在 Microsoft Sentinel 中設定資料連接器
將 Microsoft Sentinel 上線至工作區之後,請使用資料連接器開始將資料內嵌至 Microsoft Sentinel。 Microsoft Sentinel 隨附許多立即可用的 Microsoft 服務連接器,可即時整合。 例如,Microsoft 365 Defender 連接器是一種服務對服務連接器,可整合來自 Office 365、Microsoft Entra ID、適用於身分識別的 Microsoft Defender 和 Microsoft Defender for Cloud Apps 的資料。
內建連接器可讓您連線至非 Microsoft 產品的更廣泛安全性生態系統。 例如,使用 Syslog、常見事件格式 (CEF) 或 REST API,將資料來源與 Microsoft Sentinel 連線。
[Microsoft Sentinel 資料連接器] 頁面會顯示連接器的完整清單及其工作區的狀態。 不久之後,此頁面只會顯示使用中資料連接器的清單。
注意
若要新增更多資料連接器,請從內容中樞安裝與資料連接器相關聯的解決方案。
啟用資料連線器
從 [資料連接器] 頁面中,選取您要連線的作用中或自訂連接器,然後選取[開啟連接器] 頁面。 如果您沒有看到想要的資料連接器,請從內容中樞安裝與其相關聯的解決方案。
完成 [指示] 索引標籤中列出的所有必要條件之後,連接器頁面會說明如何將資料內嵌至 Microsoft Sentinel。 資料可能需要一些時間才能開始抵達。
連線之後,您會在「收到的資料」圖表中看到資料的摘要,以及資料類型的連線狀態。
資料連接器的 REST API 整合
許多安全性技術都提供一組 API 來擷取記錄檔,而某些資料來源可以使用這些 API 來連線至 Microsoft Sentinel。
使用 API 的資料連接器會從提供者端整合,或使用 Azure Functions 進行整合,如下列各節所述。
提供者端的 REST API 整合
提供者所建置的 API 整合會與提供者資料來源連線,並使用 Azure 監視器資料收集器 API 將資料推送至 Microsoft Sentinel 自訂記錄資料表。
使用 Azure Functions 的 REST API 整合
使用 Azure Functions 與提供者 API 連線的整合會先格式化資料,然後使用 Azure 監視器資料收集器 API 將其傳送至 Microsoft Sentinel 自訂記錄資料表。
資料連接器的代理程式型整合
Microsoft Sentinel 可以使用 Syslog 通訊協定,將代理程式連線至任何可執行即時記錄串流的資料來源。 例如,大部分的內部部署資料來源都會使用代理程式型整合進行連線。
下列各節說明不同類型的 Microsoft Sentinel 代理程式型資料連接器。 請遵循每個 Microsoft Sentinel 資料連接器頁面中的步驟,以使用代理程式型機制來設定連線。
Syslog
您可以使用 Azure 監視器代理程式 (AMA) 將 Linux 型 Syslog 支援裝置的事件串流至 Microsoft Sentinel。 視裝置類型而定,代理程式會直接安裝在裝置上,或安裝在專用的 Linux 型記錄轉寄站上。 AMA 會透過 UDP 從 Syslog 精靈接收事件。 Syslog 精靈會在內部將事件轉送至代理程式,透過 UDS 進行通訊 (Unix 網域通訊端)。 AMA 接著會將這些事件傳輸至 Microsoft Sentinel 工作區。
以下是一個簡單的流程,示範 Microsoft Sentinel 如何串流 Syslog 資料。
- 裝置的內建 Syslog 精靈會收集指定類型的本機事件,並在本機將事件轉送至代理程式。
- 代理程式會將事件串流至 Log Analytics 工作區。
- 成功設定之後,資料會出現在 Log Analytics Syslog 資料表中。
常見事件格式 (CEF)
記錄格式會有所不同,但許多來源都支援以 CEF 為基礎的格式。 Microsoft Sentinel 代理程式實際上是 Log Analytics 代理程式,會將 CEF 格式的記錄轉換成 Log Analytics 可內嵌的格式。
針對在 CEF 中發出資料的資料來源,請設定 Syslog 代理程式,然後設定 CEF 資料流程。 成功設定之後,資料會出現在 CommonSecurityLog 資料表中。
自訂的記錄
針對某些資料來源,您可以使用 Log Analytics 自訂記錄收集代理程式,將記錄收集為 Windows 或 Linux 電腦上的檔案。
請遵循每個 Microsoft Sentinel 資料連線器頁面中的步驟,使用 Log Analytics 自訂記錄收集代理程式進行連線。 設定成功之後,資料會出現在自訂資料表中。
資料連接器的服務對服務整合
Microsoft Sentinel 會使用 Azure 基礎來提供適用於 Microsoft 服務和 Amazon Web Services 的立即可用服務對服務支援。
將資料連線器部署為解決方案的一部分
Microsoft Sentinel 解決方案提供安全性內容的套件,包括資料連接器、活頁簿、分析規則、劇本等等。 當您使用資料連線器部署解決方案時,您會將資料連線器與相同部署中的相關內容整合。
資料連接器支援
Microsoft 和其他組織都會撰寫 Microsoft Sentinel 資料連接器。 每個資料連接器都有下列其中一種支援類型:
| 支援類型 | 說明 |
|---|---|
| Microsoft 支援的 | 適用於 Microsoft 是資料提供者和作者之資料來源的資料連接器。 非 Microsoft 資料來源的一些 Microsoft 撰寫的資料連線器。 Microsoft 根據 Microsoft Azure 支援計劃支援及維護此類別中的資料連接器。 合作夥伴或社群支援 Microsoft 以外任何一方所撰寫的資料連接器。 |
| 支援的合作夥伴 | 適用於 Microsoft 以外合作夥伴所撰寫的資料連線器。 合作夥伴公司會為這些資料連線器提供支援或維護。 合作夥伴公司可以是獨立軟體廠商、受控服務提供者、系統整合者,或該資料連接器的 Microsoft Sentinel 頁面上提供其連絡資訊的任何組織。 若有合作夥伴支援資料連接器的任何問題,請連絡指定的資料連接器支援連絡人。 |
| 支援的社群 | 適用於 Microsoft 或合作夥伴開發人員所撰寫的資料連線器,這些連接器未在 Microsoft Sentinel 中指定資料連線器頁面上列出資料連線器支援和維護的連絡人。 |