Microsoft Sentinel 数据连接器
将 Microsoft Sentinel 载入工作区后,使用数据连接器以开始将数据引入 Microsoft Sentinel。 Microsoft Sentinel 附带了许多适用于 Microsoft 服务的现用连接器,可以进行实时集成。
内置连接器可以连接到非 Microsoft 产品的更广泛的安全生态系统。 例如,使用 Syslog、通用事件格式 (CEF) 或 REST API 将数据源与 Microsoft Sentinel 连接。
了解 Microsoft Sentinel 数据连接器的类型或了解 Microsoft Sentinel 解决方案目录。
Microsoft Sentinel“数据连接器”页显示工作区的连接器的完整列表及其状态。 很快,此页面将仅显示正在使用的数据连接器的列表。
若要添加更多数据连接器,请从内容中心安装与数据连接器关联的解决方案。 有关详细信息,请参阅以下文章:
启用数据连接器
在“数据连接器”页中,选择要连接的活动或自定义连接器,然后选择“打开连接器页”。 如果没有看到所需的数据连接器,请从内容中心安装与之相关的解决方案。
满足“说明”选项卡中列出的所有先决条件后,连接器页将介绍如何将数据引入 Microsoft Sentinel。 数据可能需要一些时间来开始到达。
在连接后,可以在“收到的数据”图中查看数据摘要,以及数据类型的连接状态。
了解数据连接器参考中的特定数据连接器。
数据连接器的 REST API 集成
许多安全技术提供了一组用于检索日志文件的 API,并且某些数据源可以使用这些 API 连接到 Microsoft Sentinel。
使用 API 的数据连接器或是从提供程序端集成,或是使用 Azure Functions 集成,具体如以下部分所述。
详细了解数据连接器参考中的数据连接器。
提供程序端的 REST API 集成
由提供程序构建的 API 集成将与提供程序数据源连接,并使用 Azure Monitor 数据收集器 API 将数据推送到 Microsoft Sentinel 自定义数据表。
了解 REST API 集成,请参阅提供程序文档和将数据源连接到 Microsoft Sentinel 的 REST-API 以引入数据。
使用 Azure Functions 进行 REST API 集成
使用 Azure Functions 与提供程序 API 连接的集成首先会格式化数据,然后使用 Azure Monitor 数据收集器 API 将数据发送至 Microsoft Sentinel 自定义日志表。
重要
使用 Azure Functions 的集成可能会产生额外的数据引入成本,这是因为你在 Azure 租户托管 Azure Functions。 详细了解 Azure Functions 定价。
基于代理的数据连接器集成
Microsoft Sentinel 可以使用 Syslog 协议将代理连接到任何可执行实时日志流式处理的数据源。 例如,大多数本地数据源通过基于代理的集成进行连接。
以下部分介绍基于 Microsoft Sentinel 代理的数据连接器的不同类型。 按照每个 Microsoft Sentinel 数据连接器页中的步骤,使用基于代理的机制配置连接。
在数据连接器参考中,了解通过 CEF 或 Syslog 连接到 Microsoft Sentinel 的防火墙、代理和终结点。
Syslog
你可以使用 Azure Monitor 代理 (AMA) 将事件从支持 Syslog 的 Linux 设备流式传输到 Microsoft Sentinel。 根据设备类型,可以直接在设备上安装代理,或在专用的 Linux 日志转发器上安装代理。 AMA 通过 UDP 从 Syslog 守护程序接收事件。 Syslog 守护程序会在内部将事件转发到代理,从而通过 UDS(Unix 域套接字)进行通信。 然后,AMA 将这些事件传输到 Microsoft Sentinel 工作区。
下面是一个简单的流,其中显示了 Microsoft Sentinel 如何流式传输 Syslog 数据。
- 设备的内置 Syslog 守护程序会收集指定类型的本地事件,并在本地将其转发到代理。
- 代理将事件流式传输到 Log Analytics 工作区。
- 成功配置后,数据将显示在 Log Analytics Syslog 表中。
通用事件格式 (CEF)
日志格式各不相同,但许多源支持基于 CEF 的格式设置。 Microsoft Sentinel 代理(实际上是 Log Analytics 代理)将 CEF 格式的日志转换为 Log Analytics 可以引入的格式。
对于在 CEF 中发出数据的数据源,请设置 Syslog 代理,然后配置 CEF 数据流。 成功配置后,数据将显示在 CommonSecurityLog 表中。
了解如何将基于 CEF 的设备连接到 Microsoft Sentinel。
自定义日志
对于某些数据源,可以使用 Log Analytics 自定义日志收集代理将日志收集为 Windows 或 Linux 计算机上的文件。
按照每个 Microsoft Sentinel 数据连接器页中的步骤,使用 Log Analytics 自定义日志收集代理进行连接。 成功配置后,数据将显示在自定义表中。
了解如何使用 Log Analytics 代理将数据以自定义日志格式收集到 Microsoft Sentinel中。
数据连接器的服务到服务集成
Microsoft Sentinel 使用 Azure 基础为 Microsoft 服务提供开箱即用的服务到服务支持。
了解如何连接到 Azure、Windows 和 Microsoft 服务,或了解数据连接器参考中的数据连接器类型。
将数据连接器部署为解决方案的一部分
Microsoft Sentinel 解决方案提供安全内容包,其中包括数据连接器、工作簿、分析规则、playbook 等。 部署使用数据连接器的解决方案时,你将获取数据连接器以及同一部署中的相关内容。
了解如何集中发现和部署 Microsoft Sentinel 开箱即用的内容和解决方案或了解 Microsoft Sentinel 解决方案目录。
数据连接器支持
Microsoft 和其他组织都会创作 Microsoft Sentinel 数据连接器。 每个数据连接器都具有以下支持类型之一:
| 支持类型 | 说明 |
|---|---|
| Microsoft 支持 | 适用于:
合作伙伴或社区支持由除 Microsoft 以外的任何一方开发的数据连接器。 |
| 合作伙伴支持 | 适用于由 Microsoft 之外的各方开发的数据连接器。 合作伙伴公司可为这些数据连接器提供支持或维护。 合作伙伴公司可以是独立软件供应商、托管服务提供商 (MSP/MSSP)、系统集成商 (SI) 或在该数据连接器的 Microsoft Sentinel 页上提供其联系信息的任何组织。 对于有关合作伙伴支持的数据连接器的任何问题,请联系指定的数据连接器支持联系人。 |
| 社区支持 | 适用于由 Microsoft 或合作伙伴开发人员开发、但未在 Microsoft Sentinel 中的指定数据连接器页列出数据连接器支持和维护联系人的数据连接器。 对于有关这些数据连接器的问题,可以在 Microsoft Sentinel GitHub 社区提出问题。 |
查找数据连接器的支持联系人
- 在 Microsoft Sentinel“数据连接器”页中,选择相关连接器。
- 若要访问连接器的支持和维护,请使用连接器侧面板上“支持者”字段中的支持联系人链接。
后续步骤
- 若要开始使用 Microsoft Sentinel,需要订阅 Azure。 如果没有订阅,可以注册试用版。
- 了解如何将数据载入到 Microsoft Sentinel,以及获取数据和潜在威胁的见解。
- 若要了解自定义数据连接器,请参阅用于创建 Microsoft Sentinel 自定义连接器的资源。
- 有关用于在 Microsoft Sentinel 中部署数据连接器的 Bicep、ARM 和 Terraform 的基本基础结构即代码 (IaC) 参考,请参阅 Microsoft Sentinel 数据连接器 IaC 参考。