Поделиться через

Подключение источников данных к Microsoft Sentinel с помощью соединителей данных

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Чтобы подключить источники данных к Microsoft Sentinel, необходимо установить и настроить соединители данных. В этой статье обычно объясняется, как установить соединители данных, доступные в Центре содержимого Microsoft Sentinel, для приема и анализа данных для улучшения обнаружения угроз.

Внимание

Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.

После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.

Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.

Предварительные требования

Прежде чем начать, убедитесь, что у вас есть соответствующий доступ, и вы или кто-то в вашей организации устанавливает соответствующее решение.

Включение соединителя данных

После установки решения, включающего необходимый соединитель данных, настройте соединитель данных, чтобы начать прием данных.

  1. Для Microsoft Sentinel на портале Defender выберите . Для Microsoft Sentinel в портал Azure в разделе "Конфигурация" выберите соединители данных.

  2. Найдите и выберите соединитель. Если вы не видите нужный соединитель данных, убедитесь, что соответствующее решение установлено в центре содержимого.

  3. Выберите Открыть страницу соединителя.

  4. Просмотрите предварительные требования для соединителя данных и убедитесь, что они выполнены.

  5. Выполните действия, описанные в разделе "Конфигурации " для соединителя данных.

    Для некоторых соединителей найдите более конкретные сведения о конфигурации в разделе "Сбор данных" в документации По Microsoft Sentinel.

Настройка хранения данных и многоуровневого хранения

Если вы подключены к озеру данных Microsoft Sentinel, можно настроить хранение данных и уровень для соединителя данных. Озеро данных состоит из уровня аналитики — текущих рабочих областей Microsoft Sentinel и уровня озера данных, где можно хранить данные до 12 лет. Дополнительные сведения о подключении см. в разделе "Подключение к озеру данных Microsoft Sentinel".

При включении соединителя данные по умолчанию отправляются на уровень аналитики и отражаются на уровне озера данных. Настройте хранение данных на каждом уровне или отправьте данные только на уровень data lake. Управление хранением данных и уровнями осуществляется на страницах установки соединителя или с помощью страницы управления Таблицами на портале Defender. Дополнительные сведения об управлении таблицами и хранении см. в статье "Управление уровнями данных и хранением" на портале Microsoft Defender.

После настройки соединителя настройте хранение данных и многоуровневую настройку, выполнив следующие действия.

  1. На странице сведений о соединителе в разделе "Управление таблицами " выберите таблицу, которую вы хотите управлять.

    Снимок экрана: страница сведений о соединителе.

  2. На панели таблицы отображаются текущие параметры хранения.

  3. Чтобы настроить хранение, выберите "Управление таблицей". Снимок экрана: панель управления таблицами.

  4. Отображается панель "Управление таблицами " с текущими параметрами хранения. Параметры хранения можно изменить для уровня аналитики и уровня озера данных. Значение по умолчанию — репликация данных на уровне хранилища данных с тем же сроком хранения, что и уровень аналитики.

  5. В разделе "Аналитика" выберите период хранения для уровня аналитики.

  6. Чтобы настроить уровень озера данных, выберите период хранения в выпадающем списке Общий период хранения. Снимок экрана, показывающий параметры аналитики и уровня хранилища данных.

  7. Чтобы изменить уровень только озера данных, выберите уровень озера данных и выберите период хранения в раскрывающемся списке. Выбор этого параметра останавливает дальнейшую приемку данных в аналитический уровень.

  8. Выберите Сохранить, чтобы сохранить изменения.

Снимок экрана с настройкой сохранения только уровня озера данных.

После настройки соединителя данных, возможно, потребуется некоторое время, прежде чем данные будут загружены в Microsoft Sentinel. Для загрузки данных в озеро данных требуется 90–120 минут. При подключении соединителя данных отображается сводка данных в графике полученных данных и состояние подключения для типов данных.

Снимок экрана: страница соединителя данных с подключенным состоянием и графом, на котором показаны полученные данные.

Включение аналитики поведения пользователей и сущностей (UEBA) из поддерживаемых коннекторов

Аналитика поведения пользователей и сущностей (UEBA) в Microsoft Sentinel анализирует журналы и оповещения из подключенных источников данных для создания базовых профилей поведения сущностей вашей организации, таких как пользователи, узлы, IP-адреса и приложения. С помощью машинного обучения UEBA определяет аномальное действие, которое может указывать на скомпрометированный ресурс.

Чтобы включить UEBA из поддерживаемых коннекторов данных на портале Microsoft Defender:

  1. В меню навигации портала Microsoft Defender выберите Microsoft Sentinel > Конфигурация > Соединители данных.

  2. Выберите поддерживаемый соединитель данных UEBA, поддерживающий UEBA. Дополнительные сведения о поддерживаемых соединителях данных и таблицах UEBA см. в справочнике по Microsoft Sentinel UEBA.

  3. На панели соединителя данных выберите Открыть страницу коннектора.

  4. На странице сведений о соединителе выберите дополнительные параметры.

  5. В разделе "Настройка UEBA" переключитесь на таблицы, которые необходимо включить для UEBA.

    Снимок экрана: конфигурация UEBA в соединителе данных.

Поиск данных

После успешного включения соединителя соединитель начинает передавать данные в схемы таблиц, связанные с настроенными типами данных.

На портале Defender выполните запрос данных на странице расширенной охоты или на портале Azure, выполните запрос данных на странице журналов .
Перейдите в обозреватель озера данных и запросы KQL, чтобы выполнить запрос данных в озере данных. Дополнительную информацию см. в разделе KQL и хранилище данных Microsoft Sentinel.

Найдите поддержку для коннектора данных

Корпорация Майкрософт и другие организации создают соединители данных Microsoft Sentinel. Найдите контакт службы поддержки на странице соединителя данных в Microsoft Sentinel.

  1. На странице Соединителей данных Microsoft Sentinel выберите соответствующий соединитель.

  2. Чтобы получить доступ к поддержке и обслуживанию соединителя, используйте ссылку контакта поддержки в поле "Поддержка" на боковой панели соединителя.

    Снимок экрана: поле

Дополнительные сведения см. в статье о поддержке соединителя данных.

Связанный контент

Дополнительные сведения о решениях и соединителях данных в Microsoft Sentinel см. в следующих статьях.

  • Last updated on