本文列出了所有受支持的现成数据连接器,以及指向每个连接器部署步骤的链接。
重要
请注意,Microsoft Sentinel 数据连接器目前为预览版。 Azure 预览版补充条款包含适用于 beta 版、预览版或其他尚未正式发布的 Azure 功能的其他法律条款。
数据连接器作为以下产品/服务的一部分提供:
解决方案:许多数据连接器连同相关的分析规则、工作簿和 playbook 等内容,部署为 Microsoft Sentinel 解决方案的一部分。 有关详细信息,请参阅 Microsoft Sentinel 解决方案目录。
社区连接器:更多数据连接器由 Microsoft Sentinel 社区提供,可在 Azure 市场中找到。 社区数据连接器的相关文档由创建连接器的组织负责。
自定义连接器:如果你有未列出或当前不受支持的数据源,则还可自行创建自定义连接器。 有关详细信息,请参阅用于创建 Microsoft Sentinel 自定义连接器的资源。
每个数据连接器都有自己的一组先决条件。 先决条件可能包括你必须对 Azure 工作区、订阅或策略具有特定权限。 或者,你必须满足要连接到的合作伙伴数据源的其他要求。
每个数据连接器的先决条件列在 Microsoft Sentinel 的相关数据连接器页上。
基于 Azure Monitor 代理 (AMA) 的数据连接器需要从安装了该代理的系统建立互联网连接。 启用端口 443 出站,以允许在安装了该代理的系统与 Microsoft Sentinel 之间建立连接。
Microsoft Sentinel 中,数据连接器 Syslog 通过 AMA 或 通用事件格式(CEF) 支持从许多安全设备和设备收集日志。 若要将数据转发到 Log Analytics 工作区以Microsoft Sentinel,请完成使用 Azure Monitor 代理将 syslog 和 CEF 消息引入到 Microsoft Sentinel 的步骤。 这些步骤包括从 Microsoft Sentinel 中的内容中心为安全装置或设备安装 Microsoft Sentinel 解决方案。 然后配置与你所安装 Microsoft Sentinel 解决方案相应的 Syslog via AMA 或 Common Event Format (CEF) via AMA 数据连接器。 通过配置安全设备或装置来完成设置。
请联系解决方案提供商以获取详细信息,或信息不适用于你的设备的情况。
通过使用 Microsoft Sentinel 中的 AMA 连接器使用自定义日志 ,从 Windows 或 Linux 计算机上安装的网络或安全应用程序筛选和引入文本文件格式的日志。 如需了解更多信息,请参阅以下文章:
注意
下表列出了Microsoft Sentinel 内容中心提供的数据连接器。 产品供应商支持连接器。 有关支持,请参阅下表中 “支持的 ”列中的链接。
连接器 | 支持的服务 |
---|---|
AliCloud (使用 Azure Functions)AliCloud 数据连接器提供了使用云 API 从云应用程序中检索日志的功能,并通过 REST API 将事件存储到 Microsoft Sentinel 中。 连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。
Log Analytics 表(s):
数据收集规则支持:
先决条件: - REST API 凭据/权限:进行 API 调用需要 AliCloudAccessKeyId 和 AliCloudAccessKey 。 |
Microsoft Corporation |
Azure 活动Azure 活动日志是订阅日志,可便于用户深入了解 Azure 中发生的订阅级别事件,包括来自 Azure 资源管理器操作数据的事件、服务运行状况事件、对订阅中的资源执行的写入操作,以及在 Azure 中执行的活动的状态。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
Azure 防火墙连接到 Azure 防火墙。 Azure 防火墙是托管的基于云的网络安全服务,可保护 Azure 虚拟网络资源。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
Azure Key VaultAzure Key Vault 是一种云服务,用于安全地存储和访问机密。 机密是想要严格控制对访问权限的任何内容,例如 API 密钥、密码、证书或加密密钥。 使用此连接器可将 Azure Key Vault 诊断日志流式传输到 Microsoft Sentinel 中,以便持续监视所有实例中的活动。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
Azure Kubernetes 服务 (AKS)Azure Kubernetes 服务 (AKS) 是一项完全托管的开放源代码容器业务流程服务,可用于在群集环境中部署、缩放和管理 Docker 容器和基于容器的应用程序。 使用此连接器可将 Azure Kubernetes 服务 (AKS) 诊断日志流式传输到 Microsoft Sentinel 中,便于持续监视所有实例中的活动。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
Azure SQL 数据库Azure SQL 是一种完全托管的平台即服务 (PaaS) 数据库引擎,可在没有用户参与的情况下处理大部分数据库管理功能,例如升级、修补、备份和监视。 通过此连接器,可将 Azure SQL 数据库审核日志和诊断日志流式传输到 Microsoft Sentinel,从而能够持续监视所有实例中的活动。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
Azure 存储帐户Azure 存储帐户适用于新式数据存储方案的云解决方案。 它包含所有数据对象:Blob、文件、队列、表和磁盘。 使用此连接器,可以将 Azure 存储帐户诊断日志流式传输到 Microsoft Sentinel 工作区,从而能够持续监视所有实例中的活动,并检测组织中的恶意活动。
Log Analytics 表(s):
数据收集规则支持:
先决条件: |
Microsoft Corporation |
Azure Web 应用程序防火墙 (WAF)连接到应用程序网关或 CDN 的 Azure Web 应用程序防火墙(WAF)。 此 WAF 可保护你的应用程序免受 SQL 注入和跨站脚本等常见 Web 漏洞的侵害,并允许你自定义规则以减少误报。 安装过程中会显示有关将Microsoft Web 应用程序防火墙日志流式传输到 Microsoft Sentinel 的说明。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
Cisco ASA/FTD 通过 AMA (预览版)使用 Cisco ASA 防火墙连接器,可以将 Cisco ASA 日志轻松连接到 Microsoft Sentinel,以查看仪表板、创建自定义警报并改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。
Log Analytics 表(s):
数据收集规则支持:
先决条件: |
Microsoft Corporation |
DNS使用 DNS 日志连接器,可以轻松地将 DNS 分析和审核日志与 Microsoft Sentinel 和其他相关数据连接,以改进调查。 启用 DNS 日志收集时,可以: - 标识尝试解析恶意域名的客户端。 - 标识过时的资源记录。 - 识别经常查询的域名和对话 DNS 客户端。 - 查看 DNS 服务器上的请求负载。 - 查看动态 DNS 注册失败。 有关详细信息,请参阅 Microsoft Sentinel 文档。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
弹性代理 (独立)Elastic Agent 数据连接器提供将 Elastic Agent 日志、指标和安全数据引入 Microsoft Sentinel 的功能。
Log Analytics 表(s):
数据收集规则支持:
先决条件: |
Microsoft Corporation |
F5 BIG-IP使用 F5 防火墙连接器,可以将 F5 日志轻松连接到 Microsoft Sentinel,以查看仪表板、创建自定义警报并改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。
Log Analytics 表(s):
数据收集规则支持: |
F5 网络 |
Microsoft 365(前,Office 365)Microsoft 365(前身为 Office 365)活动日志连接器提供关于正在进行的用户活动的见解。 你将获取作的详细信息,例如文件下载、发送的访问请求、对组事件的更改、设置邮箱和执行作的用户的详细信息。 通过将 Microsoft 365 日志连接到 Microsoft Sentinel,你可以使用此数据查看仪表板、创建自定义警报以及改善调查过程。 有关详细信息,请参阅 Microsoft Sentinel 文档。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
Microsoft Entra ID通过将审核和登录日志连接到 Microsoft Sentinel 来收集有关 Microsoft Entra ID 方案的见解,从而深入了解 Microsoft Entra ID。 可以使用登录日志来了解应用使用情况、条件访问策略和旧版身份验证的相关详细信息。 可以使用审核日志表来了解有关自助式密码重置 (SSPR) 使用情况、Microsoft Entra ID 管理活动(例如用户、组、角色和应用管理)的信息。 有关详细信息,请参阅 Microsoft Sentinel 文档。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
Palo Alto Prisma Cloud CSPM (使用 Azure Functions)Palo Alto Prisma Cloud CSPM 数据连接器能够使用 Prisma Cloud CSPM API 将 Prisma Cloud CSPM 警报和审核日志引入 Microsoft Sentinel。 有关详细信息,请参阅 Prisma Cloud CSPM API 文档。
Log Analytics 表(s):
数据收集规则支持:
先决条件: - Palo Alto Prisma 云 API 凭据: Prisma 云 API URL、 Prisma 云访问密钥 ID、 Prisma 云密钥是 Prisma 云 API 连接所必需的。 请参阅文档,了解有关创建 Prisma 云访问密钥以及如何获取 Prisma 云 API URL 的详细信息 |
Microsoft Corporation |
威胁情报 - TAXIIMicrosoft Sentinel 集成了 TAXII 2.0 和 2.1 数据源,你可以使用威胁情报来进行监视、发出警报和搜寻。 使用此连接器将支持的 STIX 对象类型从 TAXII 服务器发送到 Microsoft Sentinel。 威胁指标可以包括 IP 地址、域、URL 和文件哈希。 有关详细信息,请参阅 Microsoft Sentinel 文档>。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
通过 AMA 的 Windows DNS 事件通过 Windows DNS 日志连接器,可以使用 Azure Monitoring Agent (AMA) 轻松筛选所有分析日志并将其从 Windows DNS 服务器流式传输到 Microsoft Sentinel 工作区。 在 Microsoft Sentinel 中提供此数据有助于识别问题和安全威胁,例如: - 尝试解析恶意域名。 - 过时的资源记录。 - 经常查询域名和对话 DNS 客户端。 - 对 DNS 服务器执行的攻击。 可以从 Microsoft Sentinel 获取对 Windows DNS 服务器的以下见解: - 将所有日志集中到一个位置。 - 在 DNS 服务器上请求负载。 - 动态 DNS 注册失败。 高级 SIEM 信息模型 (ASIM) 支持 Windows DNS 事件,并将数据流式传输到 ASimDnsActivityLogs 表。 了解详细信息。 有关详细信息,请参阅 Microsoft Sentinel 文档。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
Windows 防火墙Windows 防火墙是一款 Microsoft Windows 应用程序,用于筛选从 Internet 传入系统的信息并阻止可能有害的程序。 该软件通过防火墙阻止大多数程序进行通信。 用户只需将程序添加到允许的程序列表中即可允许它通过防火墙进行通信。 使用公用网络时,Windows 防火墙还可以通过阻止所有未经请求的尝试连接到计算机来保护系统。 有关详细信息,请参阅 Microsoft Sentinel 文档。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
通过 AMA 的 Windows 防火墙事件Windows 防火墙是一款 Microsoft Windows 应用程序,用于筛选从 Internet 传入系统的信息并阻止可能有害的程序。 防火墙软件通过防火墙阻止大多数程序进行通信。 要流式传输从你的计算机收集的 Windows 防火墙应用程序日志,请使用 Azure Monitor 代理 (AMA) 将这些日志流式传输到 Microsoft Sentinel 工作区。 需要将配置的数据收集终结点 (DCE) 与为 AMA 创建的数据收集规则 (DCR) 链接在一起,以收集日志。 对于此连接器,将在与工作区相同的区域中创建 DCE。 如果已使用存储在同一区域中的 DCE,则可以更改默认创建的 DCE 并通过 API 使用现有 DCE。 DCE 可以位于资源名称中具有“SentinelDCE”前缀的资源中。 如需了解更多信息,请参阅以下文章: - Azure Monitor 中的数据收集终结点 - Microsoft Sentinel 文档
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
Windows 转发事件可以使用 Azure Monitor 代理 (AMA) 从连接到 Microsoft Sentinel 工作区的 Windows Server 流式传输所有 Windows 事件转发 (WEF) 日志。 通过此连接,能够查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。 有关详细信息,请参阅 Microsoft Sentinel 文档。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
通过 AMA 的 Windows 安全事件可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有安全事件。 通过此连接,能够查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。 有关详细信息,请参阅 Microsoft Sentinel 文档。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
Wiz (使用 Azure Functions)借助 Wiz 连接器,可以轻松地将 Wiz 问题、漏洞发现和审核日志发送到 Microsoft Sentinel。
Log Analytics 表(s):
数据收集规则支持:
先决条件: - Wiz 服务帐户凭据:确保拥有 Wiz 服务帐户客户端 ID 和客户端密码、API 终结点 URL 和身份验证 URL。 可以在 Wiz 文档中找到说明。 |
奇才 |
注意
下表列出了已弃用和旧数据连接器。 不再支持弃用的连接器。
连接器 | 支持的服务 |
---|---|
通过旧代理的安全事件可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有安全事件。 通过此连接,能够查看仪表板、创建自定义警报和改进调查。 这样,用户就可以更深入地了解组织的网络并改善安全操作功能。 有关详细信息,请参阅 Microsoft Sentinel 文档。
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
基于订阅的 Microsoft Defender for Cloud (旧版)Microsoft Defender for Cloud 是一种安全管理工具,可用于检测并快速响应 Azure、混合和多云工作负载中的威胁。 此连接器允许将安全警报从 Microsoft Defender for Cloud 流式传输到 Microsoft Sentinel,以便你可以在工作簿中查看 Defender 数据,对其进行查询以生成警报,以及调查和响应事件。 详细信息>
Log Analytics 表(s):
数据收集规则支持: |
Microsoft Corporation |
Microsoft Corporation |
有关详细信息,请参阅: