Microsoft Sentinel-gegevensconnectors
Nadat u Microsoft Sentinel in uw werkruimte hebt toegevoegd, gebruikt u gegevensconnectors om uw gegevens op te nemen in Microsoft Sentinel. Microsoft Sentinel wordt geleverd met veel out-of-the-box-connectors voor Microsoft-services, die in realtime worden geïntegreerd. De Microsoft Defender XDR-connector is bijvoorbeeld een service-naar-service-connector die gegevens van Office 365, Microsoft Entra ID, Microsoft Defender for Identity en Microsoft Defender voor Cloud-apps integreert.
Ingebouwde connectors maken verbinding met het bredere beveiligingsecosysteem mogelijk voor niet-Microsoft-producten. Gebruik bijvoorbeeld Syslog, Common Event Format (CEF) of REST API's om uw gegevensbronnen te verbinden met Microsoft Sentinel.
Notitie
Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Gegevensconnectors die worden geleverd met oplossingen
Microsoft Sentinel-oplossingen bieden verpakte beveiligingsinhoud, waaronder gegevensconnectors, werkmappen, analyseregels, playbooks en meer. Wanneer u een oplossing met een gegevensconnector implementeert, krijgt u de gegevensconnector samen met gerelateerde inhoud in dezelfde implementatie.
Op de pagina Microsoft Sentinel-gegevensconnectors worden de geïnstalleerde of ingebruikte gegevensconnectors weergegeven.
Als u meer gegevensconnectors wilt toevoegen, installeert u de oplossing die is gekoppeld aan de gegevensconnector vanuit de Content Hub. Raadpleeg voor meer informatie de volgende artikelen:
- Uw Microsoft Sentinel-gegevensconnector zoeken
- Over Microsoft Sentinel-inhoud en -oplossingen
- Out-of-the-box-inhoud van Microsoft Sentinel detecteren en beheren
- Microsoft Sentinel-inhoudshubcatalogus
- Op ASIM (Advanced Security Information Model) gebaseerde domeinoplossingen voor Microsoft Sentinel
REST API-integratie voor gegevensconnectors
Veel beveiligingstechnologieën bieden een set API's voor het ophalen van logboekbestanden. Sommige gegevensbronnen kunnen deze API's gebruiken om verbinding te maken met Microsoft Sentinel.
Gegevensconnectors die gebruikmaken van API's kunnen worden geïntegreerd vanuit de provider of integreren met behulp van Azure Functions, zoals beschreven in de volgende secties.
Integratie aan de providerzijde
Een API-integratie die door de provider is gebouwd, maakt verbinding met de gegevensbronnen van de provider en pusht gegevens naar aangepaste logboektabellen van Microsoft Sentinel met behulp van de Azure Monitor Data Collector-API. Zie Logboekgegevens verzenden naar Azure Monitor met behulp van de HTTP Data Collector-API voor meer informatie.
Lees de documentatie van uw provider en Verbinding maken uw gegevensbron naar de REST-API van Microsoft Sentinel om gegevens op te nemen voor meer informatie over REST API-integratie.
Integratie met Behulp van Azure Functions
Integraties die Gebruikmaken van Azure Functions om eerst verbinding te maken met een provider-API, formatteren de gegevens en deze vervolgens verzenden naar aangepaste logboektabellen van Microsoft Sentinel met behulp van de Azure Monitor Data Collector-API.
Zie voor meer informatie:
- Logboekgegevens verzenden naar Azure Monitor met behulp van de HTTP Data Collector-API
- Azure Functions gebruiken om uw gegevensbron te verbinden met Microsoft Sentinel
- Documentatie van Azure Functions
Integraties die gebruikmaken van Azure Functions kunnen extra kosten voor gegevensopname hebben, omdat u Azure Functions in uw Azure-organisatie host. Meer informatie over prijzen van Azure Functions.
Integratie op basis van agents voor gegevensconnectors
Microsoft Sentinel kan het Syslog-protocol gebruiken om een agent te verbinden met elke gegevensbron die realtime logboekstreaming kan uitvoeren. De meeste on-premises gegevensbronnen maken bijvoorbeeld verbinding met behulp van integratie op basis van agents.
In de volgende secties worden de verschillende typen gegevensconnectors op basis van een Microsoft Sentinel-agent beschreven. Als u verbindingen wilt configureren met behulp van mechanismen op basis van agents, volgt u de stappen op elke microsoft Sentinel-gegevensconnectorpagina.
Syslog
U kunt gebeurtenissen streamen van op Linux gebaseerde, Syslog-ondersteunende apparaten naar Microsoft Sentinel met behulp van de Azure Monitor-agent (AMA). Afhankelijk van het apparaattype wordt de agent rechtstreeks op het apparaat geïnstalleerd of op een toegewezen doorstuurserver voor Linux-logboeken. De AMA ontvangt gebeurtenissen van de Syslog-daemon via UDP. De Syslog-daemon stuurt gebeurtenissen intern door naar de agent en communiceert via UDS (Unix Domain Sockets). De AMA verzendt deze gebeurtenissen vervolgens naar de Microsoft Sentinel-werkruimte.
Hier volgt een eenvoudige stroom die laat zien hoe Microsoft Sentinel Syslog-gegevens streamt.
- De ingebouwde Syslog-daemon van het apparaat verzamelt lokale gebeurtenissen van de opgegeven typen en stuurt de gebeurtenissen lokaal door naar de agent.
- De agent streamt de gebeurtenissen naar uw Log Analytics-werkruimte.
- Na een geslaagde configuratie worden de gegevens weergegeven in de Tabel Log Analytics Syslog.
Zie Zelfstudie: Syslog-gegevens doorsturen naar een Log Analytics-werkruimte met Microsoft Sentinel met behulp van De Azure Monitor-agent voor meer informatie.
Common Event Format (CEF)
Logboekindelingen variëren, maar veel bronnen bieden ondersteuning voor CEF-opmaak. De Microsoft Sentinel-agent, die in feite de Log Analytics-agent is, converteert cef-opgemaakte logboeken naar een indeling die Log Analytics kan opnemen.
Voor gegevensbronnen die gegevens verzenden in CEF, stelt u de Syslog-agent in en configureert u vervolgens de CEF-gegevensstroom. Na een geslaagde configuratie worden de gegevens weergegeven in de commonSecurityLog-tabel .
Zie Cef-opgemaakte logboeken van uw apparaat of apparaat ophalen in Microsoft Sentinel voor meer informatie.
Aangepaste logboeken
Voor sommige gegevensbronnen kunt u logboeken verzamelen als bestanden op Windows- of Linux-computers met behulp van de aangepaste Log Analytics-logboekverzamelingsagent.
Als u verbinding wilt maken met behulp van de aangepaste Log Analytics-agent voor logboekverzameling, volgt u de stappen op elke microsoft Sentinel-gegevensconnectorpagina. Na een geslaagde configuratie worden de gegevens weergegeven in aangepaste tabellen.
Zie Gegevens verzamelen in aangepaste logboekindelingen naar Microsoft Sentinel met de Log Analytics-agent voor meer informatie.
Service-naar-service-integratie voor gegevensconnectors
Microsoft Sentinel maakt gebruik van de Azure-basis om out-of-the-box service-to-service-ondersteuning te bieden voor Microsoft-services en Amazon Web Services.
Raadpleeg voor meer informatie de volgende artikelen:
- Verbinding maken Microsoft Sentinel naar Azure-, Windows-, Microsoft- en Amazon-services
- Uw Microsoft Sentinel-gegevensconnector zoeken
Ondersteuning voor gegevensconnector
Zowel Microsoft als andere organisaties schrijven Microsoft Sentinel-gegevensconnectors. Elke gegevensconnector heeft een van de volgende ondersteuningstypen die worden vermeld op de pagina gegevensconnector in Microsoft Sentinel.
| Ondersteuningstype | Beschrijving |
|---|---|
| Door Microsoft ondersteund | Van toepassing op:
Partners of de Community ondersteunen gegevensconnectors die zijn gemaakt door een andere partij dan Microsoft. |
| Partner ondersteund | Van toepassing op gegevensconnectors die zijn gemaakt door andere partijen dan Microsoft. Het partnerbedrijf biedt ondersteuning of onderhoud voor deze gegevensconnectors. Het partnerbedrijf kan een onafhankelijke softwareleverancier, een managed serviceprovider (MSP/MSSP), een systeemintegrator (SI) of een organisatie zijn waarvan de contactgegevens worden opgegeven op de pagina Microsoft Sentinel voor die gegevensconnector. Neem contact op met de opgegeven ondersteuningsmedewerker voor gegevensconnector voor eventuele problemen met een gegevensconnector die door een partner wordt ondersteund. |
| Community ondersteund | Van toepassing op gegevensconnectors die zijn gemaakt door Microsoft- of partnerontwikkelaars die geen contactpersonen hebben vermeld voor ondersteuning en onderhoud van de gegevensconnector op de pagina van de gegevensconnector in Microsoft Sentinel. Voor vragen of problemen met deze gegevensconnectors kunt u een probleem indienen in de GitHub-community van Microsoft Sentinel. |
Zie Ondersteuning zoeken voor een gegevensconnector voor meer informatie.
Volgende stappen
Zie de volgende artikelen voor meer informatie over gegevensconnectors.
- Verbinding maken uw gegevensbronnen naar Microsoft Sentinel met behulp van gegevensconnectors
- Uw Microsoft Sentinel-gegevensconnector zoeken
- Resources voor het maken van aangepaste Microsoft Sentinel-connectors
Zie de IaC-referentie voor Microsoft Sentinel-gegevensconnector voor een basisreferentie van Bicep, Azure Resource Manager en Terraform voor het implementeren van gegevensconnectors in Microsoft Sentinel.