Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
重要
注意: 2026 年 8 月 18 日,根据 世纪互联发布的公告,所有Microsoft Sentinel 功能将在中国 Azure 正式停用。
本文列出了所有受支持的现成数据连接器,以及指向每个连接器部署步骤的链接。
重要
请注意,Microsoft Sentinel 数据连接器目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
数据连接器作为以下产品/服务的一部分提供:
解决方案:许多数据连接器连同相关的分析规则、工作簿和 playbook 等内容,部署为 Microsoft Sentinel 解决方案的一部分。 有关详细信息,请参阅 Microsoft Sentinel 解决方案目录。
社区连接器:更多数据连接器由 Microsoft Sentinel 社区提供,可在 Azure 市场中找到。 社区数据连接器的相关文档由创建连接器的组织负责。
自定义连接器:如果你有未列出或当前不受支持的数据源,则还可自行创建自定义连接器。 有关详细信息,请参阅用于创建 Microsoft Sentinel 自定义连接器的资源。
数据连接器先决条件
每个数据连接器都有自己的一组先决条件。 先决条件可能包括你必须对 Azure 工作区、订阅或策略具有特定权限。 或者,你必须满足要连接到的合作伙伴数据源的其他要求。
每个数据连接器的先决条件列在 Microsoft Sentinel 的相关数据连接器页上。
基于 Azure Monitor 代理 (AMA) 的数据连接器需要从安装了该代理的系统建立互联网连接。 启用端口 443 出站,以允许在安装了该代理的系统与 Microsoft Sentinel 之间建立连接。
Syslog 和通用事件格式 (CEF) 连接器
Microsoft Sentinel 中,数据连接器 Syslog 通过 AMA 或 通用事件格式(CEF) 支持从许多安全设备和设备收集日志。 若要将数据转发到 Log Analytics 工作区以Microsoft Sentinel,请完成使用 Azure Monitor 代理将 syslog 和 CEF 消息引入到 Microsoft Sentinel 的步骤。 这些步骤包括从 Microsoft Sentinel 中的内容中心为安全装置或设备安装 Microsoft Sentinel 解决方案。 然后配置与你所安装 Microsoft Sentinel 解决方案相应的 Syslog via AMA 或 Common Event Format (CEF) via AMA 数据连接器。 通过配置安全设备或装置来完成设置。
请联系解决方案提供商以获取详细信息,或信息不适用于你的设备的情况。
通过 AMA 连接器自定义日志
通过使用 Microsoft Sentinel 中的 AMA 连接器使用自定义日志 ,从 Windows 或 Linux 计算机上安装的网络或安全应用程序筛选和引入文本文件格式的日志。 如需了解更多信息,请参阅以下文章:
Sentinel 数据连接器
注释
下表列出了Microsoft Sentinel 内容中心提供的数据连接器。 产品供应商支持连接器。 有关支持,请参阅下表中 “支持的 ”列中的链接。
Azure 活动
Azure 活动日志是订阅日志,可便于用户深入了解 Azure 中发生的订阅级别事件,包括来自 Azure 资源管理器操作数据的事件、服务运行状况事件、对订阅中的资源执行的写入操作,以及在 Azure 中执行的活动的状态。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
AzureActivity |
否 |
数据收集规则支持: 当前不支持
Azure DevOps 审核日志(通过无代码连接器框架)
Azure DevOps 审核日志数据连接器允许将审核事件从 Azure DevOps 引入 Microsoft Sentinel。 此数据连接器是使用 Microsoft Sentinel 无代码连接器框架构建的,可确保无缝集成。 它利用 Azure DevOps 审核日志 API 提取详细的审核事件,并支持基于 DCR 的 引入时间转换。 通过这些转换,可以在引入期间将收到的审核数据分析为自定义表,从而通过消除对其他分析的需求来提高查询性能。 使用此连接器,可以增强对 Azure DevOps 环境的可见性,并简化安全作。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
ADOAuditLogs_CL |
是的 |
数据收集规则支持:工作区转换 DCR
先决条件:
-
Azure DevOps 先决条件:请确保满足以下条件:
1. 在应用注册下的 Microsoft Entra 管理中心注册 Entra 应用。
2. 在“API 权限”中 - 向“Azure DevOps - vso.auditlog”添加权限。
3.在“证书和机密”中-生成“客户端机密”。
4. 在“身份验证”中 - 添加重定向 URI:“https://portal.azure.cn/TokenAuthorize/ExtensionName/Microsoft_Azure_Security_Insights”。
5. 在 Azure DevOps 设置中 - 启用审核日志并设置用户的 “查看审核日志 ”。 Azure DevOps 审核。
