閱讀英文

共用方式為

查找 Microsoft Sentinel 数据连接器

本文列出了所有受支持的现成数据连接器,以及指向每个连接器部署步骤的链接。

重要

请注意,Microsoft Sentinel 数据连接器目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。

数据连接器作为以下产品/服务的一部分提供:

数据连接器先决条件

每个数据连接器都有自己的一组先决条件。 先决条件可能包括你必须对 Azure 工作区、订阅或策略具有特定权限。 或者,你必须满足要连接到的合作伙伴数据源的其他要求。

每个数据连接器的先决条件列在 Microsoft Sentinel 的相关数据连接器页上。

基于 Azure Monitor 代理 (AMA) 的数据连接器需要从安装了该代理的系统建立互联网连接。 启用端口 443 出站,以允许在安装了该代理的系统与 Microsoft Sentinel 之间建立连接。

Syslog 和通用事件格式 (CEF) 连接器

Microsoft Sentinel 中,数据连接器 Syslog 通过 AMA通用事件格式(CEF) 支持从许多安全设备和设备收集日志。 若要将数据转发到 Log Analytics 工作区以Microsoft Sentinel,请完成使用 Azure Monitor 代理将 syslog 和 CEF 消息引入到 Microsoft Sentinel 的步骤。 这些步骤包括从 Microsoft Sentinel 中的内容中心为安全装置或设备安装 Microsoft Sentinel 解决方案。 然后配置与你所安装 Microsoft Sentinel 解决方案相应的 Syslog via AMA 或 Common Event Format (CEF) via AMA 数据连接器。 通过配置安全设备或装置来完成设置。

请联系解决方案提供商以获取详细信息,或信息不适用于你的设备的情况。

通过 AMA 连接器自定义日志

通过使用 Microsoft Sentinel 中的 AMA 连接器使用自定义日志 ,从 Windows 或 Linux 计算机上安装的网络或安全应用程序筛选和引入文本文件格式的日志。 如需了解更多信息,请参阅以下文章:

Sentinel 数据连接器

注意

下表列出了Microsoft Sentinel 内容中心提供的数据连接器。 产品供应商支持连接器。 有关支持,请参阅下表中 “支持的 ”列中的链接。

连接器 支持的服务
AliCloud (使用 Azure Functions)
AliCloud 数据连接器提供了使用云 API 从云应用程序中检索日志的功能,并通过 REST API 将事件存储到 Microsoft Sentinel 中。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。

Log Analytics 表(s):
- AliCloud_CL

数据收集规则支持:
目前不支持

先决条件
- Microsoft.Web/sites 权限:需要读取和写入 Azure Functions 以创建 Function App 的权限。 有关详细信息,请参阅 Azure Functions

- REST API 凭据/权限:进行 API 调用需要 AliCloudAccessKeyIdAliCloudAccessKey

Microsoft Corporation
Azure 活动
Azure 活动日志是订阅日志,可便于用户深入了解 Azure 中发生的订阅级别事件,包括来自 Azure 资源管理器操作数据的事件、服务运行状况事件、对订阅中的资源执行的写入操作,以及在 Azure 中执行的活动的状态。

Log Analytics 表(s):
- AzureActivity

数据收集规则支持:
当前不支持

Microsoft Corporation
Azure 防火墙
连接到 Azure 防火墙。 Azure 防火墙是托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。

Log Analytics 表(s):
- AzureDiagnostics
- AZFWApplicationRule
- AZFWFlowTrace
- AZFWFatFlow
- AZFWNatRule
- AZFWDnsQuery
- AZFWIdpsSignature
- AZFWInternalFqdnResolutionFailure
- AZFWNetworkRule
- AZFWThreatIntel

数据收集规则支持:
当前不支持

Microsoft Corporation
Azure Key Vault
Azure Key Vault 是一种云服务,用于安全地存储和访问机密。 机密是想要严格控制对访问权限的任何内容,例如 API 密钥、密码、证书或加密密钥。 使用此连接器可将 Azure Key Vault 诊断日志流式传输到 Microsoft Sentinel 中,以便持续监视所有实例中的活动。

Log Analytics 表(s):
- AzureDiagnostics

数据收集规则支持:
当前不支持

Microsoft Corporation
Azure Kubernetes 服务 (AKS)
Azure Kubernetes 服务 (AKS) 是一项完全托管的开放源代码容器业务流程服务,可用于在群集环境中部署、缩放和管理 Docker 容器和基于容器的应用程序。 使用此连接器可将 Azure Kubernetes 服务 (AKS) 诊断日志流式传输到 Microsoft Sentinel 中,便于持续监视所有实例中的活动。

Log Analytics 表(s):
- AzureDiagnostics

数据收集规则支持:
当前不支持

Microsoft Corporation
Azure SQL 数据库
Azure SQL 是一种完全托管的平台即服务 (PaaS) 数据库引擎,可在没有用户参与的情况下处理大部分数据库管理功能,例如升级、修补、备份和监视。 通过此连接器,可将 Azure SQL 数据库审核日志和诊断日志流式传输到 Microsoft Sentinel,从而能够持续监视所有实例中的活动。

Log Analytics 表(s):
- AzureDiagnostics

数据收集规则支持:
当前不支持

Microsoft Corporation
Azure 存储帐户
Azure 存储帐户适用于新式数据存储方案的云解决方案。 它包含所有数据对象:Blob、文件、队列、表和磁盘。 使用此连接器,可以将 Azure 存储帐户诊断日志流式传输到 Microsoft Sentinel 工作区,从而能够持续监视所有实例中的活动,并检测组织中的恶意活动。

Log Analytics 表(s):
- AzureMetrics
- StorageBlobLogs
- StorageQueueLogs
- StorageTableLogs
- StorageFileLogs

数据收集规则支持:
目前不支持

先决条件
- 策略:为每个策略分配范围分配的所有者角色

Microsoft Corporation
Azure Web 应用程序防火墙 (WAF)
连接到应用程序网关或 CDN 的 Azure Web 应用程序防火墙(WAF)。 此 WAF 可保护你的应用程序免受 SQL 注入和跨站脚本等常见 Web 漏洞的侵害,并允许你自定义规则以减少误报。 安装过程中会显示有关将Microsoft Web 应用程序防火墙日志流式传输到 Microsoft Sentinel 的说明。

Log Analytics 表(s):
- AzureDiagnostics

数据收集规则支持:
当前不支持

Microsoft Corporation
Cisco ASA/FTD 通过 AMA (预览版)
使用 Cisco ASA 防火墙连接器,可以将 Cisco ASA 日志轻松连接到 Microsoft Sentinel,以查看仪表板、创建自定义警报并改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。

Log Analytics 表(s):
- CommonSecurityLog

数据收集规则支持:
工作空间变换 DCR

先决条件
- 若要从非 Azure VM 收集数据,必须安装并启用 Azure Arc。 了解更多信息

Microsoft Corporation
DNS
使用 DNS 日志连接器,可以轻松地将 DNS 分析和审核日志与 Microsoft Sentinel 和其他相关数据连接,以改进调查。

启用 DNS 日志收集时,可以:
- 标识尝试解析恶意域名的客户端。
- 标识过时的资源记录。
- 识别经常查询的域名和对话 DNS 客户端。
- 查看 DNS 服务器上的请求负载。
- 查看动态 DNS 注册失败。

有关详细信息,请参阅 Microsoft Sentinel 文档

Log Analytics 表(s):
- DnsEvents
- DnsInventory

数据收集规则支持:
当前不支持

Microsoft Corporation
弹性代理 (独立)
Elastic Agent 数据连接器提供将 Elastic Agent 日志、指标和安全数据引入 Microsoft Sentinel 的功能。

Log Analytics 表(s):
- ElasticAgentEvent

数据收集规则支持:
目前不支持

先决条件
- 如果连接需要,请包括自定义先决条件 - 否则删除海关:任何自定义先决条件的说明

Microsoft Corporation
F5 BIG-IP
使用 F5 防火墙连接器,可以将 F5 日志轻松连接到 Microsoft Sentinel,以查看仪表板、创建自定义警报并改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。

Log Analytics 表(s):
- F5Telemetry_LTM_CL
- F5Telemetry_system_CL
- F5Telemetry_ASM_CL

数据收集规则支持:
当前不支持

F5 网络
Microsoft 365(前,Office 365)
Microsoft 365(前身为 Office 365)活动日志连接器提供关于正在进行的用户活动的见解。 你将获取作的详细信息,例如文件下载、发送的访问请求、对组事件的更改、设置邮箱和执行作的用户的详细信息。 通过将 Microsoft 365 日志连接到 Microsoft Sentinel,你可以使用此数据查看仪表板、创建自定义警报以及改善调查过程。 有关详细信息,请参阅 Microsoft Sentinel 文档

Log Analytics 表(s):
- OfficeActivity

数据收集规则支持:
当前不支持

Microsoft Corporation
Microsoft Entra ID
通过将审核和登录日志连接到 Microsoft Sentinel 来收集有关 Microsoft Entra ID 方案的见解,从而深入了解 Microsoft Entra ID。 可以使用登录日志来了解应用使用情况、条件访问策略和旧版身份验证的相关详细信息。 可以使用审核日志表来了解有关自助式密码重置 (SSPR) 使用情况、Microsoft Entra ID 管理活动(例如用户、组、角色和应用管理)的信息。 有关详细信息,请参阅 Microsoft Sentinel 文档

Log Analytics 表(s):
- SigninLogs
- AuditLogs
- AADNonInteractiveUserSignInLogs
- AADServicePrincipalSignInLogs
- AADManagedIdentitySignInLogs
- AADProvisioningLogs
- ADFSSignInLogs
- AADUserRiskEvents
- AADRiskyUsers
- NetworkAccessTraffic
- AADRiskyServicePrincipals
- AADServicePrincipalRiskEvents

数据收集规则支持:
当前不支持

Microsoft Corporation
Palo Alto Prisma Cloud CSPM (使用 Azure Functions)
Palo Alto Prisma Cloud CSPM 数据连接器能够使用 Prisma Cloud CSPM API 将 Prisma Cloud CSPM 警报审核日志引入 Microsoft Sentinel。 有关详细信息,请参阅 Prisma Cloud CSPM API 文档

Log Analytics 表(s):
- PaloAltoPrismaCloudAlert_CL
- PaloAltoPrismaCloudAudit_CL

数据收集规则支持:
目前不支持

先决条件
- Microsoft.Web/sites 权限:需要读取和写入 Azure Functions 以创建 Function App 的权限。 有关详细信息,请参阅 Azure Functions

- Palo Alto Prisma 云 API 凭据Prisma 云 API URLPrisma 云访问密钥 IDPrisma 云密钥是 Prisma 云 API 连接所必需的。 请参阅文档,了解有关创建 Prisma 云访问密钥以及如何获取 Prisma 云 API URL 的详细信息

Microsoft Corporation
威胁情报 - TAXII
Microsoft Sentinel 集成了 TAXII 2.0 和 2.1 数据源,你可以使用威胁情报来进行监视、发出警报和搜寻。 使用此连接器将支持的 STIX 对象类型从 TAXII 服务器发送到 Microsoft Sentinel。 威胁指标可以包括 IP 地址、域、URL 和文件哈希。 有关详细信息,请参阅 Microsoft Sentinel 文档>

Log Analytics 表(s):
- ThreatIntelligenceIndicator

数据收集规则支持:
当前不支持

Microsoft Corporation
通过 AMA 的 Windows DNS 事件
通过 Windows DNS 日志连接器,可以使用 Azure Monitoring Agent (AMA) 轻松筛选所有分析日志并将其从 Windows DNS 服务器流式传输到 Microsoft Sentinel 工作区。 在 Microsoft Sentinel 中提供此数据有助于识别问题和安全威胁,例如:
- 尝试解析恶意域名。
- 过时的资源记录。
- 经常查询域名和对话 DNS 客户端。
- 对 DNS 服务器执行的攻击。

可以从 Microsoft Sentinel 获取对 Windows DNS 服务器的以下见解:
- 将所有日志集中到一个位置。
- 在 DNS 服务器上请求负载。
- 动态 DNS 注册失败。

高级 SIEM 信息模型 (ASIM) 支持 Windows DNS 事件,并将数据流式传输到 ASimDnsActivityLogs 表。 了解详细信息

有关详细信息,请参阅 Microsoft Sentinel 文档

Log Analytics 表(s):
- ASimDnsActivityLogs

数据收集规则支持:
当前不支持

Microsoft Corporation
Windows 防火墙
Windows 防火墙是一款 Microsoft Windows 应用程序,用于筛选从 Internet 传入系统的信息并阻止可能有害的程序。 该软件通过防火墙阻止大多数程序进行通信。 用户只需将程序添加到允许的程序列表中即可允许它通过防火墙进行通信。 使用公用网络时,Windows 防火墙还可以通过阻止所有未经请求的尝试连接到计算机来保护系统。 有关详细信息,请参阅 Microsoft Sentinel 文档

Log Analytics 表(s):
- WindowsFirewall

数据收集规则支持:
当前不支持

Microsoft Corporation
通过 AMA 的 Windows 防火墙事件
Windows 防火墙是一款 Microsoft Windows 应用程序,用于筛选从 Internet 传入系统的信息并阻止可能有害的程序。 防火墙软件通过防火墙阻止大多数程序进行通信。 要流式传输从你的计算机收集的 Windows 防火墙应用程序日志,请使用 Azure Monitor 代理 (AMA) 将这些日志流式传输到 Microsoft Sentinel 工作区。

需要将配置的数据收集终结点 (DCE) 与为 AMA 创建的数据收集规则 (DCR) 链接在一起,以收集日志。 对于此连接器,将在与工作区相同的区域中创建 DCE。 如果已使用存储在同一区域中的 DCE,则可以更改默认创建的 DCE 并通过 API 使用现有 DCE。 DCE 可以位于资源名称中具有“SentinelDCE”前缀的资源中

如需了解更多信息,请参阅以下文章:
- Azure Monitor 中的数据收集终结点
- Microsoft Sentinel 文档

Log Analytics 表(s):
- ASimNetworkSessionLogs

数据收集规则支持:
当前不支持

Microsoft Corporation
Windows 转发事件
可以使用 Azure Monitor 代理 (AMA) 从连接到 Microsoft Sentinel 工作区的 Windows Server 流式传输所有 Windows 事件转发 (WEF) 日志。
通过此连接,能够查看仪表板、创建自定义警报和改进调查。
这样,用户就可以更深入地了解组织的网络并改善安全操作功能。 有关详细信息,请参阅 Microsoft Sentinel 文档

Log Analytics 表(s):
- WindowsEvent

数据收集规则支持:
当前不支持

Microsoft Corporation
通过 AMA 的 Windows 安全事件
可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有安全事件。 通过此连接,能够查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。 有关详细信息,请参阅 Microsoft Sentinel 文档

Log Analytics 表(s):
- SecurityEvent

数据收集规则支持:
当前不支持

Microsoft Corporation
Wiz (使用 Azure Functions)
借助 Wiz 连接器,可以轻松地将 Wiz 问题、漏洞发现和审核日志发送到 Microsoft Sentinel。

Log Analytics 表(s):
- union isfuzzy=true <br>(WizIssues_CL),<br>(WizIssuesV2_CL)
- union isfuzzy=true <br>(WizVulnerabilities_CL),<br>(WizVulnerabilitiesV2_CL)
- union isfuzzy=true <br>(WizAuditLogs_CL),<br>(WizAuditLogsV2_CL)

数据收集规则支持:
目前不支持

先决条件
- Microsoft.Web/sites 权限:需要读取和写入 Azure Functions 以创建 Function App 的权限。 有关详细信息,请参阅 Azure Functions

- Wiz 服务帐户凭据:确保拥有 Wiz 服务帐户客户端 ID 和客户端密码、API 终结点 URL 和身份验证 URL。 可以在 Wiz 文档中找到说明。

奇才

已弃用的 Sentinel 数据连接器

注意

下表列出了已弃用和旧数据连接器。 不再支持弃用的连接器。

连接器 支持的服务
通过旧代理的安全事件
可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有安全事件。 通过此连接,能够查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。 有关详细信息,请参阅 Microsoft Sentinel 文档

Log Analytics 表(s):
- SecurityEvent

数据收集规则支持:
当前不支持

Microsoft Corporation
基于订阅的 Microsoft Defender for Cloud (旧版)
Microsoft Defender for Cloud 是一种安全管理工具,可用于检测并快速响应 Azure、混合和多云工作负载中的威胁。 此连接器允许将安全警报从 Microsoft Defender for Cloud 流式传输到 Microsoft Sentinel,以便你可以在工作簿中查看 Defender 数据,对其进行查询以生成警报,以及调查和响应事件。

详细信息>

Log Analytics 表(s):
- SecurityAlert

数据收集规则支持:
当前不支持

Microsoft Corporation
通过旧代理的 Syslog
Syslog 是普遍适用于 Linux 的事件日志记录协议。 应用程序将发送可能存储在本地计算机或传递到 Syslog 收集器的消息。 安装适用于 Linux 的代理后,它将配置本地 Syslog 守护程序,以将消息转发到代理。 然后,代理会将消息发送到工作区。

了解详细信息>

Log Analytics 表(s):
- Syslog

数据收集规则支持:
工作区转换 DCR

Microsoft Corporation

后续步骤

有关详细信息,请参阅: