在預覽窗格中選取 [開啟 連線 或頁面]。
選取 [連線],以開始將事件和/或警示從您的服務串流至 Microsoft Sentinel。
如果在連接器頁面上有標題為 [建立事件 - 建議!] 的區段,如果您想要從警示自動建立事件,請選取 [ 啟用 ]。
您可以使用數據連接器參考頁面中服務連接器區段中出現的數據表名稱,尋找並查詢每個服務的數據。
下一步
如需詳細資訊,請參閱