Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
重要
注意:所有Microsoft Sentinel功能将在
本文列出了所有受支持的现成数据连接器,以及指向每个连接器部署步骤的链接。
重要
请注意,Microsoft Sentinel数据连接器目前在 Preview 中。 Azure预览版补充条款包括适用于 beta 版、预览版或尚未正式发布的Azure功能的其他法律条款。
数据连接器作为以下产品/服务的一部分提供:
解决方案:许多数据连接器部署为 Microsoft Sentinel 解决方案以及分析规则、工作簿和 playbook 等相关内容。 有关详细信息,请参阅 Microsoft Sentinel 解决方案目录。
社区连接器:Microsoft Sentinel社区提供了更多数据连接器,可在 Azure Marketplace 中找到。 社区数据连接器的相关文档由创建连接器的组织负责。
自定义连接器:如果你有未列出或当前不受支持的数据源,则还可自行创建自定义连接器。 有关详细信息,请参阅 用于创建Microsoft Sentinel自定义连接器。
数据连接器先决条件
每个数据连接器都有自己的一组先决条件。 先决条件可能包括你必须对Azure工作区、订阅或策略具有特定权限。 或者,你必须满足要连接到的合作伙伴数据源的其他要求。
每个数据连接器的先决条件在Microsoft Sentinel的相关数据连接器页上列出。
Azure Monitor基于代理(AMA)的数据连接器需要从安装了代理的系统建立 Internet 连接。 启用端口 443 出站,以允许在安装了代理的系统与Microsoft Sentinel之间建立连接。
Syslog 和通用事件格式 (CEF) 连接器
Microsoft Sentinel中的数据连接器
请联系解决方案提供商以获取详细信息,或信息不适用于你的设备的情况。
通过 AMA 连接器自定义日志
使用 Microsoft Sentinel 中的 Custom Logs,以文本文件格式筛选和引入安装在 Windows 或 Linux 计算机上的网络或安全应用程序中的日志。 如需了解更多信息,请参阅以下文章:
Sentinel 数据连接器
注释
下表列出了Microsoft Sentinel内容中心提供的数据连接器。 产品供应商支持连接器。 有关支持,请参阅“ 支持者 ”链接。
小窍门
有关引入到Microsoft Sentinel中的表的列表以及引入它们的连接器,请参阅 Microsoft Sentinel 表和关联的连接器。
Azure activity
Azure活动日志是一个订阅日志,它提供对Azure中发生的订阅级事件的见解,包括来自Azure Resource Manager作数据的事件、服务运行状况事件、对订阅中的资源执行的写入作以及Azure中执行的活动的状态。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
AzureActivity |
否 |
数据收集规则支持: 当前不支持
Azure DevOps审核日志(通过无代码连接器框架)
Azure DevOps审核日志数据连接器允许将审核事件从Azure DevOps引入到Microsoft Sentinel。 此数据连接器是使用 Microsoft Sentinel 无代码连接器框架构建的,可确保无缝集成。 它利用Azure DevOps审核日志 API 提取详细的审核事件,并支持基于 DCR 的引入时间转换。 通过这些转换,可以在引入期间将收到的审核数据分析为自定义表,从而通过消除对其他分析的需求来提高查询性能。 使用此连接器可以增强对Azure DevOps环境的可见性,并简化安全作。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
ADOAuditLogs_CL |
是的 |
数据收集规则支持:工作区转换 DCR
先决条件:
-
Azure DevOps先决条件:请确保满足以下条件:
1.在应用注册下的Microsoft Entra管理中心注册 Entra 应用。
2. 在“API 权限”中 - 向“Azure DevOps - vso.auditlog”添加权限。
3.在“证书和机密”中-生成“客户端机密”。
4. 在“身份验证”中 - 添加重定向 URI:“https://portal.azure.cn/TokenAuthorize/ExtensionName/Microsoft_Azure_Security_Insights”。
5. 在Azure DevOps设置中 - 为用户启用审核日志并设置 View 审核日志。 Azure DevOps 审核。
6. 确保分配给连接数据连接器的用户始终将“查看审核日志”权限显式设置为“允许”。 此权限对于成功引入日志至关重要。 如果撤消或未授予权限,则数据引入将失败或中断。
Azure Firewall
连接到Azure Firewall。 Azure Firewall是一种托管的基于云的网络安全服务,可保护Azure Virtual Network资源。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
AzureDiagnostics |
否 |
AZFWApplicationRule |
是的 |
AZFWFlowTrace |
是的 |
AZFWFatFlow |
是的 |
AZFWNatRule |
是的 |
AZFWDnsQuery |
是的 |
AZFWIdpsSignature |
是的 |
AZFWInternalFqdnResolutionFailure |
是的 |
AZFWNetworkRule |
是的 |
AZFWThreatIntel |
是的 |
数据收集规则支持:工作区转换 DCR
Azure Key Vault
Azure Key Vault是一种云服务,用于安全地存储和访问机密。 机密是想要严格控制对访问权限的任何内容,例如 API 密钥、密码、证书或加密密钥。 此连接器允许将Azure Key Vault诊断日志流式传输到Microsoft Sentinel,从而可以持续监视所有实例中的活动。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
AzureDiagnostics |
否 |
数据收集规则支持: 当前不支持
Azure Kubernetes Service (AKS)
Azure Kubernetes Service (AKS)是一种开源的完全托管的容器业务流程服务,可用于在群集环境中部署、缩放和管理 Docker 容器和基于容器的应用程序。 此连接器允许将Azure Kubernetes Service (AKS)诊断日志流式传输到Microsoft Sentinel,从而可以持续监视所有实例中的活动。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
AzureDiagnostics |
否 |
数据收集规则支持: 当前不支持
Azure SQL Databases
Azure SQL是一种完全托管的平台即服务(PaaS)数据库引擎,用于处理大多数数据库管理功能,例如升级、修补、备份和监视,而无需用户参与。 此连接器允许将Azure SQL数据库审核和诊断日志流式传输到Microsoft Sentinel,从而可以持续监视所有实例中的活动。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
AzureDiagnostics |
否 |
数据收集规则支持: 当前不支持
Azure Storage account
Azure Storage帐户是新式数据存储方案的云解决方案。 它包含所有数据对象:Blob、文件、队列、表和磁盘。 此连接器允许将Azure Storage帐户诊断日志流式传输到Microsoft Sentinel工作区,从而持续监视所有实例中的活动,并检测组织中的恶意活动。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
AzureMetrics |
否 |
StorageBlobLogs |
是的 |
StorageQueueLogs |
是的 |
StorageTableLogs |
是的 |
StorageFileLogs |
是的 |
数据收集规则支持:工作区转换 DCR
先决条件:
-
策略:为每个策略分配范围分配的所有者角色
Azure Web Application Firewall (WAF)
连接到应用程序网关、Front Door 或 CDN 的 Azure Web Application Firewall (WAF)。 此 WAF 可保护你的应用程序免受 SQL 注入和跨站脚本等常见 Web 漏洞的侵害,并允许你自定义规则以减少误报。 安装过程中会显示有关将Microsoft Web 应用程序防火墙日志流式传输到Microsoft Sentinel的说明。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
AzureDiagnostics |
否 |
数据收集规则支持: 当前不支持
Cisco ASA/FTD 通过 AMA
借助 Cisco ASA 防火墙连接器,可以轻松将 Cisco ASA 日志与Microsoft Sentinel连接,以查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
CommonSecurityLog |
是的 |
数据收集规则支持:工作区转换 DCR
先决条件:
- 若要从非Azure VM 收集数据,必须安装并启用Azure Arc。
了解详细信息
通过 AMA 自定义日志
许多应用程序将信息记录到文本或 JSON 文件,而不是标准日志记录服务,例如Windows事件日志、Syslog 或 CEF。 使用自定义日志数据连接器可以从Windows和 Linux 计算机上的文件收集事件,并将其流式传输到创建的自定义日志表。 流式传输数据时,可以使用 DCR 分析和转换内容。 收集数据后,可以应用分析规则、搜寻、搜索、威胁情报、扩充等。
注意:将此连接器用于以下设备: Cisco Meraki、Zscaler Private Access(ZPA)、VMware vCenter、Apache HTTP 服务器、Apache Tomcat、Jboss Enterprise 应用程序平台、Juniper IDP、MarkLogic Audit、MongoDB Audit、Nginx HTTP 服务器、Oracle Weblogic 服务器、PostgreSQL 事件、Squid 代理、Ubiquiti UniFi、SecurityBridge 威胁检测 SAP 和 AI vectra 流。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
JBossEvent_CL |
否 |
JuniperIDP_CL |
是的 |
ApacheHTTPServer_CL |
是的 |
Tomcat_CL |
是的 |
meraki_CL |
是的 |
VectraStream_CL |
否 |
MarkLogicAudit_CL |
否 |
MongoDBAudit_CL |
是的 |
NGINX_CL |
是的 |
OracleWebLogicServer_CL |
是的 |
PostgreSQL_CL |
是的 |
SquidProxy_CL |
是的 |
Ubiquiti_CL |
是的 |
vcenter_CL |
是的 |
ZPA_CL |
是的 |
SecurityBridgeLogs_CL |
是的 |
数据收集规则支持:工作区转换 DCR
先决条件:
-
Permissions:若要从非Azure VM 收集数据,必须安装并启用这些 VM Azure Arc。
了解详细信息
Dns
使用 DNS 日志连接器,可以轻松地将 DNS 分析和审核日志与Microsoft Sentinel和其他相关数据连接,以改进调查。
启用 DNS 日志收集时,可以:
- 标识尝试解析恶意域名的客户端。
- 标识过时的资源记录。
- 识别经常查询的域名和对话 DNS 客户端。
- 查看 DNS 服务器上的请求负载。
- 查看动态 DNS 注册失败。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
DnsEvents |
是的 |
DnsInventory |
是的 |
数据收集规则支持:工作区转换 DCR
Microsoft 365(前,Office 365)
Microsoft 365(以前,Office 365)活动日志连接器提供对正在进行的用户活动的见解。 你将获取作的详细信息,例如文件下载、发送的访问请求、对组事件的更改、设置邮箱和执行作的用户的详细信息。 通过将Microsoft 365日志连接到Microsoft Sentinel,可以使用此数据查看仪表板、创建自定义警报和改进调查过程。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
OfficeActivity |
是的 |
数据收集规则支持:工作区转换 DCR
Microsoft Entra ID
通过将审核和登录日志连接到Microsoft Sentinel来收集有关Microsoft Entra ID方案的见解,从而深入了解Microsoft Entra ID。 可以使用登录日志来了解应用使用情况、条件访问策略和旧版身份验证的相关详细信息。 可以使用审核日志表获取有关自助服务密码重置(SSPR)使用情况的信息,Microsoft Entra ID管理活动,例如用户、组、角色、应用管理。
Log Analytics table(s):
数据收集规则支持:工作区转换 DCR
Palo Alto Prisma Cloud CSPM (通过无代码连接器框架)
Palo Alto Prisma Cloud CSPM 数据连接器允许连接到 Palo Alto Prisma Cloud CSPM 实例并引入警报 (https://pan.dev/prisma-cloud/api/cspm/alerts/)审核日志(https://pan.dev/prisma-cloud/api/cspm/audit-logs/)到Microsoft Sentinel。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
PaloAltoPrismaCloudAlertV2_CL |
是的 |
数据收集规则支持:工作区转换 DCR
通过 AMA 进行 Syslog
Syslog 是普遍适用于 Linux 的事件日志记录协议。 应用程序将发送可能存储在本地计算机或传递到 Syslog 收集器的消息。 安装适用于 Linux 的代理后,它将配置本地 Syslog 守护程序,以将消息转发到代理。 然后,代理会将消息发送到工作区。
Log Analytics table(s):
| Table | DCR 支持 | 仅湖引入 |
|---|---|---|
Syslog |
是的 | 是的 |
数据收集规则支持:工作区转换 DCR
威胁情报 - TAXII
Microsoft Sentinel与 TAXII 2.0 和 2.1 数据源集成,以便使用威胁情报进行监视、警报和搜寻。 使用此连接器可将支持的 STIX 对象类型从 TAXII 服务器发送到Microsoft Sentinel。 威胁指标可以包括 IP 地址、域、URL 和文件哈希。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
ThreatIntelligenceIndicator |
是的 |
数据收集规则支持:工作区转换 DCR
Windows DNS 事件通过 AMA
使用 Windows DNS 日志连接器,可以使用 Azure 监视代理(AMA)轻松筛选和流式传输Windows DNS 服务器中的所有分析日志到Microsoft Sentinel工作区。 在Microsoft Sentinel中拥有此数据有助于识别问题和安全威胁,例如:
- 尝试解析恶意域名。
- 过时的资源记录。
- 经常查询域名和对话 DNS 客户端。
- 对 DNS 服务器执行的攻击。
可以从Microsoft Sentinel中深入了解Windows DNS 服务器:
- 所有日志集中在一个位置。
- 在 DNS 服务器上请求负载。
- 动态 DNS 注册失败。
高级 SIEM 信息模型(ASIM)支持Windows DNS 事件,并将数据流式传输到 ASimDnsActivityLogs 表中。 了解详细信息。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
ASimDnsActivityLogs |
是的 |
数据收集规则支持:工作区转换 DCR
Windows 防火墙
Windows防火墙是一个Microsoft Windows应用程序,用于筛选从 Internet 传入系统并阻止可能有害的程序的信息。 该软件通过防火墙阻止大多数程序进行通信。 用户只需将程序添加到允许的程序列表中即可允许它通过防火墙进行通信。 使用公用网络时,Windows防火墙还可以阻止所有未经请求的尝试连接到计算机来保护系统。
Log Analytics table(s):
| Table | DCR 支持 |
|---|
数据收集规则支持: 当前不支持
Windows 防火墙事件通过 AMA
Windows防火墙是一个Microsoft Windows应用程序,用于筛选来自 Internet 的信息并阻止可能有害的程序。 防火墙软件通过防火墙阻止大多数程序进行通信。 若要流式传输从计算机收集的Windows防火墙应用程序日志,请使用Azure Monitor代理(AMA)将这些日志流式传输到Microsoft Sentinel工作区。
需要将配置的数据收集终结点 (DCE) 与为 AMA 创建的数据收集规则 (DCR) 链接在一起,以收集日志。 对于此连接器,将在与工作区相同的区域中创建 DCE。 如果已使用存储在同一区域中的 DCE,则可以更改默认创建的 DCE 并通过 API 使用现有 DCE。 DCE 可以位于资源名称中具有 SentinelDCE 前缀的资源中。
如需了解更多信息,请参阅以下文章:
- Azure MonitorData 集合终结点>
Log Analytics table(s):
| Table | DCR 支持 |
|---|
数据收集规则支持: 当前不支持
Windows转发事件
可以使用 Azure Monitor 代理(AMA)从连接到Microsoft Sentinel工作区的Windows服务器流式传输所有Windows事件转发(WEF)日志。 通过此连接,能够查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
WindowsEvent |
是的 |
数据收集规则支持:工作区转换 DCR
Windows Security 事件通过 AMA
可以使用 Windows 代理从连接到Microsoft Sentinel工作区Windows计算机流式传输所有安全事件。 通过此连接,能够查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
SecurityEvent |
是的 |
数据收集规则支持:工作区转换 DCR
已弃用的 Sentinel 数据连接器
注释
下表列出了已弃用和旧数据连接器。 不再支持弃用的连接器。
通过旧代理的安全事件
可以使用 Windows 代理从连接到Microsoft Sentinel工作区Windows计算机流式传输所有安全事件。 通过此连接,能够查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
SecurityEvent |
是的 |
数据收集规则支持:工作区转换 DCR
Subscription 基于 Microsoft Defender for Cloud
Microsoft Defender for Cloud是一种安全管理工具,可用于检测和快速响应跨Azure、混合和多云工作负荷的威胁。 此连接器允许将安全警报从Microsoft Defender for Cloud流式传输到Microsoft Sentinel,以便查看工作簿中的 Defender 数据、查询它以生成警报以及调查和响应事件。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
SecurityAlert |
是的 |
数据收集规则支持:工作区转换 DCR
通过旧代理的 Syslog
Syslog 是普遍适用于 Linux 的事件日志记录协议。 应用程序将发送可能存储在本地计算机或传递到 Syslog 收集器的消息。 安装适用于 Linux 的代理后,它将配置本地 Syslog 守护程序,以将消息转发到代理。 然后,代理会将消息发送到工作区。
Log Analytics table(s):
| Table | DCR 支持 |
|---|---|
Syslog |
是的 |
数据收集规则支持:工作区转换 DCR
后续步骤
有关详细信息,请参阅: