你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
查找 Microsoft Sentinel 数据连接器
注意
Azure Sentinel 现在称为 Microsoft Sentinel,我们将在几周内更新相关页面。 详细了解最近的 Microsoft 安全性增强。
本文介绍如何在 Microsoft Sentinel 中部署数据连接器,文中列出了所有受支持的现成数据连接器,还提供了常规部署流程的链接和特定连接器所需的额外步骤。
提示
某些数据连接器仅通过解决方案进行部署。 有关详细信息,请参阅 Microsoft Sentinel 解决方案目录。 还可以在 Microsoft Sentinel GitHub 存储库中找到其他社区构建的数据连接器。
如何使用本指南
首先,在右侧标题菜单中找到并选择适合你的产品、服务或设备的连接器。
对于每个连接器,首先显示的信息是其数据引入方法。 这里显示的方法将是指向下列某一常规部署流程的链接,其中有你将数据源连接到 Microsoft Sentinel 所需的大部分信息:
数据引入方法 带说明的链接文章 Azure 服务到服务集成 连接到 Azure、Windows、Microsoft 和 Amazon 服务 使用 Syslog 的通用事件格式 (CEF) 将设备中 CEF 格式的日志引入到 Microsoft Sentinel Microsoft Sentinel 数据收集器 API 将数据源连接到 Microsoft Sentinel 数据收集器 API 以引入数据 Azure Functions 和 REST API 使用 Azure Functions 将 Microsoft Sentinel 连接到数据源 Syslog 使用 Syslog 从基于 Linux 的源收集数据 自定义日志 使用 Log Analytics 代理将数据以自定义日志格式收集到 Microsoft Sentinel 注意
“Azure 服务到服务集成”数据引入方法链接到其文章的三个不同部分,具体取决于连接器类型。 每个连接器的下列部分指定了该文章中它链接到的部分。
部署特定连接器时,请选择链接到其数据引入方法的相应文章,并使用下面相关部分中的信息和额外指南对该文章中的信息进行补充。
提示
许多数据连接器还可连同相关的分析规则、工作簿和 playbook,部署为 Microsoft Sentinel 解决方案的一部分。 有关详细信息,请参阅 Microsoft Sentinel 解决方案目录。
更多数据连接器由 Microsoft Sentinel 社区提供,可在 Azure 市场中找到。 社区数据连接器的相关文档由创建连接器的组织负责。
如果你有未列出或当前不受支持的数据源,则还可自行创建自定义连接器。 有关详细信息,请参阅用于创建 Microsoft Sentinel 自定义连接器的资源。
重要
请注意,Microsoft Sentinel 数据连接器目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
数据连接器先决条件
每个数据连接器都将具有自己的一组先决条件,如对 Azure 工作区、订阅或策略的必需权限等,或要连接到的伙伴数据源的其他要求。
每个数据连接器的先决条件列在 Microsoft Sentinel 的相关数据连接器页的“说明”选项卡上。
Agari Phishing Defense and Brand Protection(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API 部署前:启用安全图形 API(可选)。 部署后:向函数应用分配必要的权限 |
| Log Analytics 表 | agari_bpalerts_log_CL agari_apdtc_log_CL agari_apdpolicy_log_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/Sentinel-agari-functionapp |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | |
| 应用程序设置 | 如果将 enableSecurityGraphSharing 设置为 true,则必需(详见下方): |
| 支持的服务 | Agari |
启用安全图形 API(可选)
重要
如果执行此步骤,请在部署数据连接器之前执行。
Agari 函数应用允许通过安全图形 API 与 Microsoft Sentinel 共享威胁情报。 若要使用此功能,你需要启用 Sentinel 威胁情报平台连接器,同时在 Azure Active Directory 中注册应用程序。
此过程将提供下面三条信息,供你在部署函数应用时使用:图形租户 ID、图形客户端 ID 和图形客户端密码(请查看上表中的“应用程序设置”) 。
向函数应用分配必要的权限
Agari 连接器使用环境变量来存储日志访问时间戳。 为了使应用程序能够写入此变量,必须将权限分配给系统分配的标识。
- 在 Azure 门户中,导航到“函数应用”。
- 在“函数应用”页面中,从列表中选择“函数应用”,然后在“函数应用”导航菜单中的“设置”下选择“标识” 。
- 在“系统分配”选项卡中,将“状态”设置为“启用” 。
- 选择“保存”,将出现“Azure 角色分配”按钮。 选择该文件夹。
- 在“Azure 角色分配”屏幕中,选择“添加角色分配”。 将“作用域”设置为“订阅”,从“订阅”下拉菜单中选择订阅,并将“角色”设置为“应用配置数据所有者”。
- 选择“保存”。
Darktrace 的 AI Analyst (AIA)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) 为 AI Analyst 分配 CEF 日志转发功能 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Darktrace |
为 AI Analyst 分配 CEF 日志转发功能
配置 Darktrace,以通过 Log Analytics 代理将 CEF 格式的 Syslog 消息转发到 Azure 工作区。
- 在 Darktrace Threat Visualizer 中,导航到“管理员”下主菜单中的“系统配置”页面 。
- 从右侧菜单中,选择“模块”,再从可用的工作流集成中选择“Microsoft Sentinel” 。
- 这将打开配置窗口。 找到“Microsoft Sentinel Syslog CEF”,然后选择“新建”来调出配置设置,除非已公开 。
- 在“服务器配置”字段中,输入日志转发器的位置,并选择性地修改通信端口。 确保所选端口设置为 514,且任何中间防火墙都不阻止它。
- 根据需要配置任何警报阈值、时间偏移量或其他设置。
- 查看可能需要启用来修改 Syslog 语法的任何其他配置选项。
- 启用“发送警报”并保存所作更改。
AI Vectra Detect(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) 为 AI Vectra Detect 分配 CEF 日志转发功能 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Vectra AI |
为 AI Vectra Detect 分配 CEF 日志转发功能
配置 Vectra(X 系列)代理,以通过 Log Analytics 代理将 CEF 格式的 Syslog 消息转发到 Microsoft Sentinel 工作区。
在 Vectra 接口中,导航到“设置”>“通知”,然后选择“编辑 Syslog 配置”。 请按照以下说明建立连接:
- 添加新目标(日志转发器的主机名)
- 将端口设置为“514”
- 将协议设置为“UDP”
- 将格式设置为“CEF”
- 设置日志类型(选择所有可用的日志类型)
- 选择“保存”
可选择“测试”按钮,强制将一些测试事件发送到日志转发器。
有关详细信息,请参阅“Cognito Detect Syslog 指南”(可从 Detect UI 中的资源页下载)。
Akamai Security Events(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF),采用 Kusto 函数分析程序 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | AkamaiSIEMEvent |
| Kusto 函数 URL: | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt |
| 供应商文档/ 安装说明 |
配置安全信息和事件管理 (SIEM) 集成 设置 CEF 连接器。 |
| 支持的服务 | Akamai |
Alcide kAudit
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | alcide_kaudit_activity_1_CL - Alcide kAudit 活动日志 alcide_kaudit_detections_1_CL - Alcide kAudit 检测 alcide_kaudit_selections_count_1_CL - Alcide kAudit 活动数 alcide_kaudit_selections_details_1_CL - Alcide kAudit 活动详细信息 |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
Alcide kAudit 安装指南 |
| 支持的服务 | Alcide |
Alsid for Active Directory
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Log Analytics 代理 - 自定义日志 Alsid 的额外配置 |
| Log Analytics 表 | AlsidForADLog_CL |
| DCR 支持 | 目前不支持 |
| Kusto 函数别名: | afad_parser |
| Kusto 函数 URL: | https://aka.ms/Sentinel-alsidforad-parser |
| 支持的服务 | Alsid |
Alsid 的额外配置
配置 Syslog 服务器
首先需要一个 Linux Syslog 服务器,Alsid for AD 会将日志发送到该服务器。 通常,可在 Ubuntu 上运行 rsyslog 。
然后,可按照需要配置此服务器,但建议能够在单独的文件中输出 AFAD 日志。 或者,可使用快速启动模板来部署 Syslog 服务器和 Microsoft 代理。 如果使用该模板,可跳过代理安装说明。
将 Alsid 配置为将日志发送到 Syslog 服务器
在“Alsid for AD”门户上,转到“系统”、“配置”,然后转到“Syslog” 。 从这里,可以针对 Syslog 服务器创建新的 Syslog 警报。
创建新的 Syslog 警报后,请检查是否在服务器上以单独的文件正确收集了日志。 例如,若要检查日志,可以使用 AFAD 中 Syslog 警报配置中的“测试配置”按钮。 如果使用了快速启动模板,则 Syslog 服务器将默认侦听 UDP 中的端口 514 和 TCP 中的端口 1514,而不通过 TLS。
Amazon Web Services
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 将 Microsoft Sentinel 连接到 Amazon Web Services 以引入 AWS 服务日志数据(热门连接器文章) |
| Log Analytics 表 | AWSCloudTrail |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft |
Amazon Web Services S3(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 将 Microsoft Sentinel 连接到 Amazon Web Services 以引入 AWS 服务日志数据(热门连接器文章) |
| Log Analytics 表 | AWSCloudTrail AWSGuardDuty AWSVPCFlow |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft |
Apache HTTP Server
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Log Analytics 代理 - 自定义日志 |
| Log Analytics 表 | ApacheHTTPServer_CL |
| DCR 支持 | 目前不支持 |
| Kusto 函数别名: | ApacheHTTPServer |
| Kusto 函数 URL: | https://aka.ms/Sentinel-apachehttpserver-parser |
| 自定义日志示例文件: | access.log 或 error.log |
Apache Tomcat
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Log Analytics 代理 - 自定义日志 |
| Log Analytics 表 | Tomcat_CL |
| DCR 支持 | 目前不支持 |
| Kusto 函数别名: | TomcatEvent |
| Kusto 函数 URL: | https://aka.ms/Sentinel-ApacheTomcat-parser |
| 自定义日志示例文件: | access.log 或 error.log |
Aruba ClearPass(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF),采用 Kusto 函数分析程序 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | ArubaClearPass |
| Kusto 函数 URL: | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Aruba%20ClearPass/Parsers/ArubaClearPass.txt |
| 供应商文档/ 安装说明 |
按照 Aruba 的说明配置 ClearPass。 |
| 支持的服务 | Microsoft |
Atlassian Confluence Audit(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API |
| Log Analytics 表 | Confluence_Audit_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/Sentinel-confluenceauditapi-functionapp |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | |
| Kusto 函数别名 | ConfluenceAudit |
| Kusto 函数 URL/ 分析程序配置说明 |
https://aka.ms/Sentinel-confluenceauditapi-parser |
| 应用程序设置 | |
| 支持的服务 | Microsoft |
Atlassian Jira Audit(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API |
| Log Analytics 表 | Jira_Audit_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/Sentinel-jiraauditapi-functionapp |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | |
| Kusto 函数别名 | JiraAudit |
| Kusto 函数 URL/ 分析程序配置说明 |
https://aka.ms/Sentinel-jiraauditapi-parser |
| 应用程序设置 | |
| 支持的服务 | Microsoft |
Azure Active Directory
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 将 Azure Active Directory 数据连接到 Microsoft Sentinel(热门连接器文章) |
| 许可证先决条件/ 成本信息 |
可能会收取其他费用 |
| Log Analytics 表 | SigninLogs AuditLogs AADNonInteractiveUserSignInLogs AADServicePrincipalSignInLogs AADManagedIdentitySignInLogs AADProvisioningLogs ADFSSignInLogs |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft |
Azure Active Directory 标识保护
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于 API 的连接 |
| 许可证先决条件/ 成本信息 |
Azure AD Premium P2 订阅 可能会收取其他费用 |
| Log Analytics 表 | SecurityAlert |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft |
注意
此连接器设计为仅导入那些状态为“未处理”的警报。在 Azure AD 标识保护中处于“已处理”状态的警报不会导入到 Microsoft Sentinel。
Azure 活动
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于诊断设置的连接,由 Azure Policy 管理 升级到新的 Azure 活动连接器 |
| Log Analytics 表 | AzureActivity |
| DCR 支持 | 目前不支持 |
| 支持的服务 | Microsoft |
升级到新的 Azure 活动连接器
数据结构更改
此连接器近期更改了其用于收集活动日志事件的后端机制。 它现在使用“诊断设置”管道。 如果仍在使用此连接器的旧方法,强烈建议升级到新版本,这将提供更好的功能,并增强与资源日志的一致性。 请参阅以下说明。
诊断设置方法发送的数据与旧方法从活动日志服务发送的数据相同,尽管对 AzureActivity 表的结构进行了一些更改 。
下面是迁移到诊断设置管道后的一些关键改进:
- 改进了引入延迟(在事件发生后 2-3 分钟内而不是 15-20 分钟内引入事件)。
- 提高了可靠性。
- 提高了性能。
- 支持活动日志服务记录的所有类别的事件(旧机制仅支持部分类别,例如不支持服务运行状况事件)。
- 使用 Azure Policy 进行大规模管理。
请参阅 Azure Monitor 文档,深入了解 Azure 活动日志和诊断设置管道。
断开与旧管道的连接
设置新的 Azure 活动日志连接器之前,必须将现有订阅与旧方法断开连接。
在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。 在连接器列表中,选择“Azure 活动”,然后选择右下角的“打开连接器页面”按钮 。
在“说明”选项卡下“配置”部分的步骤 1 中,查看连接到旧方法的现有订阅列表(以便知道要将哪些订阅添加到新方法),然后单击下面的“全部断开”按钮,一次性断开所有连接 。
按照上表中链接的说明继续设置新的连接器。
Azure DDoS 防护
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于诊断设置的连接 |
| 许可证先决条件/ 成本信息 |
可能会收取其他费用 |
| Log Analytics 表 | AzureDiagnostics |
| DCR 支持 | 目前不支持 |
| 建议的诊断 | DDoSProtectionNotifications DDoSMitigationFlowLogs DDoSMitigationReports |
| 支持的服务 | Microsoft |
注意
仅当受保护的资源受到 DDoS 攻击时,Azure DDoS 保护数据连接器的状态才会更改为“已连接”。
Azure Defender
请参阅 Microsoft Defender for Cloud。
Azure 防火墙
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于诊断设置的连接 |
| Log Analytics 表 | AzureDiagnostics |
| DCR 支持 | 目前不支持 |
| 建议的诊断 | AzureFirewallApplicationRule AzureFirewallNetworkRule AzureFirewallDnsProxy |
| 支持的服务 | Microsoft |
Azure 信息保护(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成 |
| Log Analytics 表 | InformationProtectionLogs_CL |
| DCR 支持 | 目前不支持 |
| 支持的服务 | Microsoft |
注意
Azure 信息保护 (AIP) 数据连接器使用 AIP 审核日志(公共预览版)功能。 从 2022 年 3 月 18 日开始,我们将逐渐停用 AIP 分析和审核日志公共预览版,并将使用 Microsoft 365 审核解决方案。 计划在 2022 年 9 月 30 日完全停用。
有关详细信息,请参阅已删除和停用的服务。
Azure Key Vault
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于诊断设置的连接,由 Azure Policy 管理 |
| Log Analytics 表 | KeyVaultData |
| DCR 支持 | 目前不支持 |
| 支持的服务 | Microsoft |
Azure Kubernetes 服务 (AKS)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于诊断设置的连接,由 Azure Policy 管理 |
| Log Analytics 表 | kube-apiserver kube-audit kube-audit-admin kube-controller-manager kube-scheduler cluster-autoscaler 防护 |
| DCR 支持 | 目前不支持 |
| 支持的服务 | Microsoft |
Microsoft Purview
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于诊断设置的连接 有关详细信息,请参阅教程:将 Microsoft Sentinel 与 Microsoft Purview 集成。 |
| Log Analytics 表 | PurviewDataSensitivityLogs |
| DCR 支持 | 目前不支持 |
| 支持的服务 | Microsoft |
Azure SQL 数据库
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于诊断设置的连接,由 Azure Policy 管理 还可在适用于 SQL PaaS 的 Azure SQL 和 Microsoft Sentinel 解决方案中使用 |
| Log Analytics 表 | SQLSecurityAuditEvents SQLInsights AutomaticTuning QueryStoreWaitStatistics 错误 DatabaseWaitStatistics 超时 块 死锁数 基本 InstanceAndAppAdvanced WorkloadManagement DevOpsOperationsAudit |
| DCR 支持 | 目前不支持 |
| 支持的服务 | Microsoft |
Azure 存储帐户
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于诊断设置的连接 有关存储帐户诊断设置配置的说明 |
| Log Analytics 表 | StorageBlobLogs StorageQueueLogs StorageTableLogs StorageFileLogs |
| 建议的诊断 | 帐户资源 Blob/队列/表/文件资源 |
| DCR 支持 | 目前不支持 |
| 支持的服务 | Microsoft |
有关存储帐户诊断设置配置的说明
存储帐户(父)资源具有每种存储类型的其他(子)资源:文件、表、队列和 Blob。
为存储帐户配置诊断时,必须依次选择和配置以下内容:
- 父帐户资源,用于导出“事务”指标。
- 每种子存储类型的资源,用于导出所有日志和指标(请参见上表)。
你将只能看到实际为其定义了资源的存储类型。
Azure Web 应用程序防火墙 (WAF)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于诊断设置的连接 |
| Log Analytics 表 | AzureDiagnostics |
| DCR 支持 | 目前不支持 |
| 建议的诊断 | 应用程序网关 Front Door CDN WAF 策略 |
| 支持的服务 | Microsoft |
Barracuda CloudGen 防火墙
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog |
| Log Analytics 表 | Syslog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | CGFWFirewallActivity |
| Kusto 函数 URL: | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Barracuda%20CloudGen%20Firewall/Parsers/CGFWFirewallActivity |
| 供应商文档/ 安装说明 |
https://aka.ms/Sentinel-barracudacloudfirewall-connector |
| 支持的服务 | Barracuda |
Barracuda WAF
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog |
| Log Analytics 表 | CommonSecurityLog (Barracuda) Barracuda_CL |
| 供应商文档/ 安装说明 |
https://aka.ms/asi-barracuda-connector |
| 支持的服务 | Barracuda |
请参阅 Barracuda 说明 - 注意为不同类型的日志分配的设施,并确保将它们添加到默认的 Syslog 配置中。
BETTER Mobile Threat Defense (MTD)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | BetterMTDDeviceLog_CL BetterMTDIncidentLog_CL BetterMTDAppLog_CL BetterMTDNetflowLog_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
BETTER MTD 文档 威胁策略设置,用于定义报告给 Microsoft Sentinel 的事件:
|
| 支持的服务 | Better Mobile |
Beyond Security beSECURE
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | beSECURE_ScanResults_CL beSECURE_ScanEvents_CL beSECURE_Audit_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
访问“集成”菜单:
|
| 支持的服务 | Beyond Security |
Blackberry CylancePROTECT(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog |
| Log Analytics 表 | Syslog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | CylancePROTECT |
| Kusto 函数 URL: | https://aka.ms/Sentinel-cylanceprotect-parser |
| 供应商文档/ 安装说明 |
Cylance Syslog 指南 |
| 支持的服务 | Microsoft |
Broadcom Symantec Data Loss Prevention (DLP)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF),采用 Kusto 函数分析程序 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | SymantecDLP |
| Kusto 函数 URL: | https://aka.ms/Sentinel-symantecdlp-parser |
| 供应商文档/ 安装说明 |
配置“记录到 Syslog 服务器”操作 |
| 支持的服务 | Microsoft |
检查点
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) 可以在 Check Point 解决方案中使用 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
日志导出程序 - Check Point 日志导出 |
| 支持的服务 | Check Point |
Cisco ASA
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) 可以在 Cisco ASA 解决方案中使用 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
Cisco ASA 系列 CLI 配置指南 |
| 支持的服务 | Microsoft |
Cisco Firepower eStreamer(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) Cisco Firepower eStreamer 的额外配置 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
eStreamer eNcore for Sentinel 操作指南 |
| 支持的服务 | Cisco |
Cisco Firepower eStreamer 的额外配置
安装 Firepower eNcore 客户端
安装和配置 Firepower eNcore eStreamer 客户端。 有关详细信息,请参阅完整的 Cisco 安装指南。从 GitHub 下载 Firepower 连接器
从 Cisco GitHub 存储库下载适用于 Microsoft Sentinel 的最新版 Firepower eNcore 连接器。 如果计划使用 python3,请使用 python3 eStreamer 连接器。使用 Azure/VM IP 地址创建 pkcs12 文件
在 Firepower 的“系统”“集成”>“eStreamer”下,使用 VM 实例的公共 IP 创建 pkcs12 证书。 有关详细信息,请参阅安装指南。测试 Azure/VM 客户端与 FMC 之间的连接
将 pkcs12 文件从 FMC 复制到 Azure/VM 实例,并运行测试实用程序(./encore.sh 测试)来确保可建立连接。 有关详细信息,请参阅设置指南。配置 eNcore 来将数据流式传输到代理
配置 eNcore,以通过 TCP 将数据流式传输到 Log Analytics 代理。 默认情况下应启用此配置,但可以根据网络安全状况配置额外的端口和流式处理协议。 还可将数据保存到文件系统。 有关详细信息,请参阅配置 eNcore。
Cisco Meraki(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog 可以在 Cisco ISE 解决方案中使用 |
| Log Analytics 表 | Syslog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | CiscoMeraki |
| Kusto 函数 URL: | https://aka.ms/Sentinel-ciscomeraki-parser |
| 供应商文档/ 安装说明 |
Meraki Device Reporting 文档 |
| 支持的服务 | Microsoft |
Cisco Umbrella(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API 可以在 Cisco Umbrella 解决方案中使用 |
| Log Analytics 表 | Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | |
| Kusto 函数别名 | Cisco_Umbrella |
| Kusto 函数 URL/ 分析程序配置说明 |
https://aka.ms/Sentinel-ciscoumbrella-function |
| 应用程序设置 | |
| 支持的服务 | Microsoft |
Cisco Unified Computing System (UCS)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog |
| Log Analytics 表 | Syslog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | CiscoUCS |
| Kusto 函数 URL: | https://aka.ms/Sentinel-ciscoucs-function |
| 供应商文档/ 安装说明 |
设置 Syslog for Cisco UCS - Cisco |
| 支持的服务 | Microsoft |
Citrix Analytics
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | CitrixAnalytics_SAlerts_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
将 Citrix 连接到 Microsoft Sentinel |
| 支持的服务 | Citrix Systems |
Citrix Web 应用防火墙 (WAF)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
若要配置 WAF,请参阅支持 WIKI - 使用 NetScaler 进行 WAF 配置。 若要配置 CEF 日志,请参阅应用程序防火墙中的 CEF 日志记录支持。 若要将日志转发到代理,请参阅为审核日志记录配置 Citrix ADC 设备。 |
| 支持的服务 | Citrix Systems |
Cognni(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | CognniIncidents_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
连接到 Cognni
|
| 支持的服务 | Cognni |
适用于 SAP 的持续威胁监视(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 仅在安装适用于 SAP 解决方案的持续威胁监视后可用 |
| Log Analytics 表 | 请参阅 Microsoft Sentinel SAP 解决方案数据参考 |
| 供应商文档/ 安装说明 |
部署 SAP 连续威胁监视 |
| 支持的服务 | Microsoft |
CyberArk Enterprise Password Vault (EPV) Events(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
安全信息和事件管理 (SIEM) 应用程序 |
| 支持的服务 | CyberArk |
Cyberpion Security Logs(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | CyberpionActionItems_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
获取 Cyberpion 订阅 将 Cyberpion 安全警报集成到 Microsoft Sentinel |
| 支持的服务 | Cyberpion |
DNS(预览)
请参阅 Windows DNS 服务器(预览版)。
Dynamics 365
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于 API 的连接 也可作为 Microsoft Sentinel 4 Dynamics 365 解决方案的一部分使用 |
| 许可证先决条件/ 成本信息 |
可能会收取其他费用 |
| Log Analytics 表 | Dynamics365Activity |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft |
ESET Enterprise Inspector(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API 创建 API 用户 |
| Log Analytics 表 | ESETEnterpriseInspector_CL |
| DCR 支持 | 目前不支持 |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | 通过 Azure 资源管理器 (ARM) 模板进行单击部署 |
| 支持的服务 | ESET |
创建 API 用户
- 使用管理员帐户登录 ESET Security Management Center/ESET PROTECT 控制台,依次选择“更多”选项卡和“用户”子选项卡 。
- 选择“新增”按钮,然后添加本机用户 。
- 为 API 帐户创建新用户。 可选:选择“家庭组”而不是“全部”来限制引入的检测 。
- 在“权限集”选项卡下,分配“Enterprise Inspector 审阅者”权限集 。
- 注销管理员帐户,再使用新的 API 凭据登录控制台进行验证,然后注销 API 帐户。
ESET Security Management Center (SMC)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog 配置要收集的 ESET SMC 日志 配置 OMS 代理,以 API 格式传递 ESET SMC 数据 更改 OMS 代理配置以捕获标记 oms.api.eset 并分析结构化数据 禁用自动配置并重启代理 |
| Log Analytics 表 | eset_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
ESET Syslog 服务器文档 |
| 支持的服务 | ESET |
配置要收集的 ESET SMC 日志
配置 rsyslog 以接受来自 Eset SMC IP 地址的日志。
sudo -i
# Set ESET SMC source IP address
export ESETIP={Enter your IP address}
# Create rsyslog configuration file
cat > /etc/rsyslog.d/80-remote.conf << EOF
\$ModLoad imudp
\$UDPServerRun 514
\$ModLoad imtcp
\$InputTCPServerRun 514
\$AllowedSender TCP, 127.0.0.1, $ESETIP
\$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning @127.0.0.1:25224
EOF
# Restart rsyslog
systemctl restart rsyslog
配置 OMS 代理,以 API 格式传递 ESET SMC 数据
为了轻松识别 Eset 数据,请将其推送到单独的表中并在代理中进行分析,以便简化和加快 Microsoft Sentinel 查询。
在 /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.conf 文件中,通过将类型更改为 out_oms_api 来修改 部分,以 API 对象的形式发送数据。
以下代码是完整的 match oms.** 部分的示例:
<match oms.** docker.**>
type out_oms_api
log_level info
num_threads 5
run_in_background false
omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key
buffer_chunk_limit 15m
buffer_type file
buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer
buffer_queue_limit 10
buffer_queue_full_action drop_oldest_chunk
flush_interval 20s
retry_limit 10
retry_wait 30s
max_retry_wait 9m
</match>
更改 OMS 代理配置以捕获标记 oms.api.eset 并分析结构化数据
修改 /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsagent.d/syslog.conf 文件。
例如:
<source>
type syslog
port 25224
bind 127.0.0.1
protocol_type udp
tag oms.api.eset
</source>
<filter oms.api.**>
@type parser
key_name message
format /(?<message>.*?{.*})/
</filter>
<filter oms.api.**>
@type parser
key_name message
format json
</filter>
禁用自动配置并重启代理
例如:
# Disable changes to configuration files from Portal
sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'
# Restart agent
sudo /opt/microsoft/omsagent/bin/service_control restart
# Check agent logs
tail -f /var/opt/microsoft/omsagent/log/omsagent.log
配置 ESET SMC 以将日志发送到连接器
使用 BSD 样式和 JSON 格式配置 Eset 日志。
- 转到 Syslog 服务器配置来配置主机(连接器)、格式 BSD 和传输 TCP
- 转到“日志记录”部分并启用 JSON
有关详细信息,请参阅 Eset 文档。
Exabeam Advanced Analytics(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog |
| Log Analytics 表 | Syslog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | ExabeamEvent |
| Kusto 函数 URL: | https://aka.ms/Sentinel-Exabeam-parser |
| 供应商文档/ 安装说明 |
配置 Advanced Analytics 系统活动通知 |
| 支持的服务 | Microsoft |
ExtraHop Reveal(x)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
ExtraHop Detection SIEM Connector |
| 支持的服务 | ExtraHop |
F5 BIG-IP
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | F5Telemetry_LTM_CL F5Telemetry_system_CL F5Telemetry_ASM_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
将 F5 BIG-IP 与 Microsoft Sentinel 集成 |
| 支持的服务 | F5 网络 |
F5 Networks (ASM)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
配置应用程序安全性事件日志记录 |
| 支持的服务 | F5 网络 |
Forcepoint Cloud Access Security Broker (CASB)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
Forcepoint CASB 和 Microsoft Sentinel |
| 支持的服务 | Forcepoint |
Forcepoint Cloud Security Gateway (CSG)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
Forcepoint Cloud Security Gateway 和 Microsoft Sentinel |
| 支持的服务 | Forcepoint |
Forcepoint Data Loss Prevention (DLP)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | ForcepointDLPEvents_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
Forcepoint Data Loss Prevention 和 Microsoft Sentinel |
| 支持的服务 | Forcepoint |
Forcepoint Next Generation Firewall (NGFW)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
Forcepoint Next-Gen Firewall 和 Microsoft Sentinel |
| 支持的服务 | Forcepoint |
适用于 CEF 的 ForgeRock Common Audit (CAUD)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
请首先安装! ForgeRock Common Audit (CAUD) for Microsoft Sentinel |
| 支持的服务 | ForgeRock |
Fortinet
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) 将 Fortinet 日志发送到日志转发器 可以在 Fortinet Fortigate 解决方案中使用 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
Fortinet 文档库 选择你的版本,然后使用“手册”和“日志消息参考”PDF 。 |
| 支持的服务 | Fortinet |
将 Fortinet 日志发送到日志转发器
在 Fortinet 设备上打开 CLI,并运行以下命令:
config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end
- 将服务器 IP 地址替换为日志转发器的 IP 地址。
- 将“Syslog 端口”设置为 514 或在转发器上的 Syslog 守护程序上设置的端口 。
- 若要在早期 FortiOS 版本中启用 CEF 格式,你可能需要运行命令集“csv 禁用”。
GitHub(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API 仅在安装适用于 GitHub 的持续威胁监视解决方案后可用。 |
| Log Analytics 表 | GitHubAuditLogPolling_CL |
| DCR 支持 | 目前不支持 |
| API 凭据 | GitHub 访问令牌 |
| 连接器部署说明 | GitHub 连接器的额外配置 |
| 支持的服务 | Microsoft |
GitHub 连接器的额外配置
先决条件:必须拥有 GitHub 企业帐户和可访问的组织,才能从 Microsoft Sentinel 连接到 GitHub。
在 Microsoft Sentinel 工作区中安装适用于 GitHub 的持续威胁监视解决方案。 有关详细信息,请参阅集中发现和部署 Microsoft Sentinel 中现成可用的内容和解决方案(公共预览版)。
创建 GitHub 个人访问令牌,以用于 Microsoft Sentinel 连接器。 有关详细信息,请参阅相关 GitHub 文档。
在 Microsoft Sentinel 数据连接器区域中,搜索并找到 GitHub 连接器。 在右侧,选择“打开连接器页”。
在“说明”选项卡上的“配置”区域中,输入以下详细信息:
- 组织:输入要连接到的日志的组织的名称。
- API 密钥:输入之前在此过程中创建的 GitHub 个人访问令牌。
选择“连接”,开始将 GitHub 日志引入到 Microsoft Sentinel。
Google Workspace (G Suite)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API Google Reports API 的额外配置 |
