使用基于 API 的数据连接器将 Microsoft Sentinel 连接到其他 Microsoft 服务

本文介绍如何与 Microsoft Sentinel 建立基于 API 的连接。 Microsoft Sentinel 使用 Azure 基础为来自许多 Azure 和 Microsoft 365 服务和各种 Windows Server 服务的数据引入提供内置的服务到服务支持。 可以通过几种不同的方法建立这些连接。

本文介绍基于 API 的数据连接器组的通用信息。

先决条件

  • 必须对 Log Analytics 工作区拥有读取和写入权限。

  • 必须在 Microsoft Sentinel 工作区的租户上具有安全管理员角色或等效的权限。

  • 数据连接器特定要求:

    数据连接器 许可、成本和其他先决条件
    Microsoft Defender for Cloud Apps 对于 Cloud Discovery 日志,请在 Microsoft Defender for Cloud Apps 中启用 Microsoft Sentinel 作为 SIEM
    Microsoft Office 365 - Office 365 部署必须与 Microsoft Sentinel 工作区在同一租户中。
    - 可能会收取其他费用。

通过基于 API 的连接器连接到 Microsoft 服务

  1. 在 Microsoft Sentinel 导航菜单中,选择“数据连接器”。

  2. 从数据连接器库中选择服务,然后在预览窗格中选择“打开连接器页面”。

  3. 选择“连接”,开始将服务中的事件和/或警报流式传输到 Microsoft Sentinel。

  4. 如果连接器页面上有一个标题为“创建事件 - 推荐!”的部分,并且你想要根据警报自动创建事件,请选择“启用” 。

可以使用数据连接器参考页面中的服务连接器部分中出现的表名查找和查询每个服务的数据。

有关详细信息,请参阅: