将数据源连接到 Microsoft Sentinel 数据收集器 API 以引入数据
由第三方供应商构建的 API 集成会从其产品的数据源中提取数据,并连接到 Microsoft Sentinel 的 Azure Monitor 数据收集器 API,将数据推送到 Microsoft Sentinel 工作区中的自定义日志表。
大多数情况下,可在每个供应商的文档中找到配置这些数据源以连接到 Microsoft Sentinel 所需的全部信息。
查看数据连接器参考页中的产品部分,了解其中可能出现的任何额外说明,并获得供应商说明的链接。
数据将存储在运行 Microsoft Sentinel 的工作区的地理位置。
先决条件
必须对 Microsoft Sentinel 工作区拥有读取和写入权限。
必须有工作区的共享密钥的读取权限。 详细了解工作区密钥。
从 Microsoft Sentinel 的内容中心安装产品的解决方案。 有关详细信息,请参阅发现和管理 Microsoft Sentinel 的现成内容。
配置和连接数据源
在 Microsoft Sentinel 门户中,在导航菜单中选择“数据连接器”。
从数据连接器库中选择你的产品项,然后选择“打开连接器页面”按钮。
按照连接器页面上显示的任何步骤进行操作,或者按照页面上显示的供应商说明的链接进行操作。
当系统要求输入工作区 ID 和主键时,请从数据连接器页复制它们并按照供应商的说明将它们粘贴到配置中。 请参阅以下示例。
查找数据
成功建立连接后,数据将显示在“自定义日志”部分的“日志”中 。 从表名称的数据连接器引用查找产品的页面。
若要查询产品中的数据,请在查询中使用这些表名称。
此过程可能需要长达 20 分钟,日志才会开始出现在 Log Analytics 中。
后续步骤
本文档介绍了如何将外部数据源连接到 Microsoft Sentinel 数据收集器 API。
若要详细了解 Microsoft Sentinel,请参阅以下文章:
- 开始使用 Microsoft Sentinel 检测威胁。
- 使用工作簿监视数据。