Microsoft Sentinel 数据连接器
将 Microsoft Sentinel 载入工作区后,使用数据连接器以开始将数据引入 Microsoft Sentinel。 Microsoft Sentinel 附带了许多适用于 Microsoft 服务的现用连接器,可以进行实时集成。
内置连接器可以连接到非 Microsoft 产品的更广泛的安全生态系统。 例如,使用 Syslog、通用事件格式 (CEF) 或 REST API 将数据源与 Microsoft Sentinel 连接。
随解决方案一起提供的数据连接器
Microsoft Sentinel 解决方案提供打包的安全内容,其中包括数据连接器、工作簿、分析规则、playbook 等。 部署使用数据连接器的解决方案时,你将获取数据连接器以及同一部署中的相关内容。
Microsoft Sentinel“数据连接器”页列出了已安装或正在使用的数据连接器。
若要添加更多数据连接器,请从内容中心安装与数据连接器关联的解决方案。 有关详细信息,请参阅以下文章:
- 查找 Microsoft Sentinel 数据连接器
- 关于 Microsoft Sentinel 内容和解决方案
- 发现和管理 Microsoft Sentinel 现成内容
- Microsoft Sentinel 内容中心目录
数据连接器的 REST API 集成
许多安全技术提供了一组用于检索日志文件的 API。 某些数据源可以使用这些 API 连接到 Microsoft Sentinel。
使用 API 的数据连接器或是从提供程序端集成,或是使用 Azure Functions 集成,具体如以下部分所述。
提供商端的集成
由提供商构建的 API 集成将与提供商数据源连接,并使用 Azure Monitor 数据收集器 API 将数据推送到 Microsoft Sentinel 自定义日志表。 有关详细信息,请参阅使用 HTTP 数据收集器 API 将日志数据发送到 Azure Monitor。
了解 REST API 集成,请参阅提供程序文档和将数据源连接到 Microsoft Sentinel 的 REST-API 以引入数据。
使用 Azure Functions 进行集成
使用 Azure Functions 与提供程序 API 连接的集成首先会格式化数据,然后使用 Azure Monitor 数据收集器 API 将数据发送至 Microsoft Sentinel 自定义日志表。
有关详细信息,请参阅:
使用 Azure Functions 的集成可能会产生额外的数据引入成本,这是因为你在 Azure 组织中托管 Azure Functions。 详细了解 Azure Functions 定价。
基于代理的数据连接器集成
Microsoft Sentinel 可以使用 Azure Monitor 服务(Microsoft Sentinel 所基于的服务)提供的代理,从任何可以执行实时日志流式传输的数据源收集数据。 例如,大多数本地数据源通过基于代理的集成进行连接。
以下部分介绍基于 Microsoft Sentinel 代理的数据连接器的不同类型。 若要使用基于代理的机制配置连接,请按照每个 Microsoft Sentinel 数据连接器页中的步骤进行操作。
重要
Log Analytics 代理将于 2024 年 8 月 31 日停用,并由 Azure Monitor 代理 (AMA) 取代。 如果要在 Microsoft Sentinel 部署中使用 Log Analytics 代理,我们建议你开始计划到 AMA 的迁移。 有关详细信息,请参阅 Microsoft Sentinel 的 AMA 迁移。
Syslog 和通用事件格式 (CEF)
可以使用 Azure Monitor 代理 (AMA) 将事件从支持 Syslog 的 Linux 设备流式传输到 Microsoft Sentinel。 日志格式各不相同,但许多源支持基于 CEF 的格式设置。 根据设备类型,可以直接在设备上安装代理,或在专用的 Linux 日志转发器上安装代理。 AMA 通过 UDP 从 Syslog 守护程序接收纯 Syslog 或 CEF 事件消息。 Syslog 守护程序会在内部将事件转发给代理,从而通过 TCP 或 UDS(Unix 域套接字)进行通信,具体取决于版本。 然后,AMA 将这些事件传输到 Microsoft Sentinel 工作区。
下面是一个简单的流,其中显示了 Microsoft Sentinel 如何流式传输 Syslog 数据。
- 设备的内置 Syslog 守护程序会收集指定类型的本地事件,并在本地将其转发到代理。
- 代理将事件流式传输到 Log Analytics 工作区。
- 成功配置后,Syslog 消息会显示在 Log Analytics Syslog 表中,而 CEF 消息会显示在 CommonSecurityLog 表中。
有关详细信息,请参阅适用于 Microsoft Sentinel 的经由 AMA 的 Syslog 连接器和通用事件格式 (CEF) 连接器。
自定义日志
对于某些数据源,可以使用 Log Analytics 自定义日志收集代理将日志收集为 Windows 或 Linux 计算机上的文件。
若要使用 Log Analytics 自定义日志收集代理进行连接,请按照每个 Microsoft Sentinel 数据连接器页中的步骤进行操作。 成功配置后,数据将显示在自定义表中。
有关详细信息,请参阅使用 Log Analytics 代理将数据以自定义日志格式收集到 Microsoft Sentinel。
数据连接器的服务到服务集成
Microsoft Sentinel 使用 Azure 基础为 Microsoft 服务提供开箱即用的服务到服务支持。
有关详细信息,请参阅以下文章:
数据连接器支持
Microsoft 和其他组织都会创作 Microsoft Sentinel 数据连接器。 每个数据连接器具有 Microsoft Sentinel 数据连接器页上列出的以下支持类型之一。
| 支持类型 | 说明 |
|---|---|
| Microsoft 支持 | 适用于:
合作伙伴或社区支持由除 Microsoft 以外的任何一方开发的数据连接器。 |
| 合作伙伴支持 | 适用于由 Microsoft 之外的各方开发的数据连接器。 合作伙伴公司可为这些数据连接器提供支持或维护。 合作伙伴公司可以是独立软件供应商、托管服务提供商 (MSP/MSSP)、系统集成商 (SI) 或在该数据连接器的 Microsoft Sentinel 页上提供其联系信息的任何组织。 对于有关合作伙伴支持的数据连接器的任何问题,请联系指定的数据连接器支持联系人。 |
| 社区支持 | 适用于由 Microsoft 或合作伙伴开发人员开发、但未在 Microsoft Sentinel 中的数据连接器页列出数据连接器支持和维护联系人的数据连接器。 对于有关这些数据连接器的问题,可以在 Microsoft Sentinel GitHub 社区提出问题。 |
有关详细信息,请参阅查找对数据连接器的支持。
后续步骤
有关数据连接器的详细信息,请参阅以下文章。
有关用于在 Microsoft Sentinel 中部署数据连接器的 Bicep、Azure 资源管理器和 Terraform 的基本基础结构即代码 (IaC) 参考,请参阅 Microsoft Sentinel 数据连接器 IaC 参考。