Microsoft Sentinel 資料連接器
將 Microsoft Sentinel 上線至工作區之後,請使用資料連接器開始將資料內嵌至 Microsoft Sentinel。 Microsoft Sentinel 隨附許多立即可用的 Microsoft 服務連接器,可即時整合。 例如,Microsoft Defender XDR 連接器是一個服務對服務連接器,整合了來自 Office 365、Microsoft Entra ID、適用於身分識別的 Microsoft Defender 和 Microsoft Defender for Cloud Apps 的資料。
內建連接器可讓您連線至非 Microsoft 產品的更廣泛安全性生態系統。 例如,使用 Syslog、常見事件格式 (CEF) 或 REST API,將資料來源與 Microsoft Sentinel 連線。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
解決方案隨附的資料連接器
Microsoft Sentinel 解決方案提供安全性內容套件,包括資料連接器、活頁簿、分析規則、劇本等等。 當您使用資料連線器部署解決方案時,您會將資料連線器與相同部署中的相關內容整合。
Microsoft Sentinel 資料連接器 頁面列出已安裝或使用中的資料連接器。
若要新增更多資料連接器,請從內容中樞安裝與資料連接器相關聯的解決方案。 如需詳細資訊,請參閱下列文章:
- 尋找您的 Microsoft Sentinel 資料連線器
- 關於 Microsoft Sentinel 內容和解決方案
- 探索及管理 Microsoft Sentinel 現用內容
- Microsoft Sentinel 內容中樞目錄
- 適用於 Microsoft Sentinel 的進階安全性資訊模型 (ASIM) 區域解決方案
資料連接器的 REST API 整合
許多安全性解決方案提供一組 API,可從其產品或服務擷取記錄檔和其他安全性數據。 這些 API 會使用下列其中一種方法連線到 Microsoft Sentinel:
- 數據源 API 是使用無程式代碼連接器平台來設定。
- 數據連接器會使用適用於 Azure 監視器的記錄擷取 API 作為 Azure 函式或邏輯應用程式的一部分。
如需與 Azure Functions 連線的詳細資訊,請參閱下列文章:
如需使用Logic Apps 連線的詳細資訊,請參閱 使用Logic Apps 進行連線。
資料連接器的代理程式型整合
Microsoft Sentinel 可以使用 Azure 監視器服務 (Microsoft Sentinel 的基礎) 提供的代理程式來收集任何能執行即時記錄串流的資料來源的資料。 例如,大部分的內部部署資料來源都會使用代理程式型整合進行連線。
下列各節說明不同類型的 Microsoft Sentinel 代理程式型資料連接器。 若要使用代理程式型機制設定連線,請遵循 Microsoft Sentinel 各資料連接器頁面中的步驟。
Syslog 和常見事件格式 (CEF)
您可以使用 Azure 監視器代理程式 (AMA) 將事件從支援 Syslog 的 Linux 型裝置串流到 Microsoft Sentinel。 記錄格式會有所不同,但許多來源都支援以 CEF 為基礎的格式。 視裝置類型而定,代理程式會直接安裝在裝置上,或安裝在專用的 Linux 型記錄轉寄站上。 AMA 會透過 UDP 接收一般 Syslog 或來自 Syslog 精靈的 CEF 事件訊息。 Syslog 精靈會在內部將事件轉送至代理程式,透過 TCP 或 UDS (Linux 網域 Socket) 通訊,視版本而定。 AMA 接著會將這些事件傳輸至 Microsoft Sentinel 工作區。
以下是說明 Microsoft Sentinel 如何串流 Syslog 資料的簡單流程。
- 裝置的內建 Syslog 精靈會收集指定類型的本機事件,並在本機將事件轉送至代理程式。
- 代理程式會將事件串流至 Log Analytics 工作區。
- 組態成功後,Syslog 訊息會出現在 Log Analytics Syslog 資料表中,且 CEF 訊息會出現在 CommonSecurityLog 資料表中。
如需詳細資訊,請參閱 透過 AMA 連接器將 Syslog 和常見事件格式 (CEF) 內嵌於 Microsoft Sentinel。
自訂的記錄
針對某些資料來源,您可以使用 Log Analytics 自訂記錄收集代理程式,將記錄收集為 Windows 或 Linux 電腦上的檔案。
若要使用 Log Analytics 自訂記錄收集代理程式進行連線,請遵循 Microsoft Sentinel 各資料連接器頁面的步驟。 設定成功之後,資料會出現在自訂資料表中。
如需詳細資訊,請參閱 透過 AMA 數據連接器自定義記錄 - 設定從特定應用程式擷取至 sentinel Microsoft 數據擷取。
資料連接器的服務對服務整合
Microsoft Sentinel 使用 Azure 基礎來提供 Microsoft 服務和 Amazon Web Services 的現成服務對服務支援。
如需詳細資訊,請參閱下列文章:
資料連接器支援
Microsoft 和其他組織都會撰寫 Microsoft Sentinel 資料連接器。 每個資料連接器在下列支援類型中都有一項列在 Microsoft Sentinel 的資料連結器頁面上。
支援類型 | 描述 |
---|---|
Microsoft 支援 | 適用於:
合作夥伴或社群支援由 Microsoft 以外的任何合作方撰寫的資料連接器。 |
合作夥伴支援 | 適用於 Microsoft 以外合作夥伴所撰寫的資料連線器。 合作夥伴公司會為這些資料連線器提供支援或維護。 合作夥伴公司可以是獨立軟體廠商、受管理的服務提供者 (MSP/MSSP)、系統整合者 (SI),或任何在 Microsoft Sentinel 頁面上針對資料連接器提供連絡資訊的組織。 針對合作夥伴支援資料連接器的任何問題,請連絡指定的資料連接器支援連絡人。 |
社群支援 | 適用於 Microsoft 或合作夥伴開發人員撰寫的資料連接器,這些連接器並未在 Microsoft Sentinel 的指定資料連接器頁面上列出資料連接器支援和維護的連絡人。 若有與這些資料連接器相關的疑問或問題,請在 Microsoft Sentinel GitHub 社群中提出問題。 |
如需詳細資訊,請參閱 尋找資料連接器的支援。
下一步
如需連接器概念的詳細資訊,請參閱下列文章。
如需 Bicep、Azure Resource Manager 和 Terraform 的基礎結構即程式碼 (IaC) 的基本參考,以便在 Microsoft Sentinel 中部署資料連接器,請參閱 Microsoft Sentinel 資料連接器 IaC 參考。