| Log Analytics 表 | GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | |
| Kusto 函数别名 | GWorkspaceActivityReports |
| Kusto 函数 URL/ 分析程序配置说明 |
https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser |
| 应用程序设置 | |
| 支持的服务 | Microsoft |
Google Reports API 的额外配置
在授权的重定向 URI 下添加 http://localhost:8081/,同时创建 Web 应用程序凭据。
- 按照说明获取 credentials.json。
- 若要获取 Google pickle 字符串,请运行此 Python 脚本(在与 credentials.json 相同的路径中)。
- 复制单引号中的 pickle 字符串输出并进行保存。 部署函数应用时将需要用到它。
Illusive Attack Management System (AMS)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
Illusive Networks 管理员指南 |
| 支持的服务 | Illusive Networks |
Imperva WAF 网关(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) 可以在 Imperva Cloud WAF 解决方案中使用 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
有关启用向 Microsoft Sentinel 发送 Imperva WAF 网关警报日志记录的步骤 |
| 支持的服务 | Imperva |
Infoblox Network Identity Operating System (NIOS)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog 可以在 InfoBlox 威胁防御解决方案中使用 |
| Log Analytics 表 | Syslog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | InfobloxNIOS |
| Kusto 函数 URL: | https://aka.ms/sentinelgithubparsersinfoblox |
| 供应商文档/ 安装说明 |
NIOS SNMP 和 Syslog 部署指南 |
| 支持的服务 | Microsoft |
Juniper SRX(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog |
| Log Analytics 表 | Syslog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | JuniperSRX |
| Kusto 函数 URL: | https://aka.ms/Sentinel-junipersrx-parser |
| 供应商文档/ 安装说明 |
为 SRX Branch 设备配置流量日志记录(安全策略日志) 配置系统日志记录 |
| 支持的服务 | Juniper Networks |
Lookout 移动威胁防御(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API 仅在安装适用于 Microsoft Sentinel 的 Lookout 移动威胁防御解决方案后可用 |
| Log Analytics 表 | Lookout_CL |
| DCR 支持 | 目前不支持 |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 支持的服务 | Lookout |
Microsoft 365 Defender
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 将 Microsoft 365 Defender 中的数据连接到 Microsoft Sentinel(热门连接器文章) |
| 许可证先决条件/ 成本信息 |
Microsoft 365 Defender 的有效许可证 |
| Log Analytics 表 | 警报: SecurityAlert SecurityIncident Defender for Endpoint events: DeviceEve DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceFileCertificateInfo Defender for Office 365 事件: EmailAttachmentInfo EmailUrlInfo EmailEvents EmailPostDeliveryEvents Defender for Identity 事件: IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents Defender for Cloud Apps 事件: CloudAppEvents 作为事件的 Defender 警报: AlertInfo AlertEvidence |
| DCR 支持 | 目前不支持 |
| 支持的服务 | Microsoft |
Microsoft Purview 内部风险管理 (IRM)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于 API 的连接 还可在 Microsoft Purview 内部风险管理解决方案中使用 |
| 许可证和其他先决条件 |
|
| Log Analytics 表 | SecurityAlert |
| 数据查询筛选器 | SecurityAlert| where ProductName == "Microsoft Purview Insider Risk Management" |
| 支持的服务 | Microsoft |
Microsoft Defender for Cloud
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 从 Microsoft Defender for Cloud 连接安全警报(热门连接器文章) |
| Log Analytics 表 | SecurityAlert |
| 支持的服务 | Microsoft |
Microsoft Defender for Cloud Apps
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于 API 的连接 对于 Cloud Discovery 日志,请在 Microsoft Defender for Cloud Apps 中启用 Microsoft Sentinel 作为 SIEM |
| Log Analytics 表 | SecurityAlert - 针对警报 McasShadowItReporting - 针对 Cloud Discovery 日志 |
| 支持的服务 | Microsoft |
用于终结点的 Microsoft Defender
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于 API 的连接 |
| 许可证先决条件/ 成本信息 |
Microsoft Defender for Endpoint 部署的有效许可证 |
| Log Analytics 表 | SecurityAlert |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft |
Microsoft Defender for Identity
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于 API 的连接 |
| Log Analytics 表 | SecurityAlert |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft |
Microsoft Defender for IoT
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于 API 的连接 |
| Log Analytics 表 | SecurityAlert |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft |
Microsoft Defender for Office 365
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于 API 的连接 |
| 许可证先决条件/ 成本信息 |
你必须具有 Office 365 ATP 计划 2 的有效许可证 |
| Log Analytics 表 | SecurityAlert |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft |
Microsoft Office 365
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于 API 的连接 |
| 许可证先决条件/ 成本信息 |
Office 365 部署必须与 Microsoft Sentinel 工作区在同一租户中。 可能会收取其他费用。 |
| Log Analytics 表 | OfficeActivity |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft |
Microsoft Power BI(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于 API 的连接 |
| 许可证先决条件/ 成本信息 |
Office 365 部署必须与 Microsoft Sentinel 工作区在同一租户中。 可能会收取其他费用。 |
| Log Analytics 表 | PowerBIActivity |
| 支持的服务 | Microsoft |
Microsoft Project(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于 API 的连接 |
| 许可证先决条件/ 成本信息 |
Office 365 部署必须与 Microsoft Sentinel 工作区在同一租户中。 可能会收取其他费用。 |
| Log Analytics 表 | ProjectActivity |
| 支持的服务 | Microsoft |
Microsoft Sysmon for Linux(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog,以及基于 Kusto 函数的 ASIM 分析程序 |
| Log Analytics 表 | Syslog |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft |
Morphisec UTPP(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF),采用 Kusto 函数分析程序 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | Morphisec |
| Kusto 函数 URL | https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Morphisec/Parsers/Morphisec/ |
| 支持的服务 | Morphisec |
Netskope(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API |
| Log Analytics 表 | Netskope_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/Sentinel-netskope-functioncode |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | |
| Kusto 函数别名 | Netskope |
| Kusto 函数 URL/ 分析程序配置说明 |
https://aka.ms/Sentinel-netskope-parser |
| 应用程序设置 | https://<Tenant Name>.goskope.com) |
| 支持的服务 | Microsoft |
NGINX HTTP Server(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Log Analytics 代理 - 自定义日志 |
| Log Analytics 表 | NGINX_CL |
| DCR 支持 | 目前不支持 |
| Kusto 函数别名: | NGINXHTTPServer |
| Kusto 函数 URL | https://aka.ms/Sentinel-NGINXHTTP-parser |
| 供应商文档/ 安装说明 |
模块 ngx_http_log_module |
| 自定义日志示例文件: | access.log 或 error.log |
| 支持的服务 | Microsoft |
NXLog Basic Security Module (BSM) macOS(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | BSMmacOS_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
NXLog Microsoft Sentinel 用户指南 |
| 支持的服务 | NXLog |
NXLog DNS 日志(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | DNS_Logs_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
NXLog Microsoft Sentinel 用户指南 |
| 支持的服务 | NXLog |
NXLog LinuxAudit(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | LinuxAudit_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
NXLog Microsoft Sentinel 用户指南 |
| 支持的服务 | NXLog |
Okta 单一登录(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API |
| Log Analytics 表 | Okta_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/sentineloktaazurefunctioncodev2 |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | |
| 应用程序设置 | https://<OktaDomain>/api/v1/logs?since=。标识域命名空间。) |
| 支持的服务 | Microsoft |
Onapsis 平台(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF),采用 Kusto 查找和扩充函数 配置 Onapsis 以将 CEF 日志发送到日志转发器 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | incident_lookup |
| Kusto 函数 URL | https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Onapsis%20Platform/Parsers/OnapsisLookup.txt |
| 支持的服务 | Onapsis |
配置 Onapsis 以将 CEF 日志发送到日志转发器
请查看 Onapsis 产品内帮助来设置到 Log Analytics 代理的日志转发。
- 转到“设置”“第三方集成”>“防护警报”,按照 Microsoft Sentinel 的说明操作。
- 确保 Onapsis 控制台可连接到安装了代理的日志转发器计算机。 应使用 TCP 将日志发送到端口 514。
One Identity Safeguard(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
One Identity Safeguard for Privileged Sessions 管理指南 |
| 支持的服务 | 统一标识 |
Oracle WebLogic Server(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Log Analytics 代理 - 自定义日志 |
| Log Analytics 表 | OracleWebLogicServer_CL |
| DCR 支持 | 目前不支持 |
| Kusto 函数别名: | OracleWebLogicServerEvent |
| Kusto 函数 URL: | https://aka.ms/Sentinel-OracleWebLogicServer-parser |
| 供应商文档/ 安装说明 |
Oracle WebLogic Server 文档 |
| 自定义日志示例文件: | server.log |
| 支持的服务 | Microsoft |
Orca Security(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | OrcaAlerts_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
Microsoft Sentinel 集成 |
| 支持的服务 | Orca Security |
OSSEC(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF),采用 Kusto 函数分析程序 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | OSSECEvent |
| Kusto 函数 URL: | https://aka.ms/Sentinel-OSSEC-parser |
| 供应商文档/ 安装说明 |
OSSEC 文档 通过 syslog 发送警报 |
| 支持的服务 | Microsoft |
Palo Alto Networks
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) 还可在 Palo Alto PAN-OS 和 Prisma 解决方案中使用 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
通用事件格式 (CEF) 配置指南 配置 Syslog 监视 |
| 支持的服务 | Palo Alto Networks |
Perimeter 81 活动日志(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | Perimeter81_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
Perimeter 81 文档 |
| 支持的服务 | Perimeter 81 |
Proofpoint On Demand (POD) Email Security(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API 还可在 Proofpoint POD 解决方案中使用 |
| Log Analytics 表 | ProofpointPOD_message_CL ProofpointPOD_maillog_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/Sentinel-proofpointpod-functionapp |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | |
| Kusto 函数别名 | ProofpointPOD |
| Kusto 函数 URL/ 分析程序配置说明 |
https://aka.ms/Sentinel-proofpointpod-parser |
| 应用程序设置 | |
| 支持的服务 | Microsoft |
Proofpoint Targeted Attack Protection (TAP)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API 还可在 Proofpoint TAP 解决方案中使用 |
| Log Analytics 表 | ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/sentinelproofpointtapazurefunctioncode |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | |
| 应用程序设置 | https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300) |
| 支持的服务 | Microsoft |
Pulse Connect Secure(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog |
| Log Analytics 表 | Syslog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | PulseConnectSecure |
| Kusto 函数 URL: | https://aka.ms/sentinelgithubparserspulsesecurevpn |
| 供应商文档/ 安装说明 |
配置 Syslog |
| 支持的服务 | Microsoft |
Qualys VM KnowledgeBase (KB)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API Qualys VM KB 的额外配置 还可在 Qualys VM 解决方案中使用 |
| Log Analytics 表 | QualysKB_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/Sentinel-qualyskb-functioncode |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | |
| Kusto 函数别名 | QualysKB |
| Kusto 函数 URL/ 分析程序配置说明 |
https://aka.ms/Sentinel-qualyskb-parser |
| 应用程序设置 | https://<API Server>/api/2.0。& 分隔。无空格。) |
| 支持的服务 | Microsoft |
Qualys VM KB 的额外配置
- 使用管理员帐户登录 Qualys Vulnerability Management 控制台,依次选择“用户”选项卡和“用户”子选项卡 。
- 选择“新建”下拉菜单,然后选择“用户” 。
- 为 API 帐户创建用户名和密码。
- 在“用户角色”选项卡中,确保帐户角色设置为“管理员”,并且允许访问 GUI 和 API
- 注销管理员帐户,再使用新的 API 凭据登录控制台进行验证,然后注销 API 帐户。
- 使用管理员帐户重新登录到控制台,然后修改 API 帐户的“用角色”,移除对 GUI 的访问权限。
- 保存所有更改。
Qualys Vulnerability Management (VM)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API Qualys VM 的额外配置 手动部署 - 配置函数应用后 |
| Log Analytics 表 | QualysHostDetection_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/sentinelqualysvmazurefunctioncode |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | |
| 应用程序设置 | https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=。& 分隔。无空格。) |
| 支持的服务 | Microsoft |
Qualys VM 的额外配置
- 使用管理员帐户登录 Qualys Vulnerability Management 控制台,依次选择“用户”选项卡和“用户”子选项卡 。
- 选择“新建”下拉菜单,然后选择“用户” 。
- 为 API 帐户创建用户名和密码。
- 在“用户角色”选项卡中,确保帐户角色设置为“管理员”,并且允许访问 GUI 和 API
- 注销管理员帐户,再使用新的 API 凭据登录控制台进行验证,然后注销 API 帐户。
- 使用管理员帐户重新登录到控制台,然后修改 API 帐户的“用角色”,移除对 GUI 的访问权限。
- 保存所有更改。
手动部署 - 配置函数应用后
配置 host.json 文件
由于可能会引入大量的 Qualys 主机检测数据,这可能导致执行时间超过 5 分钟这一默认的函数应用超时。 在消耗计划下将默认超时持续时间调高到最长 10 分钟,让函数应用有更多的时间来执行。
- 在函数应用中,选择函数应用名称,然后选择“应用服务编辑器”页面。
- 选择“转到”来打开编辑器,然后选择 wwwroot 目录下的 host.json 文件 。
- 在
managedDependancy行的上面添加"functionTimeout": "00:10:00",行。 - 确保编辑器右上角显示“已保存”,然后退出编辑器。
如果需要更长的超时持续时间,请考虑升级到应用服务计划。
Salesforce Service Cloud(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API |
| Log Analytics 表 | SalesforceServiceCloud_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp |
| API 凭据 | |
| 供应商文档/ 安装说明 |
Salesforce REST API 开发人员指南 在“设置授权”下,使用“会话 ID”方法而不是 OAuth 。 |
| 连接器部署说明 | |
| Kusto 函数别名 | SalesforceServiceCloud |
| Kusto 函数 URL/ 分析程序配置说明 |
https://aka.ms/Sentinel-SalesforceServiceCloud-parser |
| 应用程序设置 | |
| 支持的服务 | Microsoft |
通过旧版代理程序收集的安全事件 (Windows)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于 Log Analytics 代理的连接(旧版) |
| Log Analytics 表 | SecurityEvents |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft |
有关详细信息,请参阅:
- 可以发送到 Microsoft Sentinel 的 Windows 安全事件
- 不安全协议工作簿设置
- 通过 AMA 的 Windows 安全事件 基于 Azure Monitor 代理 (AMA) 的连接器
- 为“异常 RDP 登录检测”配置“安全事件/Windows 安全事件连接器”。
SentinelOne(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API SentinelOne 的额外配置 |
| Log Analytics 表 | SentinelOne_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/Sentinel-SentinelOneAPI-functionapp |
| API 凭据 | https://<SOneInstanceDomain>.sentinelone.net) |
| 供应商文档/ 安装说明 |
<SOneInstanceDomain>.sentinelone.net/api-doc/overview |
| 连接器部署说明 | |
| Kusto 函数别名 | SentinelOne |
| Kusto 函数 URL/ 分析程序配置说明 |
https://aka.ms/Sentinel-SentinelOneAPI-parser |
| 应用程序设置 | |
| 支持的服务 | Microsoft |
SentinelOne 的额外配置
按照说明获取凭据。
- 使用管理员用户凭据登录 SentinelOne 管理控制台。
- 在管理控制台上选择“设置”。
- 在“设置”视图中选择“用户”
- 选择“新建用户”。
- 输入新的控制台用户的信息。
- 在“角色”中选择“管理员”。
- 选择“保存”
- 保存新用户的凭据,以便在数据连接器中使用。
SonicWall 防火墙(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
日志 Syslog 选择 facility local4 和 ArcSight 用作 Syslog 格式。 |
| 支持的服务 | SonicWall |
Sophos Cloud Optix(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | SophosCloudOptix_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
与 Microsoft Sentinel 集成,跳过第一个步骤。 Sophos 查询示例 |
| 支持的服务 | Sophos |
Sophos XG 防火墙(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog |
| Log Analytics 表 | Syslog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | SophosXGFirewall |
| Kusto 函数 URL: | https://aka.ms/sentinelgithubparserssophosfirewallxg |
| 供应商文档/ 安装说明 |
添加 syslog 服务器 |
| 支持的服务 | Microsoft |
Squadra Technologies secRMM
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | secRMM_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
secRMM Microsoft Sentinel 管理员指南 |
| 支持的服务 | Squadra Technologies |
Squid Proxy(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Log Analytics 代理 - 自定义日志 |
| Log Analytics 表 | SquidProxy_CL |
| DCR 支持 | 目前不支持 |
| Kusto 函数别名: | SquidProxy |
| Kusto 函数 URL | https://aka.ms/Sentinel-squidproxy-parser |
| 自定义日志示例文件: | access.log 或 cache.log |
| 支持的服务 | Microsoft |
Symantec Integrated Cyber Defense Exchange (ICDx)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API |
| Log Analytics 表 | SymantecICDx_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
配置 Microsoft Sentinel (Log Analytics) 转发器 |
| 支持的服务 | Broadcom Symantec |
Symantec ProxySG(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog |
| Log Analytics 表 | Syslog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | SymantecProxySG |
| Kusto 函数 URL: | https://aka.ms/sentinelgithubparserssymantecproxysg |
| 供应商文档/ 安装说明 |
将访问日志发送到 Syslog 服务器 |
| 支持的服务 | Microsoft |
Symantec VIP(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog |
| Log Analytics 表 | Syslog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | SymantecVIP |
| Kusto 函数 URL: | https://aka.ms/sentinelgithubparserssymantecvip |
| 供应商文档/ 安装说明 |
配置 syslog |
| 支持的服务 | Microsoft |
Thycotic Secret Server(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
安全 Syslog/CEF 日志记录 |
| 支持的服务 | Thycotic |
Trend Micro Deep Security
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF),采用 Kusto 函数分析程序 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | TrendMicroDeepSecurity |
| Kusto 函数 URL | https://aka.ms/TrendMicroDeepSecurityFunction |
| 供应商文档/ 安装说明 |
将 Deep Security 事件转发到 Syslog 或 SIEM 服务器 |
| 支持的服务 | Trend Micro |
Trend Micro TippingPoint(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF),采用 Kusto 函数分析程序 |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | TrendMicroTippingPoint |
| Kusto 函数 URL | https://aka.ms/Sentinel-trendmicrotippingpoint-function |
| 供应商文档/ 安装说明 |
以 ArcSight CEF Format v4.2 格式发送 Syslog 消息。 |
| 支持的服务 | Trend Micro |
Trend Micro Vision One (XDR)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API |
| Log Analytics 表 | TrendMicro_XDR_CL |
| DCR 支持 | 目前不支持 |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | 通过 Azure 资源管理器 (ARM) 模板进行单击部署 |
| 支持的服务 | Trend Micro |
VMware Carbon Black Endpoint Standard(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API |
| Log Analytics 表 | CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/sentinelcarbonblackazurefunctioncode |
| API 凭据 | API 访问级别(针对“审核”和“事件”日志) : SIEM 访问级别(针对“通知”事件): |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | |
| 应用程序设置 | https://<API URL>.conferdeploy.net。) |
| 支持的服务 | Microsoft |
VMware ESXi(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog |
| Log Analytics 表 | Syslog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | VMwareESXi |
| Kusto 函数 URL: | https://aka.ms/Sentinel-vmwareesxi-parser |
| 供应商文档/ 安装说明 |
在 ESXi 3.5 和 4.x 上启用 syslog 在 ESXi 主机上配置 Syslog |
| 支持的服务 | Microsoft |
WatchGuard Firebox(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Syslog |
| Log Analytics 表 | Syslog |
| DCR 支持 | 工作区转换 DCR |
| Kusto 函数别名: | WatchGuardFirebox |
| Kusto 函数 URL: | https://aka.ms/Sentinel-watchguardfirebox-parser |
| 供应商文档/ 安装说明 |
Microsoft Sentinel 集成指南 |
| 支持的服务 | WatchGuard Technologies |
WireX Network Forensics Platform(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
请联系 WireX 支持人员,配置 NFP 解决方案来发送 CEF 格式的 Syslog 消息。 |
| 支持的服务 | WireX Systems |
Windows DNS 服务器(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于 Log Analytics 代理的连接(旧版) |
| Log Analytics 表 | DnsEvents DnsInventory |
| DCR 支持 | 工作区转换 DCR |
| 支持的服务 | Microsoft |
对 Windows DNS 服务器数据连接器进行故障排除
如果 DNS 事件不显示在 Microsoft Sentinel 中:
- 请确保已启用服务器上的 DNS 分析日志。
- 转到 Azure DNS Analytics。
- 在“配置”区域中,更改任何设置并保存更改。 如果需要,请重新更改设置,然后重新保存更改。
- 检查 Azure DNS Analytics,确保事件和查询正确显示。
有关详细信,请参阅使用 DNS Analytics 预览解决方案收集有关 DNS 基础结构的见解。
Windows 转发事件(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: Azure Monitor 基于代理的连接 有关部署 Windows 转发事件连接器的其他说明 |
| 先决条件 | 必须启用并运行 Windows 事件收集 (WEC)。 在 WEC 计算机上安装 Azure Monitor 代理。 |
| xPath 查询前缀 | "ForwardedEvents!*" |
| Log Analytics 表 | WindowsEvents |
| DCR 支持 | 标准 DCR |
| 支持的服务 | Microsoft |
有关部署 Windows 转发事件连接器的其他说明
我们建议安装高级安全信息模型 (ASIM) 分析程序以确保完全支持数据规范化。 可以使用 Azure-Sentinel GitHub 存储库中的“部署到 Azure”按钮部署这些分析器。
Windows 防火墙
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: 基于 Log Analytics 代理的连接(旧版) |
| Log Analytics 表 | WindowsFirewall |
| 支持的服务 | Microsoft |
通过 AMA 收集的 Windows 安全事件
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure 服务到服务集成: Azure Monitor 基于代理的连接 |
| xPath 查询前缀 | "Security!*" |
| Log Analytics 表 | SecurityEvents |
| DCR 支持 | 标准 DCR |
| 支持的服务 | Microsoft |
另请参阅:通过旧版代理程序收集的安全事件连接器。
为异常 RDP 登录检测配置安全事件/ Windows 安全事件连接器
重要
异常 RDP 登录检测目前为公共预览版。 此功能不附带服务级别协议,不建议将其用于生产工作负载。 有关详细信息,请参阅 Microsoft Azure 预览版补充使用条款。
Microsoft Sentinel 可以将机器学习 (ML) 应用于安全事件数据,以确定远程桌面协议 (RDP) 登录活动的异常情况。 方案包括:
异常 IP - 在过去30天内很少或从未观察到 IP 地址
异常地理位置 - 在过去30天内很少或从未观察到 IP 地址、城市、国家/地区和 ASN
新用户 - 根据之前 30 天的数据,新用户用于登录的 IP 地址和地理位置这两项或其中一项不应出现。
配置说明
必须通过安全事件或 Windows 安全事件数据连接器来收集 RDP 登录数据(事件 ID 4624)。 请确保已选择除“无”之外的事件集,或已创建包含此事件 ID 的数据收集规则,以便将事件流式传输到 Microsoft Sentinel。
在 Microsoft Sentinel 门户中,单击“分析”,然后选择“规则模板”选项卡。选择“(预览版)匿名 RDP 登录检测”并将“状态”滑块移动到“已启用” 。
注意
由于机器学习算法需要 30 天的数据来构建用户行为的基线配置文件,因此必须先允许收集 30 天的 Windows 安全事件数据,然后才能检测任何事件。
Facebook Workplace(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API 配置 Webhook 将回叫 URL 添加到 Webhook 配置 |
| Log Analytics 表 | Workplace_Facebook_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Workplace%20from%20Facebook/Data%20Connectors/WorkplaceFacebook/WorkplaceFacebookWebhooksSentinelConn.zip |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | |
| Kusto 函数别名 | Workplace_Facebook |
| Kusto 函数 URL/ 分析程序配置说明 |
https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Workplace%20from%20Facebook/Parsers/Workplace_Facebook.txt |
| 应用程序设置 | |
| 支持的服务 | Microsoft |
配置 Webhook
- 使用管理员用户凭据登录 Workplace。
- 在管理员面板中,选择“集成”。
- 在“所有集成”视图中,选择“创建自定义集成” 。
- 输入名称和说明,然后选择“创建”。
- 在“集成详细信息”面板中,显示应用机密并复制它 。
- 在“集成权限”面板中,设置所有读取权限。 有关详细信息,请参阅权限页。
将回叫 URL 添加到 Webhook 配置
- 打开函数应用的页面,转到“函数”列表,然后选择“获取函数 URL”并复制它 。
- 返回到 Facebook Workplace。 在“配置 Webhook”面板中,在每个选项卡上将“回叫 URL”设置为你在上一步中复制的函数 URL,将“验证令牌”设置为你在自动部署期间接收的或在手动部署期间输入的值 。
- 选择“保存” 。
Zimperium Mobile Thread Defense(预览版)
Zimperium Mobile Threat Defense 数据连接器可将 Zimperium 威胁日志连接到 Microsoft Sentinel,以查看仪表板、创建自定义警报并改进调查。 此连接器可帮助更深入了解组织的移动威胁态势,并增强安全操作能力。
有关详细信息,请参阅将 Zimperium 连接到 Microsoft Sentinel。
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Microsoft Sentinel 数据收集器 API 配置和连接 Zimperium MTD |
| Log Analytics 表 | ZimperiumThreatLog_CL ZimperiumMitigationLog_CL |
| DCR 支持 | 目前不支持 |
| 供应商文档/ 安装说明 |
Zimperium 客户支持门户(需要登录) |
| 支持的服务 | Zimperium |
配置和连接 Zimperium MTD
- 在 zConsole 中,选择导航栏上的“管理”。
- 选择“集成”选项卡。
- 依次选择“威胁报告”按钮和“添加集成”按钮 。
- 创建集成:
- 从可用集成中,选择“Microsoft Sentinel”。
- 输入工作区 ID 和主密钥,然后选择“下一步” 。
- 填入 Microsoft Sentinel 集成的名称。
- 选择想要将威胁数据推送到 Microsoft Sentinel 的筛选器级别。
- 选择“完成”。
Zoom Reports(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Azure Functions 和 REST API |
| Log Analytics 表 | Zoom_CL |
| DCR 支持 | 目前不支持 |
| Azure 函数应用代码 | https://aka.ms/Sentinel-ZoomAPI-functionapp |
| API 凭据 | |
| 供应商文档/ 安装说明 |
|
| 连接器部署说明 | |
| Kusto 函数别名 | 缩放 |
| Kusto 函数 URL/ 分析程序配置说明 |
https://aka.ms/Sentinel-ZoomAPI-parser |
| 应用程序设置 | |
| 支持的服务 | Microsoft |
Zscaler
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | 使用 Syslog 的通用事件格式 (CEF) |
| Log Analytics 表 | CommonSecurityLog |
| DCR 支持 | 工作区转换 DCR |
| 供应商文档/ 安装说明 |
Zscaler 和 Microsoft Sentinel 部署指南 |
| 支持的服务 | Zscaler |
Zscaler Private Access (ZPA)(预览版)
| 连接器属性 | 说明 |
|---|---|
| 数据引入方法 | Log Analytics 代理 - 自定义日志 Zscaler Private Access 的额外配置 |
| Log Analytics 表 | ZPA_CL |
| DCR 支持 | 目前不支持 |
| Kusto 函数别名: | ZPAEvent |
| Kusto 函数 URL | https://aka.ms/Sentinel-zscalerprivateaccess-parser |
| 供应商文档/ 安装说明 |
Zscaler Private Access 文档 另请参阅下述内容 |
| 支持的服务 | Microsoft |
Zscaler Private Access 的额外配置
按照下面的配置步骤,将 Zscaler Private Access 日志提取到 Microsoft Sentinel 中。 有关详细信息,请参阅 Azure Monitor 文档。 Zscaler Private Access 日志通过日志流式处理服务 (LSS) 进行传输。 有关详细信息,请参阅 LSS 文档。
配置日志接收器。 配置日志接收器时,选择 JSON 作为日志模板 。
下载配置文件 zpa.conf。
wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf登录到安装了 Azure Log Analytics 代理的服务器。
将 zpa.conf 复制到 /etc/opt/microsoft/omsagent/
workspace_id/conf/omsagent.d/ 文件夹。编辑 zpa.conf,如下所示:
- 指定已设置 Zscaler 日志接收器来将日志转发到的端口(行 4)
- 将
workspace_id替换为工作区 ID 的实际值(行 14、15、16、19)
保存更改,并使用以下命令重启 Linux 服务的 Azure Log Analytics 代理:
sudo /opt/microsoft/omsagent/bin/service_control restart
可在 ZScaler Private Access 连接器页面上,或在 Log Analytics 工作区的代理管理页上找到工作区 ID 的值。
后续步骤
有关详细信息,请参阅: