Microsoft Sentinel-dataanslutningsprogram
När du har registrerat Microsoft Sentinel på din arbetsyta använder du dataanslutningsprogram för att börja mata in dina data i Microsoft Sentinel. Microsoft Sentinel levereras med många färdiga anslutningsappar för Microsoft-tjänster, som integreras i realtid. Microsoft Defender XDR-anslutningsprogrammet är till exempel en tjänst-till-tjänst-anslutning som integrerar data från Office 365, Microsoft Entra ID, Microsoft Defender för identitet och Microsoft Defender för molnet-appar.
Inbyggda anslutningsappar möjliggör anslutning till det bredare säkerhetsekosystemet för produkter som inte kommer från Microsoft. Använd till exempel Syslog, Common Event Format (CEF) eller REST-API:er för att ansluta dina datakällor till Microsoft Sentinel.
Kommentar
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.
Viktigt!
Microsoft Sentinel är tillgängligt som en del av den offentliga förhandsversionen av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Dataanslutningar som tillhandahålls med lösningar
Microsoft Sentinel-lösningar tillhandahåller paketerat säkerhetsinnehåll, inklusive dataanslutningsprogram, arbetsböcker, analysregler, spelböcker med mera. När du distribuerar en lösning med en dataanslutning får du dataanslutningsappen tillsammans med relaterat innehåll i samma distribution.
Sidan Dataanslutningsprogram för Microsoft Sentinel visar en lista över installerade eller använda dataanslutningar.
Om du vill lägga till fler dataanslutningar installerar du lösningen som är associerad med dataanslutningen från Innehållshubben. Mer information finns i följande artiklar:
- Hitta din Microsoft Sentinel-dataanslutningsapp
- Om Microsoft Sentinel-innehåll och -lösningar
- Identifiera och hantera innehåll i Microsoft Sentinel
- Katalog för Microsoft Sentinel-innehållshubben
- ASIM-baserade domänlösningar (Advanced Security Information Model) för Microsoft Sentinel
REST API-integrering för dataanslutningar
Många säkerhetstekniker tillhandahåller en uppsättning API:er för att hämta loggfiler. Vissa datakällor kan använda dessa API:er för att ansluta till Microsoft Sentinel.
Dataanslutningar som använder API:er kan antingen integreras från providersidan eller integreras med Hjälp av Azure Functions, enligt beskrivningen i följande avsnitt.
Integrering på providersidan
En API-integrering som skapats av providern ansluter till providerdatakällorna och skickar data till anpassade Loggtabeller i Microsoft Sentinel med hjälp av Api:et för Datainsamlare i Azure Monitor. Mer information finns i Skicka loggdata till Azure Monitor med hjälp av HTTP Data Collector API.
Om du vill veta mer om REST API-integrering läser du din providerdokumentation och Anslut datakällan till Microsoft Sentinels REST-API för att mata in data.
Integrering med Hjälp av Azure Functions
Integreringar som använder Azure Functions för att ansluta till ett provider-API formaterar först data och skickar dem sedan till microsoft Sentinel-anpassade loggtabeller med hjälp av Azure Monitor Data Collector API.
Mer information finns i:
- Skicka loggdata till Azure Monitor med hjälp av HTTP Data Collector API
- Använda Azure Functions för att ansluta datakällan till Microsoft Sentinel
- Azure Functions-dokumentation
Integreringar som använder Azure Functions kan ha extra datainmatningskostnader eftersom du är värd för Azure Functions i din Azure-organisation. Läs mer om priser för Azure Functions.
Agentbaserad integrering för dataanslutningar
Microsoft Sentinel kan använda Syslog-protokollet för att ansluta en agent till alla datakällor som kan utföra loggströmning i realtid. De flesta lokala datakällor ansluter till exempel med hjälp av agentbaserad integrering.
I följande avsnitt beskrivs de olika typerna av Microsoft Sentinel-agentbaserade dataanslutningar. Om du vill konfigurera anslutningar med hjälp av agentbaserade mekanismer följer du stegen på varje microsoft Sentinel-sida för dataanslutning.
Syslog
Du kan strömma händelser från Linux-baserade syslogstödande enheter till Microsoft Sentinel med hjälp av Azure Monitor Agent (AMA). Beroende på enhetstyp installeras agenten antingen direkt på enheten eller på en dedikerad Linux-baserad loggvidare. AMA tar emot händelser från Syslog-daemon via UDP. Syslog-daemon vidarebefordrar händelser till agenten internt och kommunicerar via UDS (Unix Domain Sockets). AMA överför sedan dessa händelser till Microsoft Sentinel-arbetsytan.
Här är ett enkelt flöde som visar hur Microsoft Sentinel strömmar Syslog-data.
- Enhetens inbyggda Syslog-daemon samlar in lokala händelser av de angivna typerna och vidarebefordrar händelserna lokalt till agenten.
- Agenten strömmar händelserna till din Log Analytics-arbetsyta.
- Efter en lyckad konfiguration visas data i Log Analytics Syslog-tabellen.
Mer information finns i Självstudie: Vidarebefordra Syslog-data till en Log Analytics-arbetsyta med Microsoft Sentinel med hjälp av Azure Monitor Agent.
Common Event Format (CEF)
Loggformaten varierar, men många källor stöder CEF-baserad formatering. Microsoft Sentinel-agenten, som faktiskt är Log Analytics-agenten, konverterar CEF-formaterade loggar till ett format som Log Analytics kan mata in.
För datakällor som genererar data i CEF konfigurerar du Syslog-agenten och konfigurerar sedan CEF-dataflödet. Efter en lyckad konfiguration visas data i tabellen CommonSecurityLog .
Mer information finns i Hämta CEF-formaterade loggar från din enhet eller installation till Microsoft Sentinel.
Anpassade loggar
För vissa datakällor kan du samla in loggar som filer på Windows- eller Linux-datorer med hjälp av log Analytics-agenten för anpassad logginsamling.
Om du vill ansluta med log analytics-agenten för anpassad logginsamling följer du stegen på varje sida för Microsoft Sentinel-dataanslutning. När konfigurationen har slutförts visas data i anpassade tabeller.
Mer information finns i Samla in data i anpassade loggformat till Microsoft Sentinel med Log Analytics-agenten.
Tjänst-till-tjänst-integrering för dataanslutningar
Microsoft Sentinel använder Azure Foundation för att tillhandahålla service-till-tjänst-support för Microsoft-tjänster och Amazon Web Services.
Mer information finns i följande artiklar:
- Anslut Microsoft Sentinel till Azure-, Windows-, Microsoft- och Amazon-tjänster
- Hitta din Microsoft Sentinel-dataanslutningsapp
Stöd för dataanslutning
Både Microsoft och andra organisationer skapar Microsoft Sentinel-dataanslutningsprogram. Varje dataanslutning har någon av följande supporttyper som visas på dataanslutningssidan i Microsoft Sentinel.
Supporttyp | beskrivning |
---|---|
Microsoft-stöd | Gäller för:
Partner eller communityn stöder dataanslutningar som skapats av någon annan part än Microsoft. |
Partnerstödd | Gäller för dataanslutningar som skapats av andra parter än Microsoft. Partnerföretaget tillhandahåller support eller underhåll för dessa dataanslutningar. Partnerföretaget kan vara en oberoende programvaruleverantör, en hanterad tjänstleverantör (MSP/MSSP), en systemintegrerare (SI) eller någon organisation vars kontaktinformation finns på Sidan Microsoft Sentinel för dataanslutningen. Om du har problem med en dataanslutning som stöds av en partner kontaktar du supportkontakten för den angivna dataanslutningen. |
Community-stödd | Gäller för dataanslutningar som skapats av Microsoft eller partnerutvecklare som inte har angivna kontakter för stöd och underhåll av dataanslutningsappar på sidan för dataanslutning i Microsoft Sentinel. För frågor eller problem med dessa dataanslutningar kan du skapa ett problem i Microsoft Sentinel GitHub-communityn. |
Mer information finns i Hitta stöd för en dataanslutning.
Nästa steg
Mer information om dataanslutningar finns i följande artiklar.
- Anslut dina datakällor till Microsoft Sentinel med hjälp av dataanslutningar
- Hitta din Microsoft Sentinel-dataanslutningsapp
- Resurser för att skapa anpassade Anslutningsprogram för Microsoft Sentinel
En grundläggande IaC-referens (Infrastruktur som kod) för Bicep, Azure Resource Manager och Terraform för att distribuera dataanslutningar i Microsoft Sentinel finns i IaC-referens för Microsoft Sentinel-dataanslutning.