Поделиться через


Соединители данных Microsoft Sentinel

После подключения Microsoft Sentinel к рабочей области используйте соединители данных, чтобы начать прием данных в Microsoft Sentinel. Microsoft Sentinel поставляется со многими из встроенных соединителей для службы Майкрософт, которые интегрируются в режиме реального времени. Например, соединитель XDR в Microsoft Defender — это соединитель службы, который интегрирует данные из Office 365, идентификатора Microsoft Entra ID, Microsoft Defender для удостоверений и Microsoft Defender для облака Apps.

Встроенные соединители позволяют подключиться к более широкой экосистеме безопасности для продуктов, отличных от Майкрософт. Например, используйте syslog, Common Event Format (CEF) или REST API для подключения источников данных к Microsoft Sentinel.

Примечание.

Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.

Внимание

Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Соединители данных, предоставляемые решениями

Решения Microsoft Sentinel предоставляют пакетное содержимое безопасности, включая соединители данных, книги, правила аналитики, сборники схем и многое другое. При развертывании решения с соединителем данных вы получаете соединитель данных вместе со связанным контентом в одном развертывании.

На странице соединителей данных Microsoft Sentinel перечислены установленные или используемые соединители данных.

Чтобы добавить дополнительные соединители данных, установите решение, связанное с соединителем данных из Центра содержимого. Дополнительные сведения см. в следующих статьях:

Интеграция REST API для соединителей данных

Многие решения по безопасности предоставляют набор API для получения файлов журналов и других данных безопасности из своего продукта или службы. Эти API подключаются к Microsoft Sentinel одним из следующих методов:

  • API-интерфейсы источника данных настраиваются с помощью платформы соединителя без кода.
  • Соединитель данных использует API приема журналов для Azure Monitor в рамках функции Azure или приложения логики.

Дополнительные сведения о подключении к Функции Azure см. в следующих статьях:

Дополнительные сведения о подключении с помощью Logic Apps см. в разделе Connect with Logic Apps.

Интеграция на основе агентов для соединителей данных

Microsoft Sentinel может использовать агенты, предоставляемые службой Azure Monitor (на которой основан Microsoft Sentinel) для сбора данных из любого источника данных, который может выполнять потоковую передачу журналов в режиме реального времени. Например, большинство локальных источников данных подключаются с помощью интеграции на основе агента.

В следующих разделах рассказывается о различных типах соединителей данных Microsoft Sentinel на основе агентов. Чтобы настроить подключения с помощью механизмов на основе агента, выполните действия на каждой странице соединителя данных Microsoft Sentinel.

Системный журнал и общий формат событий (CEF)

Вы можете передавать события из устройств под управлением Linux, поддерживающих системный журнал, в Microsoft Sentinel с помощью агента Azure Monitor (AMA). Разные журналы имеют разные форматы, но во многих источниках поддерживается форматирование на основе CEF. В зависимости от типа устройства агент устанавливают либо непосредственно на устройстве, либо на выделенном сервере пересылки журналов на базе ОС Linux. AMA получает обычные сообщения о событиях syslog или CEF из управляющей программы Syslog по протоколу UDP. Управляющая программа системного журнала перенаправит события в агент внутренне, взаимодействуя по протоколу TCP или UDS (сокеты домена Unix) в зависимости от версии. Затем AMA передает эти события в рабочую область Microsoft Sentinel.

Ниже приведен простой поток, показывающий, как Microsoft Sentinel передает данные системного журнала.

  1. Встроенная в устройство управляющая программа Syslog собирает сведения о локальных событиях указанных типов и пересылает эти события в локальной среде в агент.
  2. Агент передает события в рабочую область Log Analytics.
  3. После успешной настройки сообщения системного журнала отображаются в таблице Системного журнала Log Analytics и сообщения CEF в таблице CommonSecurityLog.

Дополнительные сведения см. в статье Syslog и Common Event Format (CEF) через соединители AMA для Microsoft Sentinel.

Пользовательские журналы

Для некоторых источников данных можно собирать журналы в виде файлов на компьютерах с Windows или Linux с помощью настраиваемого агента сбора журналов Log Analytics.

Чтобы подключиться с помощью пользовательского агента сбора журналов Log Analytics, выполните действия на каждой странице соединителя данных Microsoft Sentinel. После успешной настройки данные отобразятся в пользовательских таблицах.

Дополнительные сведения см. в разделе "Пользовательские журналы" через соединитель данных AMA. Настройка приема данных в Microsoft Sentinel из определенных приложений.

Интеграция между службами для соединителей данных

Microsoft Sentinel использует основу Azure для предоставления поддержки службы Майкрософт и Amazon Web Services.

Дополнительные сведения см. в следующих статьях:

Поддержка соединителя данных

Корпорация Майкрософт и другие организации создают соединители данных Microsoft Sentinel. Каждый соединитель данных имеет один из следующих типов поддержки, перечисленных на странице соединителя данных в Microsoft Sentinel.

Тип поддержки Description
Поддержка Майкрософт Относится к:
  • Соединители данных источников данных, для которых Майкрософт является поставщиком данных и автором.
  • Ряд соединителей данных, созданных корпорацией Майкрософт и предназначенных для источников данных сторонних поставщиков.
Корпорация Майкрософт поддерживает и обслуживает соединители данных в этой категории в соответствии с планами Службы поддержки Microsoft Azure.

Партнеры или сообщество поддерживают соединители данных, созданные любой стороной, отличной от Корпорации Майкрософт.
Поддерживаемые партнерами Применимо к соединителям данных, созданных другими поставщиками, а не корпорацией Майкрософт.

Компания-партнер оказывает поддержку по этим соединителям данных либо выполняет их обслуживание. Компания-партнер может быть независимым поставщиком программного обеспечения, поставщиком управляемых служб (MSP/MSSP), системным интегратором (SI) или любой организацией, контактные данные которой указаны на странице Microsoft Sentinel для этого соединителя данных.

По всем проблемам, которые связаны с соединителями данных, поддерживаемыми партнерами, обращайтесь по указанным контактным данным служб поддержки этих соединителей данных.
Поддерживаемые сообществом Применяется к соединителям данных, созданным разработчиками Майкрософт или партнерами, у которых нет перечисленных контактов для поддержки соединителя данных и обслуживания на странице соединителя данных в Microsoft Sentinel.

При возникновении вопросов или проблем, связанных с такими соединителями данных, можно сообщить о проблеме в сообществе Microsoft Sentinel на GitHub.

Дополнительные сведения см. в статье "Поиск поддержки соединителя данных".

Следующие шаги

Дополнительные сведения о соединителях данных см. в следующих статьях.

Справочник по базовой инфраструктуре как коду (IaC) Bicep, Azure Resource Manager и Terraform для развертывания соединителей данных в Microsoft Sentinel см . в справочнике по соединителю данных Microsoft Sentinel IaC.