6. 确保分配给连接数据连接器的用户始终将“查看审核日志”权限显式设置为“允许”。 此权限对于成功引入日志至关重要。 如果撤消或未授予权限,则数据引入将失败或中断。
Azure 防火墙
连接到 Azure 防火墙。 Azure 防火墙是托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
AzureDiagnostics |
否 |
AZFWApplicationRule |
是的 |
AZFWFlowTrace |
是的 |
AZFWFatFlow |
是的 |
AZFWNatRule |
是的 |
AZFWDnsQuery |
是的 |
AZFWIdpsSignature |
是的 |
AZFWInternalFqdnResolutionFailure |
是的 |
AZFWNetworkRule |
是的 |
AZFWThreatIntel |
是的 |
数据收集规则支持:工作区转换 DCR
Azure Key Vault
Azure Key Vault 是一种云服务,用于安全地存储和访问机密。 机密是想要严格控制对访问权限的任何内容,例如 API 密钥、密码、证书或加密密钥。 使用此连接器可将 Azure Key Vault 诊断日志流式传输到 Microsoft Sentinel 中,以便持续监视所有实例中的活动。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
AzureDiagnostics |
否 |
数据收集规则支持: 当前不支持
Azure Kubernetes 服务 (AKS)
Azure Kubernetes 服务 (AKS) 是一项完全托管的开放源代码容器业务流程服务,可用于在群集环境中部署、缩放和管理 Docker 容器和基于容器的应用程序。 使用此连接器可将 Azure Kubernetes 服务 (AKS) 诊断日志流式传输到 Microsoft Sentinel 中,便于持续监视所有实例中的活动。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
AzureDiagnostics |
否 |
数据收集规则支持: 当前不支持
Azure SQL 数据库
Azure SQL 是一种完全托管的平台即服务 (PaaS) 数据库引擎,可在没有用户参与的情况下处理大部分数据库管理功能,例如升级、修补、备份和监视。 通过此连接器,可将 Azure SQL 数据库审核日志和诊断日志流式传输到 Microsoft Sentinel,从而能够持续监视所有实例中的活动。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
AzureDiagnostics |
否 |
数据收集规则支持: 当前不支持
Azure 存储帐户
Azure 存储帐户适用于新式数据存储方案的云解决方案。 它包含所有数据对象:Blob、文件、队列、表和磁盘。 使用此连接器,可以将 Azure 存储帐户诊断日志流式传输到 Microsoft Sentinel 工作区,从而能够持续监视所有实例中的活动,并检测组织中的恶意活动。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
AzureMetrics |
否 |
StorageBlobLogs |
是的 |
StorageQueueLogs |
是的 |
StorageTableLogs |
是的 |
StorageFileLogs |
是的 |
数据收集规则支持:工作区转换 DCR
先决条件:
-
策略:为每个策略分配范围分配的所有者角色
Azure Web 应用程序防火墙 (WAF)
连接到适用于应用程序网关、Front Door 或 CDN 的 Azure Web 应用程序防火墙 (WAF)。 此 WAF 可保护你的应用程序免受 SQL 注入和跨站脚本等常见 Web 漏洞的侵害,并允许你自定义规则以减少误报。 安装过程中会显示有关将Microsoft Web 应用程序防火墙日志流式传输到 Microsoft Sentinel 的说明。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
AzureDiagnostics |
否 |
数据收集规则支持: 当前不支持
Cisco ASA/FTD 通过 AMA
使用 Cisco ASA 防火墙连接器,可以将 Cisco ASA 日志轻松连接到 Microsoft Sentinel,以查看仪表板、创建自定义警报并改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
CommonSecurityLog |
是的 |
数据收集规则支持:工作区转换 DCR
先决条件:
- 若要从非 Azure VM 收集数据,必须安装并启用 Azure Arc。
了解详细信息
通过 AMA 自定义日志
许多应用程序将信息记录到文本或 JSON 文件,而不是标准日志记录服务,例如 Windows 事件日志、Syslog 或 CEF。 使用自定义日志数据连接器可以从 Windows 和 Linux 计算机上的文件收集事件,并将其流式传输到所创建的自定义日志表。 流式传输数据时,可以使用 DCR 分析和转换内容。 收集数据后,可以应用分析规则、搜寻、搜索、威胁情报、扩充等。
注意:将此连接器用于以下设备: Cisco Meraki、Zscaler Private Access(ZPA)、VMware vCenter、Apache HTTP 服务器、Apache Tomcat、Jboss Enterprise 应用程序平台、Juniper IDP、MarkLogic Audit、MongoDB Audit、Nginx HTTP 服务器、Oracle Weblogic 服务器、PostgreSQL 事件、Squid 代理、Ubiquiti UniFi、SecurityBridge 威胁检测 SAP 和 AI vectra 流。
Log Analytics 表(s):
| Table | DCR 支持 | |
|---|---|---|
JBossEvent_CL |
否 | |
JuniperIDP_CL |
否 | |
ApacheHTTPServer_CL |
否 | |
Tomcat_CL |
否 | |
meraki_CL |
否 | |
VectraStream_CL |
否 | |
MarkLogicAudit_CL |
否 | |
MongoDBAudit_CL |
否 | |
NGINX_CL |
否 | |
OracleWebLogicServer_CL |
否 | |
PostgreSQL_CL |
否 | |
SquidProxy_CL |
否 | |
Ubiquiti_CL |
否 | |
vcenter_CL |
否 | |
ZPA_CL |
否 | |
SecurityBridgeLogs_CL |
否 |
数据收集规则支持: 当前不支持
先决条件:
-
权限:若要从非 Azure VM 收集数据,必须安装并启用 Azure Arc。
了解详细信息
Dns
使用 DNS 日志连接器,可以轻松地将 DNS 分析和审核日志与 Microsoft Sentinel 和其他相关数据连接,以改进调查。
启用 DNS 日志收集时,可以:
- 标识尝试解析恶意域名的客户端。
- 标识过时的资源记录。
- 识别经常查询的域名和对话 DNS 客户端。
- 查看 DNS 服务器上的请求负载。
- 查看动态 DNS 注册失败。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
DnsEvents |
是的 |
DnsInventory |
是的 |
数据收集规则支持:工作区转换 DCR
Microsoft 365(前,Office 365)
Microsoft 365(前身为 Office 365)活动日志连接器提供关于正在进行的用户活动的见解。 你将获取作的详细信息,例如文件下载、发送的访问请求、对组事件的更改、设置邮箱和执行作的用户的详细信息。 通过将 Microsoft 365 日志连接到 Microsoft Sentinel,你可以使用此数据查看仪表板、创建自定义警报以及改善调查过程。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
OfficeActivity |
是的 |
数据收集规则支持:工作区转换 DCR
Microsoft Entra ID
通过将审核和登录日志连接到 Microsoft Sentinel 来收集有关 Microsoft Entra ID 方案的见解,从而深入了解 Microsoft Entra ID。 可以使用登录日志来了解应用使用情况、条件访问策略和旧版身份验证的相关详细信息。 可以使用审核日志表来了解有关自助式密码重置 (SSPR) 使用情况、Microsoft Entra ID 管理活动(例如用户、组、角色和应用管理)的信息。
Log Analytics 表(s):
数据收集规则支持:工作区转换 DCR
Palo Alto Prisma Cloud CSPM (通过无代码连接器框架)
Palo Alto Prisma Cloud CSPM 数据连接器允许连接到 Palo Alto Prisma Cloud CSPM 实例,并将警报(https://pan.dev/prisma-cloud/api/cspm/alerts/) 和审核日志(https://pan.dev/prisma-cloud/api/cspm/audit-logs/)连接到 Microsoft Sentinel。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
PaloAltoPrismaCloudAlertV2_CL |
是的 |
数据收集规则支持:工作区转换 DCR
通过 AMA 进行 Syslog
Syslog 是普遍适用于 Linux 的事件日志记录协议。 应用程序将发送可能存储在本地计算机或传递到 Syslog 收集器的消息。 安装适用于 Linux 的代理后,它将配置本地 Syslog 守护程序,以将消息转发到代理。 然后,代理会将消息发送到工作区。
Log Analytics 表(s):
| Table | DCR 支持 | 仅湖引入 |
|---|---|---|
Syslog |
是的 | 是的 |
数据收集规则支持:工作区转换 DCR
威胁情报 - TAXII
Microsoft Sentinel 集成了 TAXII 2.0 和 2.1 数据源,你可以使用威胁情报来进行监视、发出警报和搜寻。 使用此连接器将支持的 STIX 对象类型从 TAXII 服务器发送到 Microsoft Sentinel。 威胁指标可以包括 IP 地址、域、URL 和文件哈希。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
ThreatIntelligenceIndicator |
是的 |
数据收集规则支持:工作区转换 DCR
通过 AMA 的 Windows DNS 事件
通过 Windows DNS 日志连接器,可以使用 Azure Monitoring Agent (AMA) 轻松筛选所有分析日志并将其从 Windows DNS 服务器流式传输到 Microsoft Sentinel 工作区。 在 Microsoft Sentinel 中提供此数据有助于识别问题和安全威胁,例如:
- 尝试解析恶意域名。
- 过时的资源记录。
- 经常查询域名和对话 DNS 客户端。
- 对 DNS 服务器执行的攻击。
可以从 Microsoft Sentinel 获取对 Windows DNS 服务器的以下见解:
- 所有日志集中在一个位置。
- 在 DNS 服务器上请求负载。
- 动态 DNS 注册失败。
高级 SIEM 信息模型 (ASIM) 支持 Windows DNS 事件,并将数据流式传输到 ASimDnsActivityLogs 表。 了解详细信息。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
ASimDnsActivityLogs |
是的 |
数据收集规则支持:工作区转换 DCR
Windows 防火墙
Windows 防火墙是一款 Microsoft Windows 应用程序,用于筛选从 Internet 传入系统的信息并阻止可能有害的程序。 该软件通过防火墙阻止大多数程序进行通信。 用户只需将程序添加到允许的程序列表中即可允许它通过防火墙进行通信。 使用公用网络时,Windows 防火墙还可以通过阻止所有未经请求的尝试连接到计算机来保护系统。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|
数据收集规则支持: 当前不支持
通过 AMA 的 Windows 防火墙事件
Windows 防火墙是一款 Microsoft Windows 应用程序,用于筛选从 Internet 传入系统的信息并阻止可能有害的程序。 防火墙软件通过防火墙阻止大多数程序进行通信。 要流式传输从你的计算机收集的 Windows 防火墙应用程序日志,请使用 Azure Monitor 代理 (AMA) 将这些日志流式传输到 Microsoft Sentinel 工作区。
需要将配置的数据收集终结点 (DCE) 与为 AMA 创建的数据收集规则 (DCR) 链接在一起,以收集日志。 对于此连接器,将在与工作区相同的区域中创建 DCE。 如果已使用存储在同一区域中的 DCE,则可以更改默认创建的 DCE 并通过 API 使用现有 DCE。 DCE 可以位于资源名称中具有“SentinelDCE”前缀的资源中。
如需了解更多信息,请参阅以下文章:
Log Analytics 表(s):
| Table | DCR 支持 |
|---|
数据收集规则支持: 当前不支持
Windows 转发事件
可以使用 Azure Monitor 代理 (AMA) 从连接到 Microsoft Sentinel 工作区的 Windows Server 流式传输所有 Windows 事件转发 (WEF) 日志。 通过此连接,能够查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
WindowsEvent |
是的 |
数据收集规则支持:工作区转换 DCR
通过 AMA 的 Windows 安全事件
可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有安全事件。 通过此连接,能够查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
SecurityEvent |
是的 |
数据收集规则支持:工作区转换 DCR
已弃用的 Sentinel 数据连接器
通过旧代理的安全事件
可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有安全事件。 通过此连接,能够查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
SecurityEvent |
是的 |
数据收集规则支持:工作区转换 DCR
基于订阅的 Microsoft Defender for Cloud (旧版)
Microsoft Defender for Cloud 是一种安全管理工具,可用于检测并快速响应 Azure、混合和多云工作负载中的威胁。 此连接器允许将安全警报从 Microsoft Defender for Cloud 流式传输到 Microsoft Sentinel,以便你可以在工作簿中查看 Defender 数据,对其进行查询以生成警报,以及调查和响应事件。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
SecurityAlert |
是的 |
数据收集规则支持:工作区转换 DCR
通过旧代理的 Syslog
Syslog 是普遍适用于 Linux 的事件日志记录协议。 应用程序将发送可能存储在本地计算机或传递到 Syslog 收集器的消息。 安装适用于 Linux 的代理后,它将配置本地 Syslog 守护程序,以将消息转发到代理。 然后,代理会将消息发送到工作区。
Log Analytics 表(s):
| Table | DCR 支持 |
|---|---|
Syslog |
是的 |
数据收集规则支持:工作区转换 DCR
后续步骤
有关详细信息,请参阅: