Найдите нужный соединитель данных Microsoft Sentinel

2025-05-28
Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

В этой статье перечислены все поддерживаемые встроенные соединители данных и ссылки на шаги развертывания каждого соединителя.

Внимание

Отмеченные соединители данных Microsoft Sentinel в настоящее время находятся в предварительной версии. Дополнительные условия предварительной версии Azure включают дополнительные юридические условия, применимые к функциям Azure, которые находятся в бета-версии, предварительной версии или в противном случае еще не выпущены в общую доступность.
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5. Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены. Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel (блог).

Соединители данных доступны в рамках следующих предложений:

Решения. Многие соединители данных развертываются как часть решения Microsoft Sentinel вместе со связанным содержимым, такими как правила аналитики, книги и сборники схем. Дополнительные сведения см. в каталоге решений Microsoft Sentinel.
Соединители сообщества: дополнительные соединители данных предоставляются сообществом Microsoft Sentinel и находятся в Azure Marketplace. Ответственность за документацию по соединителям данных, разработанным сообществом, несет организацию, которая создала соединитель.
Пользовательские соединители: если у вас есть источник данных, который не указан или поддерживается в данный момент, можно также создать собственный настраиваемый соединитель. Дополнительные сведения см. в статье "Ресурсы" для создания пользовательских соединителей Microsoft Sentinel.

Примечание.

Сведения о доступности компонентов в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в облачной доступности для клиентов для государственных организаций США.

Предварительные требования для соединителя данных

Каждый соединитель данных имеет собственный набор необходимых компонентов. Предварительные требования могут включать в себя наличие определенных разрешений в рабочей области Azure, подписке или политике. Кроме того, необходимо выполнить другие требования к источнику данных партнера, к которому вы подключаетесь.

Предварительные требования для каждого соединителя данных перечислены на соответствующей странице соединителя данных в Microsoft Sentinel.

Соединители данных на основе агента Azure Monitor (AMA) требуют подключения к Интернету из системы, в которой установлен агент. Включите исходящий порт 443, чтобы разрешить подключение между системой, в которой установлен агент, и Microsoft Sentinel.

Соединители системного журнала и общего формата событий (CEF)

Сбор журналов из многих устройств безопасности и устройств поддерживается соединителями данных Syslog через AMA или Common Event Format (CEF) через AMA в Microsoft Sentinel. Чтобы перенаправить данные в рабочую область Log Analytics для Microsoft Sentinel, выполните действия, описанные в разделе "Прием сообщений системного журнала и CEF" в Microsoft Sentinel с помощью агента Azure Monitor. Эти действия включают установку решения Microsoft Sentinel для устройства безопасности или устройства из центра содержимого в Microsoft Sentinel. Затем настройте системный журнал через AMA или общий формат событий (CEF) с помощью соединителя данных AMA, подходящего для установленного решения Microsoft Sentinel. Выполните настройку, настроив устройство безопасности или устройство. Инструкции по настройке устройства безопасности или устройства см. в одной из следующих статей:

Обратитесь к поставщику решений, чтобы получить дополнительные сведения или где информация недоступна для устройства или устройства.

Пользовательские журналы через соединитель AMA

Фильтрация и прием журналов в текстовом формате из сетевых или приложений безопасности, установленных на компьютерах Windows или Linux, с помощью пользовательских журналов через соединитель AMA в Microsoft Sentinel. Дополнительные сведения см. в следующих статьях:

Соединители данных Sentinel

Примечание.

В следующей таблице перечислены соединители данных, доступные в Центре содержимого Microsoft Sentinel. Соединители поддерживаются поставщиком продукта. Сведения о поддержке см. в ссылке в столбце "Поддерживаемые" в следующей таблице.

Соединитель	Поддерживается
1Password (бессерверный) Соединитель CCF 1Password позволяет пользователю принять события 1Password Audit, Signin и ItemUsage в Microsoft Sentinel. Таблицы Log Analytics: - `OnePasswordEventLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Маркер API 1Password: требуется маркер API 1Password. Сведения о создании маркера API см. в документации по 1Password .	1Password
1Password (использование Функций Azure) Решение 1Password для Microsoft Sentinel позволяет получать попытки входа, использование элементов и аудиторские события с вашего бизнес-аккаунта 1Password с помощью API отчетности по событиям 1Password. Это позволяет отслеживать и исследовать события в 1Password в Microsoft Sentinel вместе с другими приложениями и службами, которые использует ваша организация. Используемые базовые технологии Майкрософт: Это решение зависит от следующих технологий, некоторые из которых могут находиться в стадии предварительной версии или повлечь за собой дополнительные затраты на обработку данных или эксплуатационные расходы. - Функции Azure Таблицы Log Analytics: - `OnePasswordEventLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Маркер API событий 1Password: требуется маркер API событий 1Password. Дополнительные сведения см. в API 1Password. Заметка: Требуется учетная запись 1Password Business	1Password
AbnormalSecurity (с помощью функции Azure) Соединитель данных "Abnormal Security" предоставляет возможность приема журналов угроз и случаев в Microsoft Sentinel с помощью РЕСТ API "Abnormal Security". Таблицы Log Analytics: - `ABNORMAL_THREAT_MESSAGES_CL` - `ABNORMAL_CASES_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Ненормальный маркер API безопасности: требуется ненормальный маркер API безопасности. Дополнительные сведения см. в разделе API аномальной безопасности. Заметка: Требуется ненормальная учетная запись безопасности	Ненормальная безопасность
AIShield Соединитель AIShield позволяет пользователям подключаться к журналам пользовательского механизма защиты AIShiel с помощью Microsoft Sentinel, что позволяет создавать динамические панели мониторинга, книги, записные книжки и специализированные оповещения для улучшения исследований и атак на системы искусственного интеллекта. Он дает пользователям больше сведений о безопасности активов ИИ своей организации и улучшает возможности операций безопасности систем ИИ. AIShield.GuArdIan анализирует созданное llM содержимое для выявления и устранения вредного содержимого, защиты от юридических, политик, ролей и нарушений на основе использования Таблицы Log Analytics: - `AIShield_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Примечание. Пользователи должны использовать aiShield SaaS для проведения анализа уязвимостей и развертывания пользовательских механизмов защиты, созданных вместе с их ресурсом ИИ. Щелкните здесь , чтобы узнать больше или получить связь.	AIShield
AliCloud (использование функций Azure) Соединитель данных AliCloud предоставляет возможность получения журналов из облачных приложений с помощью облачного API и хранения событий в Microsoft Sentinel через REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `AliCloud_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: AliCloudAccessKeyId и AliCloudAccessKey требуются для вызова API.	Корпорация Майкрософт
Amazon Web Services Инструкции по подключению к AWS и потоковой передаче журналов CloudTrail в Microsoft Sentinel отображаются во время установки. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AWSCloudTrail` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Amazon Web Services NetworkFirewall (через платформу соединителей без кода) (предварительная версия) Этот соединитель данных позволяет выполнять прием журналов сетевого брандмауэра AWS в Microsoft Sentinel для расширенного обнаружения угроз и мониторинга безопасности. Используя Amazon S3 и Amazon SQS, соединитель перенаправит журналы сетевого трафика, оповещения обнаружения вторжений и события брандмауэра в Microsoft Sentinel, что позволяет анализировать и корреляцию в режиме реального времени с другими данными безопасности. Таблицы Log Analytics: - `AWSNetworkFirewallFlow` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Amazon Web Services S3 Этот соединитель позволяет собирать журналы служб AWS, собранные в контейнерах AWS S3, в Microsoft Sentinel. Поддерживаемые в настоящее время типы данных: * AWS CloudTrail * Журналы потоков VPC * AWS GuardDuty * AWSCloudWatch Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AWSGuardDuty` - `AWSVPCFlow` - `AWSCloudTrail` - `AWSCloudWatch` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Среда. Необходимо иметь следующие ресурсы AWS, определенные и настроенные: S3, Простая служба очередей (SQS), роли ИАМ и политики разрешений AWS, а также службы AWS, журналы которых требуется собрать.	Корпорация Майкрософт
Amazon Web Services S3 WAF Этот соединитель позволяет принять журналы AWS WAF, собранные в контейнерах AWS S3, в Microsoft Sentinel. Журналы AWS WAF — это подробные записи о трафике, который анализирует списки управления веб-доступом (ACL), необходимые для обеспечения безопасности и производительности веб-приложений. Эти журналы содержат такие сведения, как время, когда WAF AWS получил запрос, особенности запроса и действия, принятые правилом, соответствующим запросом. Таблицы Log Analytics: - `AWSWAF` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
ARGOS Cloud Security Интеграция ARGOS Cloud Security для Microsoft Sentinel позволяет использовать все важные события облачной безопасности в одном месте. Это позволяет легко создавать панели мониторинга, оповещения и сопоставлять события в нескольких системах. В целом это улучшит состояние безопасности вашей организации и реагирование на инциденты безопасности. Таблицы Log Analytics: - `ARGOS_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	ARGOS Cloud Security
Действия оповещений Armis (с помощью функций Azure) Соединитель Armis Alerts Activities позволяет загружать оповещения и действия Armis в Microsoft Sentinel через REST API Armis. Обратитесь к документации API: `https://<YourArmisInstance>.armis.com/api/v1/docs` для получения дополнительной информации. Соединитель предоставляет возможность получать сведения об оповещениях и действиях из платформы Armis, а также выявлять и определять приоритеты угроз в вашей среде. Armis использует существующую инфраструктуру для обнаружения и идентификации устройств без необходимости развертывать агенты. Таблицы Log Analytics: - `Armis_Alerts_CL` - `Armis_Activities_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: требуется секретный ключ Armis . Дополнительные сведения об API см. в документации `https://<YourArmisInstance>.armis.com/api/v1/doc`	Armis Corporation
Устройства Armis (с помощью функций Azure) Коннектор устройств Armis предоставляет возможность интеграции устройств Armis в Microsoft Sentinel через REST API Armis. Обратитесь к документации API: `https://<YourArmisInstance>.armis.com/api/v1/docs` для получения дополнительной информации. Соединитель предоставляет возможность получать сведения об устройстве из платформы Armis. Armis использует существующую инфраструктуру для обнаружения и идентификации устройств без необходимости развертывать агенты. Armis также может интегрироваться с существующими средствами управления ИТ и безопасностью для идентификации и классификации каждого устройства, управляемого или неуправляемого в вашей среде. Таблицы Log Analytics: - `Armis_Devices_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: требуется секретный ключ Armis . Дополнительные сведения об API см. в документации `https://<YourArmisInstance>.armis.com/api/v1/doc`	Armis Corporation
Оповещения Atlassian Beacon Atlassian Beacon — это облачный продукт, созданный для интеллектуального обнаружения угроз на платформах Atlassian (Jira, Confluence и Atlassian Admin). Это может помочь пользователям обнаруживать, исследовать и реагировать на рискованные действия пользователей для набора продуктов Atlassian. Это настраиваемый соединитель данных из DEFENSE Ltd. Используется для визуализации оповещений, полученных от Atlassian Beacon в Microsoft Sentinel через приложение логики. Таблицы Log Analytics: - `atlassian_beacon_alerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	DEFEND Ltd.
Аудит Atlassian Confluence (с помощью платформы соединителей без кода) Соединитель данных аудита Atlassian Confluence предоставляет возможность приема событий аудита Confluence в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `ConfluenceAuditLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Доступ к API Atlassian Confluence: для получения доступа к API журналов аудита Confluence требуется разрешение администрирования Confluence . Дополнительные сведения об API аудита см. в документации по API Confluence .	Корпорация Майкрософт
Atlassian Jira Audit (с помощью функций Azure) Соединитель данных аудита Atlassian Jira предоставляет возможность приема событий Jira Audit Records в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `Jira_Audit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: JiraAccessToken, JiraUsername требуется для REST API. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.	Корпорация Майкрософт
Atlassian Jira Audit (с помощью REST API) Соединитель данных аудита Atlassian Jira предоставляет возможность приема событий Jira Audit Records в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `Jira_Audit_v2_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Доступ к API Atlassian Jira: для получения доступа к API журналов аудита Jira требуется разрешение администрирования Jira . Дополнительные сведения об API аудита см. в документации по API Jira .	Корпорация Майкрософт
Управление доступом Auth0 (с помощью функций Azure) Соединитель данных Auth0 Access Management предоставляет возможность интеграции событий журнала Auth0 в Microsoft Sentinel Таблицы Log Analytics: - `Auth0AM_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: требуется маркер API . Дополнительные сведения см. в разделе "Маркер API"	Корпорация Майкрософт
Журналы проверки подлинности Соединитель данных Auth0 позволяет прием журналов из API Auth0 в Microsoft Sentinel. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework. Он использует API Auth0 для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не должны анализировать их снова, что приводит к повышению производительности. Таблицы Log Analytics: - `Auth0Logs_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Автоматизированная логика WebCTRL Журналы аудита можно передавать из сервера SQL WebCTRL, размещенного на компьютерах Windows, подключенных к Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Это дает аналитические сведения о промышленных системах управления, которые отслеживаются или контролируются приложением WEBCTRL BAS. Таблицы Log Analytics: - `Event` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Действие Azure Журнал действий Azure — это журнал подписок, который предоставляет аналитические сведения о событиях уровня подписки, происходящих в Azure, включая события из операционных данных Azure Resource Manager, события работоспособности службы, операции записи, выполняемые в вашей подписке, и состояние действий, выполняемых в Azure. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureActivity` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Учетная запись пакетной службы Azure пакетная служба Azure Учетная запись — это уникально определяемая сущность в пакетной службе. Для хранения файлов ресурсов и выходных файлов большинство решений Пакетной службы используют службы хранилища Azure, поэтому каждая учетная запись пакетной службы обычно связывается с соответствующей учетной записью хранения. Этот соединитель позволяет выполнять потоковую передачу пакетная служба Azure учетной записи диагностика журналов в Microsoft Sentinel, что позволяет непрерывно отслеживать действия. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Политика: роль владельца, назначенная для каждой области назначения политики	Корпорация Майкрософт
Azure CloudNGFW By Palo Alto Networks Брандмауэр следующего поколения облака от Palo Alto Networks — это служба azure Native ISV — это брандмауэр следующего поколения Palo Alto Networks (NGFW), предоставляемый в качестве облачной службы в Azure. Вы можете обнаружить Cloud NGFW в Azure Marketplace и использовать его в виртуальная сеть Azure (виртуальная сеть). С помощью Cloud NGFW вы можете получить доступ к основным возможностям NGFW, таким как идентификатор приложения, технологии фильтрации URL-адресов. Она обеспечивает защиту от угроз и обнаружение с помощью облачных служб безопасности и подписей защиты от угроз. Соединитель позволяет легко подключать журналы Cloud NGFW к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности. Дополнительные сведения см. в документации по Cloud NGFW для Azure. Таблицы Log Analytics: - `fluentbit_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Palo Alto Networks
Когнитивный поиск Azure Когнитивный поиск Azure — это облачная служба поиска, которая предоставляет разработчикам инфраструктуру, API и средства для создания расширенного интерфейса поиска по поводу частного, разнородного содержимого в интернете, мобильных и корпоративных приложениях. Этот соединитель позволяет передавать журналы Когнитивный поиск Azure диагностика в Microsoft Sentinel, позволяя непрерывно отслеживать действия. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Политика: роль владельца, назначенная для каждой области назначения политики	Корпорация Майкрософт
Защита от атак DDoS Azure Подключитесь к журналам защиты от атак DDoS Azure уровня "Стандартный" через журналы диагностики общедоступных IP-адресов. Помимо базовой защиты от атак DDoS на платформе, служба Защита от атак DDoS Azure уровня "Стандартный" предоставляет расширенные возможности предотвращения сетевых атак DDoS. Она автоматически настраивается для защиты конкретных ресурсов Azure. Защиту можно включить во время создания виртуальных сетей. Кроме того, это можно сделать после создания. При этом не требуются никакие изменения приложения или ресурса. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Журналы аудита Azure DevOps (с помощью платформы соединителя без кода) Соединитель данных журналов аудита Azure DevOps позволяет прием событий аудита из Azure DevOps в Microsoft Sentinel. Этот соединитель данных создается с помощью платформы microsoft Sentinel Codeless Connector Framework, обеспечивая простую интеграцию. Он использует API журналов аудита Azure DevOps для получения подробных событий аудита и поддерживает преобразования времени приема данных на основе DCR. Эти преобразования позволяют анализировать полученные данные аудита в настраиваемую таблицу во время приема, повышая производительность запросов, устраняя необходимость дополнительного анализа. Используя этот соединитель, вы можете получить улучшенную видимость среды Azure DevOps и упростить операции безопасности. Таблицы Log Analytics: - `ADOAuditLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Предварительные требования к Azure DevOps. Убедитесь, что это необходимо: 1. Регистрация приложения Entra в Центре администрирования Microsoft Entra в разделе "Регистрация приложений". 2. В разделе "Разрешения API" добавьте разрешения в azure DevOps — vso.auditlog. 3. В разделе "Сертификаты и секреты" создайте "секрет клиента". 4. В разделе "Проверка подлинности" добавьте URI перенаправления: "https://portal.azure.com/TokenAuthorize/ExtensionName/Microsoft_Azure_Security_Insights". 5. В параметрах Azure DevOps включите журнал аудита и задайте для пользователя журнал аудита View . Аудит Azure DevOps. 6. Убедитесь, что пользователь, назначенный для подключения соединителя данных, имеет разрешение "Просмотр журналов аудита" явно задано значение Allow (Разрешить) в любое время. Это разрешение необходимо для успешного приема журналов. Если разрешение отозвано или не предоставлено, прием данных завершится ошибкой или прерван.	Корпорация Майкрософт
Концентратор событий Azure Центры событий Azure — это платформа потоковой передачи больших данных и служба приема событий. Он может получать и обрабатывать миллионы событий в секунду. Этот соединитель позволяет передавать журналы концентратора событий Azure диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Политика: роль владельца, назначенная для каждой области назначения политики	Корпорация Майкрософт
Брандмауэр Azure Подключитесь к Брандмауэр Azure. Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure. Это сервис брандмауэра с полным отслеживанием состояния, с высокой доступностью и неограниченными возможностями облачного масштабирования. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureDiagnostics` - `AZFWApplicationRule` - `AZFWFlowTrace` - `AZFWFatFlow` - `AZFWNatRule` - `AZFWDnsQuery` - `AZFWIdpsSignature` - `AZFWInternalFqdnResolutionFailure` - `AZFWNetworkRule` - `AZFWThreatIntel` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Azure Key Vault Azure Key Vault — это облачная служба для безопасного хранения и доступа к секретам. Секрет — это все, к чему требуется жестко контролировать доступ, например ключи API, пароли, сертификаты или криптографические ключи. Этот соединитель позволяет передавать журналы Azure Key Vault диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Служба Azure Kubernetes (AKS) Служба Azure Kubernetes (AKS) — это полностью управляемая служба оркестрации контейнеров с открытым кодом, которая позволяет развертывать и масштабировать контейнеры Docker и приложения на основе контейнеров и управлять ими в среде кластера. Этот соединитель позволяет передавать журналы Служба Azure Kubernetes (AKS) диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Azure Logic Apps Azure Logic Apps — это облачная платформа для создания и запуска автоматизированных рабочих процессов, которые интегрируют приложения, данные, службы и системы. Этот соединитель позволяет передавать журналы Azure Logic Apps диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Политика: роль владельца, назначенная для каждой области назначения политики	Корпорация Майкрософт
Служебная шина Azure Служебная шина Azure — это полностью управляемый корпоративный брокер сообщений с очередями сообщений и тематикой публикации и подписки (в пространстве имен). Этот соединитель позволяет передавать журналы Служебная шина Azure диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Политика: роль владельца, назначенная для каждой области назначения политики	Корпорация Майкрософт
Базы данных SQL Azure База данных SQL Azure — это полностью управляемое ядро СУБД, предоставляемое по модели "платформа как услуга" (PaaS), которое выполняет большую часть функций управления базой данных, например обновление, исправление, резервное копирование и мониторинг, не требуя участия пользователя. Этот соединитель позволяет передавать журналы аудита и диагностики баз данных SQL Azure в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Учетная запись хранения Azure Учетная запись хранения Azure — это облачное решение, позволяющее реализовать современные сценарии хранения данных. Учетная запись хранения содержит все объекты данных: BLOB-объекты, файлы, очереди, таблицы и диски. Этот соединитель позволяет передавать служба хранилища Azure учетные записи диагностика журналы в рабочую область Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах и обнаруживать вредоносные действия в организации. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureMetrics` - `StorageBlobLogs` - `StorageQueueLogs` - `StorageTableLogs` - `StorageFileLogs` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Политика: роль владельца, назначенная для каждой области назначения политики	Корпорация Майкрософт
Azure Stream Analytics Azure Stream Analytics — это аналитика в режиме реального времени и сложный механизм обработки событий, предназначенный для анализа и обработки больших объемов быстрой потоковой передачи данных из нескольких источников одновременно. Этот соединитель позволяет передавать журналы концентратора Azure Stream Analytics диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Политика: роль владельца, назначенная для каждой области назначения политики	Корпорация Майкрософт
Брандмауэр веб-приложений Azure (WAF) Подключитесь к azure Брандмауэр веб-приложений (WAF) для Шлюз приложений, Front Door или CDN. Этот WAF защищает приложения от распространенных веб-уязвимостей, таких как внедрение SQL и межсайтовые скрипты, и позволяет настраивать правила для снижения ложных срабатываний. Инструкции по потоковой передаче журналов брандмауэра веб-приложения Майкрософт в Microsoft Sentinel отображаются во время установки. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
BETTER Mobile Threat Defense (MTD) Соединитель BETTER MTD позволяет предприятиям подключать свои экземпляры MTD к Microsoft Sentinel, просматривать их данные на панелях мониторинга, создавать пользовательские оповещения, использовать его для активации сборников схем и расширения возможностей поиска угроз. Это дает пользователям больше сведений о мобильных устройствах своей организации и возможности быстрого анализа текущей системы безопасности мобильных устройств, что улучшает их общие возможности SecOps. Таблицы Log Analytics: - `BetterMTDIncidentLog_CL` - `BetterMTDDeviceLog_CL` - `BetterMTDNetflowLog_CL` - `BetterMTDAppLog_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Better Mobile Security Inc.
Bitglass (с помощью Функций Azure) Соединитель данных Bitglass предоставляет возможность получения журналов событий безопасности служб Bitglass и дополнительных событий в Microsoft Sentinel через REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `BitglassLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: BitglassToken и BitglassServiceURL необходимы для вызова API.	Корпорация Майкрософт
Соединитель данных Bitsight (с помощью функций Azure) Коннектор данных BitSight поддерживает мониторинг киберрисков на основе доказательств, интегрируя данные BitSight в Microsoft Sentinel. Таблицы Log Analytics: - `Alerts_data_CL` - `BitsightBreaches_data_CL` - `BitsightCompany_details_CL` - `BitsightCompany_rating_details_CL` - `BitsightDiligence_historical_statistics_CL` - `BitsightDiligence_statistics_CL` - `BitsightFindings_data_CL` - `BitsightFindings_summary_CL` - `BitsightGraph_data_CL` - `BitsightIndustrial_statistics_CL` - `BitsightObservation_statistics_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: требуется маркер API BitSight. Дополнительные сведения о токене API см. в документации.	Поддержка BitSight
Журналы событий Bitwarden Этот соединитель содержит сведения о действиях вашей организации Bitwarden, таких как активность пользователя (вошедший в систему, измененный пароль, 2fa и т. д.), действие шифра (созданное, обновленное, удаленное, общее, и т. д.), действие коллекции, активность организации и многое другое. Таблицы Log Analytics: - `BitwardenEventLogs` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Идентификатор клиента Bitwarden и секрет клиента: ключ API можно найти в консоли администрирования организации Bitwarden. Дополнительные сведения см. в документации по Bitwarden .	Bitwarden Inc
Box (использование функций Azure) Соединитель данных Box предоставляет возможность приема событий предприятия Box в Microsoft Sentinel с помощью REST API Box. Дополнительные сведения см. в документации Box. Таблицы Log Analytics: - `BoxEvents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные API Box: для проверки подлинности JWT rest API Box требуется файл JSON конфигурации Box. Дополнительные сведения см. в разделе "Проверка подлинности JWT".	Корпорация Майкрософт
События Box (CCF) Соединитель данных Box предоставляет возможность приема событий предприятия Box в Microsoft Sentinel с помощью REST API Box. Дополнительные сведения см. в документации Box. Таблицы Log Analytics: - `BoxEventsV2_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Учетные данные API Box. Для проверки подлинности API Box требуется идентификатор клиента и секрет клиента Box. Дополнительные сведения см. в разделе "Предоставление учетных данных клиента" - Box Enterprise ID: Box Enterprise ID является обязательным для подключения. См. документацию по поиску идентификатора Enterprise	Корпорация Майкрософт
Check Point CloudGuard CNAPP Connector for Microsoft Sentinel Соединитель данных CloudGuard обеспечивает прием событий безопасности из API CloudGuard в Microsoft Sentinel с помощью платформы соединителя Без кода Microsoft Sentinel™. Соединитель поддерживает преобразования времени приема данных на основе DCR, которые анализируют входящие данные события безопасности в настраиваемые столбцы. Этот процесс предварительного анализа устраняет необходимость синтаксического анализа во время запроса, что приводит к повышению производительности запросов к данным. Таблицы Log Analytics: - `CloudGuard_SecurityEvents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Ключ API CloudGuard: ознакомьтесь с инструкциями, приведенными здесь , чтобы создать ключ API.	Контрольная точка
Cisco ASA/FTD через AMA (предварительная версия) Соединитель брандмауэра Cisco ASA позволяет легко подключать журналы Cisco ASA к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности. Таблицы Log Analytics: - `CommonSecurityLog` Поддержка правила сбора данных: Рабочая область преобразования DCR Необходимые условия: — Для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее	Корпорация Майкрософт
Безопасность Cisco Duo (с помощью функций Azure) Соединитель данных безопасности Cisco Duo предоставляет возможность приема журналов проверки подлинности, журналов администраторов, журналов телефонии, автономных журналов регистрации и событий мониторинга доверия в Microsoft Sentinel с помощью API администрирования Cisco Duo. Дополнительные сведения см. в документации по API. Таблицы Log Analytics: - `CiscoDuo_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные API Cisco Duo: учетные данные API Cisco Duo с журналом предоставления разрешений требуются для API Cisco Duo. Дополнительные сведения о создании учетных данных API Cisco Duo см. в документации .	Корпорация Майкрософт
Cisco ETD (с помощью функций Azure) Соединитель извлекает данные из API ETD для анализа угроз Таблицы Log Analytics: - `CiscoETD_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - API защиты от угроз электронной почты, ключ API, идентификатор клиента и секрет: убедитесь, что у вас есть ключ API, идентификатор клиента и секретный ключ.	N/A
Cisco Meraki (с помощью REST API) Соединитель Cisco Meraki позволяет легко подключать события организации Cisco Meraki (события безопасности, изменения конфигурации и запросы API) к Microsoft Sentinel. Соединитель данных использует REST API Cisco Meraki для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные и приемы в ASIM и пользовательские таблицы в рабочей области Log Analytics. Этот соединитель данных обеспечивает преимущества таких возможностей, как фильтрация времени приема данных на основе DCR, нормализация данных. Поддерживаемая схема ASIM: 1. Сетевой сеанс 2. Веб-сеанс 3. Событие аудита Таблицы Log Analytics: - `ASimNetworkSessionLogs` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Ключ REST API Cisco Meraki: включение доступа к API в Cisco Meraki и создание ключа API. Дополнительные сведения см. в официальной документации по Cisco Meraki. - Cisco Meraki Organization Id: Получите идентификатор организации Cisco Meraki для получения событий безопасности. Выполните действия, описанные в документации , чтобы получить идентификатор организации с помощью ключа API Meraki, полученного на предыдущем шаге.	Корпорация Майкрософт
Безопасная конечная точка Cisco (с помощью платформы соединителя без кода) (предварительная версия) Соединитель данных Cisco Secure Endpoint (прежнее название — AMP для конечных точек) предоставляет возможность получения журналов аудита и событий из Cisco Secure Endpoint в Microsoft Sentinel. Таблицы Log Analytics: - `CiscoSecureEndpointAuditLogsV2_CL` - `CiscoSecureEndpointEventsV2_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Учетные данные и регионы API безопасной конечной точки Cisco: чтобы создать учетные данные API и понять регионы, следуйте ссылке документа, предоставленной здесь. Щелкните здесь.	Корпорация Майкрософт
Cisco Software Defined WAN Соединитель данных Cisco Software Defined WAN (SD-WAN) предоставляет возможность приема данных системного журнала Cisco SD-WAN и Netflow в Microsoft Sentinel. Таблицы Log Analytics: - `Syslog` - `CiscoSDWANNetflow_CL` Поддержка правила сбора данных: Преобразование DCR рабочей области	Cisco Systems
Cisco Umbrella (использование функций Azure) Соединитель данных Cisco Umbrella предоставляет возможность приема событий Cisco Umbrella, хранящихся в Amazon S3 в Microsoft Sentinel с помощью REST API Amazon S3. Дополнительные сведения см. в документации по управлению журналами Cisco Umbrella. Таблицы Log Analytics: - `Cisco_Umbrella_dns_CL` - `Cisco_Umbrella_proxy_CL` - `Cisco_Umbrella_ip_CL` - `Cisco_Umbrella_cloudfirewall_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступаAWS, имя контейнера AWS S3 требуется для REST API Amazon S3.	Корпорация Майкрософт
Claroty xDome Claroty xDome обеспечивает комплексные возможности управления безопасностью и оповещениями для медицинских и промышленных сетевых сред. Он предназначен для сопоставления нескольких типов источников, идентификации собранных данных и интеграции его в модели данных Microsoft Sentinel. Это приводит к тому, что вы можете отслеживать все потенциальные угрозы в медицинских и промышленных средах в одном расположении, что приводит к более эффективному мониторингу безопасности и более сильной позиции безопасности. Таблицы Log Analytics: - `CommonSecurityLog` Поддержка правила сбора данных: Преобразование DCR рабочей области	Поддержка клиентов xDome
Cloudflare (предварительная версия) (с помощью функций Azure) Соединитель данных Cloudflare предоставляет возможность интеграции журналов Cloudflare в Microsoft Sentinel с помощью Cloudflare Logpush и хранилища BLOB-объектов Azure. Дополнительные сведения см. в документации Cloudflare. Таблицы Log Analytics: - `Cloudflare_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Строка подключения к хранилищу BLOB-объектов Azure и имя контейнера: строка подключения к хранилищу BLOB-объектов Azure и имя контейнера, в которых журналы отправляются в Cloudflare Logpush. Дополнительные сведения см. в статье о создании контейнера хранилища BLOB-объектов Azure.	Cloudflare
Cognni Соединитель Cognni обеспечивает быструю и простую интеграцию с Microsoft Sentinel. Вы можете использовать Cognni для автономной сопоставления ранее неклассифицированной важной информации и обнаружения связанных инцидентов. Это позволяет распознавать риски для важных сведений, понимать серьезность инцидентов и исследовать сведения, необходимые для исправления, достаточно быстро, чтобы внести изменения. Таблицы Log Analytics: - `CognniIncidents_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Cognni
Согласованность (использование функций Azure) Приложения-функции "Сплоченность" предоставляют возможность приема оповещений программы-шантажистов в Microsoft Sentinel. Таблицы Log Analytics: - `Cohesity_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Строка подключения к хранилищу BLOB-объектов Azure и имя контейнера: строка подключения к хранилищу BLOB-объектов Azure и имя контейнера	Сплоченность
CommvaultSecurityIQ (с помощью функций Azure) Эта функция Azure позволяет пользователям Commvault получать оповещения и события в экземпляре Microsoft Sentinel. С помощью правил аналитики Microsoft Sentinel может автоматически создавать инциденты Microsoft Sentinel из входящих событий и журналов. Таблицы Log Analytics: - `CommvaultSecurityIQ_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - URL-адрес конечной точки среды Commvault: обязательно следуйте документации и задайте значение секрета в KeyVault. - Токен QSDK Commvault: обязательно следуйте документации и задайте значение секрета в KeyVault.	Commvault
Экспортер соединителей Corelight Соединитель данных Corelight позволяет реагированию на инциденты и охотникам за угрозами, которые используют Microsoft Sentinel для более эффективной работы. Соединитель данных позволяет прием событий из Zeek и Suricata через Датчики Corelight в Microsoft Sentinel. Таблицы Log Analytics: - `Corelight` Поддержка правила сбора данных: В настоящее время не поддерживается	Corelight
Cortex XDR — инциденты Настраиваемый соединитель данных из DEFENSE для использования API Cortex для приема инцидентов из платформы Cortex XDR в Microsoft Sentinel. Таблицы Log Analytics: - `CortexXDR_Incidents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Учетные данные API Cortex: маркер API Cortex требуется для REST API. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.	DEFEND Ltd.
Cribl Соединитель Cribl позволяет легко подключать журналы Cribl (Cribl выпуск Enterprise — автономные) с помощью Microsoft Sentinel. Это дает больше сведений о безопасности конвейеров данных вашей организации. Таблицы Log Analytics: - `CriblInternal_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Cribl
Соединитель данных API CrowdStrike (через платформу соединителя без кода) (предварительная версия) Соединитель данных CrowdStrike позволяет получать журналы из API CrowdStrike в Microsoft Sentinel. Этот соединитель построен на платформе соединителя Без кода Microsoft Sentinel и использует API CrowdStrike для получения журналов оповещений, обнаружения, узлов, инцидентов и уязвимостей. Она поддерживает преобразования времени приема данных на основе DCR, чтобы запросы могли выполняться более эффективно. Таблицы Log Analytics: - `CrowdStrikeVulnerabilities` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Аналитика сокола Краудстрик Сокол (с помощью функций Azure) Индикаторы Сокола Краудстрик Скомпрометации извлекают индикаторы компрометации из API Falcon Intel и отправляют их Microsoft Sentinel Threat Intel. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Идентификатор клиента и секрет клиента CrowdStrike: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Учетные данные CrowdStrike должны иметь область чтения индикаторов (Falcon Intelligence).	Корпорация Майкрософт
Репликатор данных CrowdStrike Falcon (AWS S3) (через платформу соединителя без кода) Соединитель репликатора данных Falcon (S3) crowdstrike Data Replicator (S3) предоставляет возможность приема данных событий FDR в Microsoft Sentinel из контейнера AWS S3, в котором передаются журналы FDR. Соединитель предоставляет возможность получать события от агентов Falcon, которые помогают изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации и многое другое. ПРИМЕЧАНИЕ. 1. Лицензия CrowdStrike FDR должна быть доступна и включена. 2. Соединителю требуется настроить роль IAM в AWS, чтобы разрешить доступ к контейнеру AWS S3 и не подходит для сред, использующих управляемые контейнеры CrowdStrike. 3. В средах, использующих контейнеры, управляемые CrowdStrike, настройте соединитель репликатора данных Falcon (CrowdStrike-Managed AWS S3). Таблицы Log Analytics: - `CrowdStrike_Additional_Events_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Репликатор данных CrowdStrike Falcon (Managed AWS-S3CrowdStrike) (с помощью функций Azure) Этот соединитель позволяет приему данных FDR в Microsoft Sentinel с помощью Функций Azure для поддержки оценки потенциальных рисков безопасности, анализа действий совместной работы, идентификации проблем конфигурации и других операционных аналитических сведений. ПРИМЕЧАНИЕ. 1. Лицензия CrowdStrike FDR должна быть доступна и включена. 2. Соединитель использует проверку подлинности на основе ключа и секрета и подходит для управляемых контейнеров CrowdStrike. 3. В средах, использующих полностью принадлежащий контейнер AWS S3, корпорация Майкрософт рекомендует использовать соединитель репликатора данных Falcon (AWS S3). Таблицы Log Analytics: - `CrowdStrikeReplicatorV2` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL. Дополнительные сведения см. в статье о вытягивании данных. Чтобы начать, обратитесь в службу поддержки CrowdStrike. По запросу он создаст управляемый контейнер Amazon Web Services (AWS) CrowdStrike S3 для краткосрочных целей хранения, а также учетную запись SQS (простая служба очередей) для мониторинга изменений в контейнере S3.	Корпорация Майкрософт
Системный журнал CTERA Соединитель данных CTERA для Microsoft Sentinel предлагает возможности мониторинга и обнаружения угроз для решения CTERA. В ней содержится книга, визуализируя сумму всех операций на тип, удаление и запрещенный доступ. Он также предоставляет аналитические правила, которые обнаруживают инциденты программ-шантажистов и оповещают вас о том, что пользователь заблокирован из-за подозрительной активности программ-шантажистов. Кроме того, он помогает определить критически важные шаблоны, такие как массовый доступ к запрещенным событиям, массовым удалениям и изменениям в массовом разрешении, что обеспечивает упреждающее управление угрозами и реагирование. Таблицы Log Analytics: - `Syslog` Поддержка правила сбора данных: Преобразование DCR рабочей области	CTERA
Пользовательские журналы через AMA Многие приложения регистрируют сведения о текстовых или JSON-файлах вместо стандартных служб ведения журнала, таких как журналы событий Windows, системный журнал или CEF. Соединитель данных пользовательских журналов позволяет собирать события из файлов на компьютерах Windows и Linux и передавать их в созданные вами пользовательские таблицы журналов. При потоковой передаче данных можно анализировать и преобразовывать содержимое с помощью DCR. После сбора данных можно применять аналитические правила, охоту, поиск, аналитику угроз, обогащение и многое другое. ПРИМЕЧАНИЕ. Используйте этот соединитель для следующих устройств: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, Apache HTTP server, Apache Tomcat, Jboss Enterprise application platform, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP server, Oracle Weblogic server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP и AI vectra stream. Таблицы Log Analytics: - `JBossEvent_CL<br>` - `JuniperIDP_CL<br>` - `ApacheHTTPServer_CL<br>` - `Tomcat_CL<br>` - `meraki_CL<br>` - `VectraStream_CL<br>` - `MarkLogicAudit_CL<br>` - `MongoDBAudit_CL<br>` - `NGINX_CL<br>` - `OracleWebLogicServer_CL<br>` - `PostgreSQL_CL<br>` - `SquidProxy_CL<br>` - `Ubiquiti_CL<br>` - `vcenter_CL<br>` - `ZPA_CL<br>` - `SecurityBridgeLogs_CL<br>` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения. Для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее	Корпорация Майкрософт
Интеграция "Слепые точечные" (с помощью функций Azure) Благодаря интеграции API вы можете получить все вопросы, связанные с организациями CBS, через интерфейс RESTful. Таблицы Log Analytics: - `CBSLog_Azure_1_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе "Функции Azure".	Управление киберугрывами 360
CyberArkAudit (с помощью функций Azure) Соединитель данных аудита CyberArk предоставляет возможность получения журналов событий безопасности службы "Аудит CyberArk" и дополнительных событий в Microsoft Sentinel через REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `CyberArk_AuditEvents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Аудит сведений о подключениях REST API и учетных данных: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint и AuditApiBaseUrl требуются для выполнения вызовов API.	Поддержка CyberArk
CyberArkEPM (с помощью функций Azure) Коннектор данных CyberArk Endpoint Privilege Manager предоставляет возможность получения журналов событий безопасности служб CyberArk EPM и других событий в Microsoft Sentinel через REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `CyberArkEPM_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: CyberArkEPMUsername, CyberArkEPMPassword и CyberArkEPMServerURL необходимы для вызова API.	Поддержка CyberArk
Журналы безопасности Киберпиона Соединитель данных журналов безопасности Cyberpion записывает журналы из системы Cyberpion непосредственно в Sentinel. Соединитель позволяет пользователям визуализировать свои данные, создавать оповещения и инциденты и улучшать исследования безопасности. Таблицы Log Analytics: - `CyberpionActionItems_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Подписка Cyberpion: для журналов киберпиона требуется подписка и учетная запись. Его можно получить здесь.	Киберпион
Оповещения, доступные для действий cybersixgill (с помощью функций Azure) Оповещения, доступные для действий, предоставляют настраиваемые оповещения на основе настроенных ресурсов Таблицы Log Analytics: - `CyberSixgill_Alerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: для выполнения вызовов API требуются Client_ID и Client_Secret .	Киберсиксгилл
Cyborg Security Hunter Хант пакеты охоты Cyborg Security является ведущим поставщиком передовых решений по поиску угроз, с миссией по расширению возможностей организаций с передовыми технологиями и средствами совместной работы для упреждающего обнаружения и реагирования на кибер-угрозы. Флагманское предложение Cyborg Security, платформа HUNTER, объединяет мощные аналитические данные, курированное содержимое охоты на угрозы и комплексные возможности управления охотой для создания динамической экосистемы для эффективных операций охоты на угрозы. Выполните действия, чтобы получить доступ к сообществу Cyborg Security и настроить возможности Open in Tool на платформе HUNTER. Таблицы Log Analytics: - `SecurityEvent` Поддержка правила сбора данных: В настоящее время не поддерживается	Безопасность Киборга
Оповещения об атаке Cyfirma Не применимо Таблицы Log Analytics: - `CyfirmaASCertificatesAlerts_CL` - `CyfirmaASConfigurationAlerts_CL` - `CyfirmaASDomainIPReputationAlerts_CL` - `CyfirmaASOpenPortsAlerts_CL` - `CyfirmaASCloudWeaknessAlerts_CL` - `CyfirmaASDomainIPVulnerabilityAlerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Cyfirma
Оповещения Cyfirma Brand Intelligence Не применимо Таблицы Log Analytics: - `CyfirmaBIDomainITAssetAlerts_CL` - `CyfirmaBIExecutivePeopleAlerts_CL` - `CyfirmaBIProductSolutionAlerts_CL` - `CyfirmaBISocialHandlersAlerts_CL` - `CyfirmaBIMaliciousMobileAppsAlerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Cyfirma
Оповещения о цифровых рисках Cyfirma Соединитель данных Cyfirma DeCYFIR/DeTCT Alerts обеспечивает простое прием журналов из API DeCYFIR/DeTCT в Microsoft Sentinel. В основе платформы соединителя Microsoft Sentinel без кода используется API оповещений DeCYFIR для получения журналов. Кроме того, он поддерживает преобразования времени приема данных на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость синтаксического анализа во время запроса, повышения производительности и эффективности. Таблицы Log Analytics: - `CyfirmaDBWMPhishingAlerts_CL` - `CyfirmaDBWMRansomwareAlerts_CL` - `CyfirmaDBWMDarkWebAlerts_CL` - `CyfirmaSPESourceCodeAlerts_CL` - `CyfirmaSPEConfidentialFilesAlerts_CL` - `CyfirmaSPEPIIAndCIIAlerts_CL` - `CyfirmaSPESocialThreatAlerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Cyfirma
События безопасности Cynerio Соединитель Cynerio позволяет легко подключать события безопасности Cynerio с помощью Microsoft Sentinel для просмотра событий IDS. Это дает более подробное представление о настройке сетевой безопасности организации и улучшении возможностей операций безопасности. Таблицы Log Analytics: - `CynerioEvent_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Cynerio
Соединитель Darktrace для REST API Microsoft Sentinel Соединитель REST API Darktrace отправляет события в режиме реального времени из Darktrace в Microsoft Sentinel и предназначен для использования с решением Darktrace для Sentinel. Соединитель записывает журналы в пользовательскую таблицу журналов с названием "darktrace_model_alerts_CL". Нарушения модели, инциденты, выявленные ИИ-аналитиком, системные оповещения и оповещения по электронной почте могут быть обработаны. Дополнительные фильтры можно настроить на странице конфигурации системы Darktrace. Данные отправляются в Sentinel с основных серверов Darktrace. Таблицы Log Analytics: - `darktrace_model_alerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Предварительные требования darktrace: для использования этого соединителя данных требуется главный мастер Darktrace под управлением версии 5.2+ . Данные отправляются в API сборщика HTTP-данных Azure Monitor по протоколу HTTPs из мастеров Darktrace, поэтому требуется исходящее подключение из мастера Darktrace к REST API Microsoft Sentinel. - Фильтрация данных Darktrace: во время настройки можно настроить дополнительную фильтрацию на странице "Конфигурация системы Darktrace", чтобы ограничить объем или типы отправленных данных. - Попробуйте решение Darktrace Sentinel: вы можете получить большую часть этого соединителя, установив решение Darktrace для Microsoft Sentinel. Это позволит книгам визуализировать данные оповещений и правила аналитики для автоматического создания оповещений и инцидентов из нарушений модели Darktrace и инцидентов аналитика ИИ.	Darktrace
Datalake2Sentinel Это решение устанавливает соединитель Datalake2Sentinel, который построен с помощью платформы соединителя без кода и позволяет автоматически прием индикаторов аналитики угроз из платформы CTI Datalake Orange Cyberdefense в Microsoft Sentinel с помощью REST API индикаторов отправки. После установки решения настройте и включите этот соединитель данных, следуя инструкциям в представлении решения "Управление". Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящее время не поддерживается	Оранжевый кибердефенс
Соединитель данных dataminr Pulse Alerts (с помощью функций Azure) Соединитель данных Dataminr Pulse Alerts Data Connector внедряет аналитику в режиме реального времени, основанную на искусственном интеллекте, в Microsoft Sentinel для более быстрого обнаружения угроз и реагирования. Таблицы Log Analytics: - `DataminrPulse_Alerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов. - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Обязательные учетные данные и разрешения Dataminr: a. У пользователей должен быть допустимый идентификатор клиента API Dataminr Pulse и секрет для использования этого соединителя данных. б. На веб-сайте Dataminr Pulse Watchlist необходимо настроить один или несколько списков отслеживания пульса Dataminr.	Поддержка Dataminr
Derdack SIGNL4 Когда критически важные системы завершаются сбоем или инцидентами безопасности, SIGNL4 перестраивает "последнюю милю" сотрудникам, инженерам, ИТ-администраторам и работникам в этой области. Он добавляет в службы, системы и процессы в режиме реального времени в режиме реального времени. SIGNL4 уведомляет о постоянной мобильной отправке, SMS-тексте и голосовых звонках с подтверждением, отслеживанием и эскалацией. Интегрированное планирование обязанностей и смены гарантирует, что правильные люди оповещены в нужное время. Подробнее> Таблицы Log Analytics: - `SecurityIncident` Поддержка правила сбора данных: В настоящее время не поддерживается	Derdack
Средство поиска цифровых теней (с помощью функций Azure) Соединитель данных Digital Shadows обеспечивает прием инцидентов и оповещений от цифрового средства поиска теней в Microsoft Sentinel с помощью REST API. Соединитель предоставит сведения об инцидентах и оповещениях, чтобы помочь в изучении, диагностике и анализе потенциальных рисков и угроз безопасности. Таблицы Log Analytics: - `DigitalShadows_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: идентификатор учетной записи Digital Shadows, секрет и ключ необходимы. Дополнительные сведения об API см. в `https://portal-digitalshadows.com/learn/searchlight-api/overview/description`документации.	Цифровые тени
DNS Соединитель журналов DNS позволяет легко подключать журналы аналитики и аудита DNS к Microsoft Sentinel и другим связанным данным, чтобы улучшить исследование. Если включить коллекцию журналов DNS, вы можете: — определите клиентов, пытающихся разрешить вредоносные доменные имена. — определение устаревших записей ресурсов. — Определите часто запрашиваемые доменные имена и разговорные DNS-клиенты. — Просмотр нагрузки запросов на DNS-серверах. — Просмотр динамических сбоев регистрации DNS. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `DnsEvents` - `DnsInventory` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Соединитель данных Doppel Соединитель данных основан на событиях и оповещениях Doppel в Microsoft Sentinel и поддерживает преобразования времени приема данных на основе DCR, которые анализируют полученные данные события безопасности в настраиваемые столбцы, чтобы запросы не нужно повторно анализировать их, что приводит к повышению производительности. Таблицы Log Analytics: - `DoppelTable_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Идентификатор клиента Microsoft Entra, идентификатор клиента и секрет клиента: идентификатор Microsoft Entra id требует идентификатора клиента и секрета клиента для проверки подлинности приложения. Кроме того, для назначения зарегистрированному приложению роли издателя метрик мониторинга группы ресурсов требуется уровень доступа глобального администратора или владельца. - Требуется идентификатор рабочей области, DCE-URI, DCR-ID: необходимо получить идентификатор рабочей области Log Analytics, URI приема журналов DCE и неизменяемый идентификатор DCR для конфигурации.	Doppel
Перетаскивание уведомлений через Cloud Sitestore Dragos Platform является ведущей промышленной платформой кибербезопасности, она предлагает комплексное обнаружение кибер-угроз операционной технологии (OT), созданное неоценимым опытом промышленной кибербезопасности. Это решение позволяет просматривать данные уведомлений о платформе Dragos в Microsoft Sentinel, чтобы аналитики безопасности могли просматривать потенциальные события кибербезопасности, происходящие в их промышленных средах. Таблицы Log Analytics: - `DragosAlerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Доступ к API Dragos Sitestore: учетная запись пользователя Sitestore с разрешением `notification:read` . Эта учетная запись также должна иметь ключ API, который можно предоставить Sentinel.	Dragos Inc
Соединитель событий Druva Предоставляет возможность приема событий Druva из API Druva Таблицы Log Analytics: - `DruvaSecurityEvents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Доступ к API Druva: ДЛЯ проверки подлинности API Druva требуется идентификатор клиента и секрет клиента.	Druva Inc
Dynamics 365 Finance and Operations Dynamics 365 for Finance and Operations — это комплексное решение для планирования ресурсов предприятия (ERP), которое объединяет финансовые и операционные возможности, помогающие предприятиям управлять своими повседневными операциями. Он предлагает ряд функций, позволяющих предприятиям оптимизировать рабочие процессы, автоматизировать задачи и получить аналитические сведения о производительности операций. Соединитель данных Dynamics 365 Finance and Operations выполняет прием действий администратора и операций Dynamics 365 Finance and Operations, а также журналов бизнес-процессов пользователей и действий приложений в Microsoft Sentinel. Таблицы Log Analytics: - `FinanceOperationsActivity_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Регистрация приложения Microsoft Entra: идентификатор клиента приложения и секрет, используемые для доступа к Dynamics 365 Finance and Operations.	Корпорация Майкрософт
Dynamics365 Соединитель действий Dynamics 365 Common Data Service (CDS) предоставляет аналитические данные о действиях администратора, пользователя и службы поддержки, а также события ведения журнала Microsoft Social Engagement. Подключив журналы Dynamics 365 CRM к Microsoft Sentinel, вы можете просматривать эти данные в книгах, использовать его для создания пользовательских оповещений и улучшения процесса исследования. Таблицы Log Analytics: - `Dynamics365Activity` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Атаки Dynatrace Этот соединитель использует REST API атак Dynatrace для приема обнаруженных атак в Microsoft Sentinel Log Analytics Таблицы Log Analytics: - `DynatraceAttacks_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace с включенным приложением Application Security , узнайте больше о платформе Dynatrace. - Маркер доступа Dynatrace: вам нужен маркер доступа Dynatrace, маркер должен иметь область атак чтения (атаки.read ).	Динатрац
Журналы аудита Dynatrace Этот соединитель использует REST API журналов аудита Dynatrace для приема журналов аудита клиента в Microsoft Sentinel Log Analytics Таблицы Log Analytics: - `DynatraceAuditLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace, чтобы узнать больше о платформе Dynatrace Начните бесплатную пробную версию. - Маркер доступа Dynatrace: требуется маркер доступа Dynatrace, маркер должен иметь область "Чтение журналов аудита " (auditLogs.read).	Динатрац
Проблемы dynatrace Этот соединитель использует REST API проблемы Dynatrace для приема событий проблем в Microsoft Sentinel Log Analytics Таблицы Log Analytics: - `DynatraceProblems_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace, чтобы узнать больше о платформе Dynatrace Начните бесплатную пробную версию. - Маркер доступа Dynatrace: вам нужен маркер доступа Dynatrace, маркер должен иметь область чтения (problems.read ).	Динатрац
Уязвимости среды выполнения Dynatrace Этот соединитель использует REST API проблемы безопасности Dynatrace для приема обнаруженных уязвимостей среды выполнения в Microsoft Sentinel Log Analytics. Таблицы Log Analytics: - `DynatraceSecurityProblems_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace с включенным приложением Application Security , узнайте больше о платформе Dynatrace. - Маркер доступа Dynatrace: требуется маркер доступа Dynatrace, маркер должен иметь область безопасности чтения (securityProblems.read).	Динатрац
Агент Elastic (автономный) Соединитель данных elastic Agent предоставляет возможность приема журналов эластичных агентов , метрик и данных безопасности в Microsoft Sentinel. Таблицы Log Analytics: - `ElasticAgentEvent` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Включите настраиваемые предварительные требования, если для подключения требуется - в противном случае удалите таможни: описание любого пользовательского предварительного требования	Корпорация Майкрософт
События безопасности браузера Ermes События безопасности браузера Ermes Таблицы Log Analytics: - `ErmesBrowserSecurityEvents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Идентификатор клиента Ermes и секрет клиента: включение доступа к API в Ermes. Обратитесь в службу поддержки кибербезопасности Ermes , чтобы получить дополнительные сведения.	Ermes Cyber Security S.p.A.
Защита платформы ESET (с помощью функций Azure) Соединитель данных ESET Protect Platform позволяет пользователям внедрять данные обнаружения из ESET Protect Platform с помощью предоставленного REST API интеграции. REST API интеграции выполняется как запланированное приложение-функция Azure. Таблицы Log Analytics: - `IntegrationTable_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Разрешение на регистрацию приложения в идентификаторе Microsoft Entra: требуются достаточные разрешения для регистрации приложения в клиенте Microsoft Entra. - Разрешение на назначение роли зарегистрированного приложения. Требуется разрешение на назначение роли издателя метрик мониторинга зарегистрированным приложению в идентификаторе Microsoft Entra ID.	Интеграция ESET Enterprise
Локальный сборщик Аналитики безопасности Exchange Соединитель, используемый для отправки конфигурации локальной безопасности Exchange для анализа Microsoft Sentinel Таблицы Log Analytics: - `ESIExchangeConfig_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Учетная запись службы с ролью управления организацией: учетная запись службы, которая запускает скрипт в качестве запланированной задачи, должна иметь возможность получения всех необходимых сведений о безопасности. - Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.	Сообщество
Сборщик Exchange Security Insights Online (с помощью функций Azure) Соединитель, используемый для отправки конфигурации безопасности Exchange Online для Анализа Microsoft Sentinel Таблицы Log Analytics: - `ESIExchangeOnlineConfig_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Разрешения microsoft.automation/automationaccounts: требуется разрешение на чтение и запись для создания службы автоматизации Azure с помощью Модуля Runbook. Дополнительные сведения см. в разделе "Учетная запись службы автоматизации". - Разрешения Microsoft.Graph: Groups.Read, Users.Read и Auditing.Read требуются разрешения для получения сведений о пользователях и группах, связанных с назначениями Exchange Online. Дополнительные сведения см. в документации. - Разрешения Exchange Online: разрешения Exchange.ManageAsApp и роль глобального читателя или читателя безопасности необходимы для получения конфигурации безопасности Exchange Online. Дополнительные сведения см. в документации. - (Необязательно) Разрешения хранилища журналов: участник данных BLOB-объектов хранилища в учетную запись хранения, связанную с управляемым удостоверением учетной записи службы автоматизации, или идентификатор приложения является обязательным для хранения журналов. Дополнительные сведения см. в документации.	Сообщество
F5 BIG-IP Соединитель брандмауэра F5 позволяет легко подключать журналы F5 к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности. Таблицы Log Analytics: - `F5Telemetry_LTM_CL` - `F5Telemetry_system_CL` - `F5Telemetry_ASM_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Сети F5
Веб-канал Этот соединитель позволяет приему ioCs из Feedly. Таблицы Log Analytics: - `feedly_indicators_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Пользовательские предварительные требования при необходимости удаляются в противном случае этот таможенный тег: описание любых пользовательских предварительных требований	Feedly Inc
Вспышка Соединитель Flare позволяет получать данные и аналитику от Flare в Microsoft Sentinel. Таблицы Log Analytics: - `Firework_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Необходимые разрешения Flare. Только администраторы организации Flare могут настроить интеграцию Microsoft Sentinel.	Вспышка
Принудительное защита от потери данных Соединитель Forcepoint DLP (Защита от потери данных) позволяет автоматически экспортировать данные инцидентов защиты от потери данных из Forcepoint DLP в Microsoft Sentinel в режиме реального времени. Это расширяет видимость действий пользователей и инцидентов потери данных, обеспечивает дополнительную корреляцию с данными из рабочих нагрузок Azure и других веб-каналов и улучшает возможности мониторинга с помощью книг в Microsoft Sentinel. Таблицы Log Analytics: - `ForcepointDLPEvents_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Сообщество
Forescout Соединитель данных Forescout предоставляет возможность приема событий Forescout в Microsoft Sentinel. Дополнительные сведения см. в документации Forescout. Таблицы Log Analytics: - `ForescoutEvent` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Монитор свойств узла Forescout Соединитель монитора свойств узла Forescout позволяет подключать свойства узла из платформы Forescout с помощью Microsoft Sentinel, просматривать, создавать пользовательские инциденты и улучшать исследование. Это дает более подробную информацию о сети организации и улучшает возможности операций безопасности. Таблицы Log Analytics: - `ForescoutHostProperties_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Требование подключаемого модуля Forescout: убедитесь, что подключаемый модуль Forescout Microsoft Sentinel запущен на платформе Forescout	Корпорация Майкрософт
Fortinet FortiNDR Cloud Соединитель данных Fortinet FortiNDR Cloud предоставляет возможность приема данных Fortinet FortiNDR Cloud в Microsoft Sentinel с помощью ОБЛАЧНОго API FortiNDR Таблицы Log Analytics: - `FncEventsSuricata_CL` - `FncEventsObservation_CL` - `FncEventsDetections_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные MetaStream: идентификатор ключа доступа AWS, секретный ключ доступа AWS, код облачной учетной записи FortiNDR требуется для получения данных о событиях. - Учетные данные API: маркер API FortiNDR Cloud API, для получения данных обнаружения требуются идентификаторы UUID облачной учетной записи FortiNDR .	Fortinet
Удаленные журналы GARrison ULTRA (с помощью функций Azure) Соединитель Garrison ULTRA Remote Logs позволяет интегрировать удаленные журналы Garrison ULTRA в Microsoft Sentinel. Таблицы Log Analytics: - `Garrison_ULTRARemoteLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Гаррисон УЛЬТРА: чтобы использовать этот соединитель данных, необходимо иметь активную лицензию Garrison ULTRA .	Гарнизон
Журналы аудита gCP Pub/Sub Журналы аудита Google Cloud Platform (GCP), полученные из соединителя Microsoft Sentinel, позволяют записывать три типа журналов аудита: журналы действий администратора, журналы доступа к данным и журналы прозрачности доступа. Журналы аудита облака Google записывают след, который практикующие специалисты могут использовать для мониторинга доступа и обнаружения потенциальных угроз в ресурсах Google Cloud Platform (GCP). Таблицы Log Analytics: - `GCPAuditLogs` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Журналы GCP Pub/Sub Load Balancer (через платформу соединителей без кода). Журналы Подсистемы балансировки нагрузки Google Cloud Platform (GCP) предоставляют подробные сведения о сетевом трафике, записывая как входящие, так и исходящие действия. Эти журналы используются для мониторинга шаблонов доступа и выявления потенциальных угроз безопасности в ресурсах GCP. Кроме того, эти журналы также включают журналы брандмауэра веб-приложений GCP (WAF), повышая способность обнаруживать и устранять риски эффективно. Таблицы Log Analytics: - `GCPLoadBalancerLogs_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Журналы потоков GCP Pub/Sub VPC (через платформу соединителей без кода) Журналы потоков VPC Google Cloud Platform (GCP) позволяют отслеживать активность сетевого трафика на уровне VPC, позволяя отслеживать шаблоны доступа, анализировать производительность сети и обнаруживать потенциальные угрозы в ресурсах GCP. Таблицы Log Analytics: - `GCPVPCFlow` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Соединитель данных Gigamon AMX Используйте этот соединитель данных для интеграции с экспортером метаданных приложений Gigamon (AMX) и получения данных непосредственно в Microsoft Sentinel. Таблицы Log Analytics: - `Gigamon_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Gigamon
GitHub (с помощью веб-перехватчиков) (с помощью функций Azure) Соединитель данных веб-перехватчика GitHub предоставляет возможность приема подписанных событий GitHub в Microsoft Sentinel с помощью событий веб-перехватчика GitHub. Соединитель предоставляет возможность получать события в Microsoft Sentinel, что помогает изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации и многое другое. Заметка: Если вы хотите принять журналы аудита Github, обратитесь к соединителю журнала аудита GitHub Enterprise из коллекции "Соединители данных". Таблицы Log Analytics: - `githubscanaudit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе "Функции Azure".	Корпорация Майкрософт
Журнал аудита GitHub Enterprise Соединитель журнала аудита GitHub предоставляет возможность приема журналов GitHub в Microsoft Sentinel. Подключив журналы аудита GitHub к Microsoft Sentinel, эти данные можно просмотреть в книгах, использовать его для создания пользовательских оповещений и улучшения процесса исследования. Примечание. Если вы намерены принять события подписки на GitHub в Microsoft Sentinel, обратитесь к соединителю GitHub (с помощью веб-перехватчиков) из коллекции "Соединители данных". Таблицы Log Analytics: - `GitHubAuditLogPolling_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Личные маркеры доступа к API GitHub: вам нужен личный маркер доступа GitHub, чтобы включить опрос для журнала аудита организации. Вы можете использовать классический маркер с областью read:org или более точного маркера с областью "Администрирование: только для чтения". - Тип GitHub Enterprise: этот соединитель будет работать только с GitHub Enterprise Cloud; он не будет поддерживать GitHub Enterprise Server.	Корпорация Майкрософт
Google ApigeeX (через платформу соединителей без кода) (предварительная версия) Соединитель данных Google ApigeeX предоставляет возможность приема журналов аудита в Microsoft Sentinel с помощью API Apigee Google. Дополнительные сведения см. в документации по API Google Apigee . Таблицы Log Analytics: - `GCPApigee` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Google Cloud Platform CDN (через платформу соединителей без кода) (предварительная версия) Соединитель данных CDN Google Cloud Platform предоставляет возможность приема журналов аудита Cloud CDN и журналов трафика Cloud CDN в Microsoft Sentinel с помощью API подсистемы вычислений. Дополнительные сведения см. в документе обзора продукта . Таблицы Log Analytics: - `GCPCDN` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Google Cloud Platform Cloud IDS (через платформу соединителей без кода) (предварительная версия) Соединитель данных Google Cloud Platform IDS предоставляет возможность приема журналов трафика Cloud IDS, журналов угроз и журналов аудита в Microsoft Sentinel с помощью API Google Cloud IDS. Дополнительные сведения см. в документации по API Cloud IDS . Таблицы Log Analytics: - `GCPIDS` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Google Cloud Platform Cloud Monitoring (с помощью функций Azure) Соединитель данных мониторинга облака Google Cloud Platform предоставляет возможность приема метрик мониторинга GCP в Microsoft Sentinel с помощью API мониторинга GCP. Дополнительные сведения см. в документации по API мониторинга GCP. Таблицы Log Analytics: - `GCP_MONITORING_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетная запись службы GCP: учетная запись службы GCP с разрешениями на чтение метрик облачного мониторинга необходима для API мониторинга GCP (необходимая роль средства просмотра мониторинга ). Также требуется json-файл с ключом учетной записи службы. Дополнительные сведения о создании учетной записи службы и создании ключа учетной записи службы см. в документации.	Корпорация Майкрософт
Google Cloud Platform DNS (через платформу соединителей без кода) Соединитель данных DNS Google Cloud Platform предоставляет возможность приема журналов облачных запросов DNS и журналов аудита облачных DNS в Microsoft Sentinel с помощью API Google Cloud DNS. Дополнительные сведения см. в документации по API Облачных DNS . Таблицы Log Analytics: - `GCPDNS` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Google Cloud Platform IAM (с помощью codeless Connector Framework) Соединитель данных IAM для Google Cloud Platform предоставляет возможность приема журналов аудита, связанных с действиями управления удостоверениями и доступом (IAM) в Google Cloud в Microsoft Sentinel с помощью API Google IAM. Дополнительные сведения см. в документации по API IAM GCP . Таблицы Log Analytics: - `GCPIAM` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Центр управления безопасностью Google Центр управления безопасностью Google Cloud Platform (GCP) — это комплексная платформа управления безопасностью и рисками для Google Cloud, полученная из соединителя Sentinel. Он предлагает такие функции, как инвентаризация активов и их обнаружение, обнаружение уязвимостей и угроз, а также смягчение и исправление рисков, которые помогут вам получить представление о безопасности и потенциальных угрозах для данных вашей организации. Эта интеграция позволяет выполнять задачи, связанные с выводами и ресурсами более эффективно. Таблицы Log Analytics: - `GoogleCloudSCC` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Google Workspace (G Suite) (с помощью функций Azure) Соединитель данных Google Workspace предоставляет возможность получения событий активности Google Workspace в Microsoft Sentinel через REST API. Соединитель предоставляет возможность получать события , которые помогают изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации, отслеживать, кто входит и когда, анализировать действия администратора, понять, как пользователи создают и совместно используют содержимое, а также другие события проверки в организации. Таблицы Log Analytics: - `GWorkspace_ReportsAPI_admin_CL` - `GWorkspace_ReportsAPI_calendar_CL` - `GWorkspace_ReportsAPI_drive_CL` - `GWorkspace_ReportsAPI_login_CL` - `GWorkspace_ReportsAPI_mobile_CL` - `GWorkspace_ReportsAPI_token_CL` - `GWorkspace_ReportsAPI_user_accounts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: Для REST API требуется GooglePickleString . Дополнительные сведения см. в разделе API. Инструкции по получению учетных данных отображаются во время установки. Вы можете проверить все требования и следовать инструкциям, приведенным здесь.	Корпорация Майкрософт
GrayNoise Threat Intelligence (с помощью функций Azure) Этот соединитель данных устанавливает приложение-функцию Azure для скачивания индикаторов GreyNoise один раз в день и вставляет их в таблицу ThreatIntelligenceIndicator в Microsoft Sentinel. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Ключ API GreyNoise: получите ключ API GreyNoiseздесь.	GreyNoise
Intergration HackerView (с помощью Функций Azure) С помощью интеграции API вы можете получить все проблемы, связанные с организациями HackerView, через интерфейс RESTful. Таблицы Log Analytics: - `HackerViewLog_Azure_1_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе "Функции Azure".	Управление киберугрывами 360
Данные ресурса безопасности Holm (с помощью функций Azure) Соединитель предоставляет возможность опроса данных из Центра безопасности Holm в Microsoft Sentinel. Таблицы Log Analytics: - `net_assets_CL` - `web_assets_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Маркер API безопасности Holm: требуется маркер API безопасности Holm. Токен API безопасности Holm	Безопасность Holm
Журналы IIS серверов Microsoft Exchange Server [Вариант 5] С помощью агента Azure Monitor можно передавать все журналы IIS с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование. Таблицы Log Analytics: - `W3CIISLog` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: — Azure Log Analytics не рекомендуется собирать данные из виртуальных машин, отличных от Azure, рекомендуется. Подробнее - Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.	Сообщество
Illumio SaaS (с помощью функций Azure) Соединитель Illumio предоставляет возможность приема событий в Microsoft Sentinel. Соединитель предоставляет возможность приема событий аудита и потоков из контейнера AWS S3. Таблицы Log Analytics: - `Illumio_Auditable_Events_CL` - `Illumio_Flow_Events_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY QUEUE_URL. Если вы используете контейнер s3, предоставляемый Illumio, обратитесь в службу поддержки Illumio. По запросу они предоставят вам имя контейнера AWS S3, URL-адрес AWS SQS и учетные данные AWS для доступа к ним. - Ключ и секрет API Illumio: ILLUMIO_API_KEYILLUMIO_API_SECRET требуется для книги, чтобы подключиться к SaaS PCE и получить ответы api.	Illumio
Imperva Cloud WAF (с помощью функций Azure) Соединитель данных Imperva Cloud WAF предоставляет возможность интеграции и приема событий Брандмауэр веб-приложений в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по интеграции с журналами. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `ImpervaWAFCloud_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: ImpervaAPIID, ImpervaAPIKey, ImpervaLogServerURI требуются для API. Дополнительные сведения см. в разделе "Настройка процесса интеграции журналов". Проверьте все требования и следуйте инструкциям по получению учетных данных. Обратите внимание, что этот соединитель использует формат события журнала CEF. Дополнительные сведения о формате журнала.	Корпорация Майкрософт
Infoblox Cloud Data Connector через AMA Соединитель облачных данных Infoblox позволяет легко подключать данные Infoblox к Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала. Таблицы Log Analytics: - `CommonSecurityLog` Поддержка правила сбора данных: Преобразование DCR рабочей области	Infoblox
Соединитель данных Infoblox через REST API Соединитель данных Infoblox позволяет легко подключать данные TIDE Infoblox и Dossier к Microsoft Sentinel. Подключив данные к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещений и обогащения аналитики угроз для каждого журнала. Таблицы Log Analytics: - `Failed_Range_To_Ingest_CL` - `Infoblox_Failed_Indicators_CL` - `dossier_whois_CL` - `dossier_tld_risk_CL` - `dossier_threat_actor_CL` - `dossier_rpz_feeds_records_CL` - `dossier_rpz_feeds_CL` - `dossier_nameserver_matches_CL` - `dossier_nameserver_CL` - `dossier_malware_analysis_v3_CL` - `dossier_inforank_CL` - `dossier_infoblox_web_cat_CL` - `dossier_geo_CL` - `dossier_dns_CL` - `dossier_atp_threat_CL` - `dossier_atp_CL` - `dossier_ptr_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов. - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: требуется ключ API Infoblox . Дополнительные сведения об API см. в документации по справочнику по REST API	Infoblox
Infoblox SOC Insights Data Connector через AMA Соединитель данных Infoblox SOC Insights позволяет легко подключать данные Infoblox BloxOne SOC Insights с помощью Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала. Этот соединитель данных отправляет журналы Infoblox SOC Insights CDC в рабочую область Log Analytics с помощью нового агента Azure Monitor. Дополнительные сведения о приеме с помощью нового агента Azure Monitor см. здесь. Корпорация Майкрософт рекомендует использовать этот соединитель данных. Таблицы Log Analytics: - `CommonSecurityLog` Поддержка правила сбора данных: Рабочая область преобразования DCR Необходимые условия: — Для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее — Общий формат событий (CEF) через AMA и Syslog через соединители данных AMA должен быть установлен. Подробнее	Infoblox
Соединитель данных Infoblox SOC Insights через REST API Соединитель данных Infoblox SOC Insights позволяет легко подключать данные Infoblox BloxOne SOC Insights с помощью Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала. Таблицы Log Analytics: - `InfobloxInsight_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Infoblox
Соединитель данных InfoSecGlobal Используйте этот соединитель данных для интеграции с InfoSec Crypto Analytics и получения данных, отправляемых непосредственно в Microsoft Sentinel. Таблицы Log Analytics: - `InfoSecAnalytics_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	InfoSecGlobal
Аудит администратора браузера Island Enterprise (опрос CCF) Соединитель "Администратор острова " предоставляет возможность приема журналов аудита администратора острова в Microsoft Sentinel. Таблицы Log Analytics: - `Island_Admin_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Ключ API острова: требуется ключ API острова.	Остров
Активность пользователя браузера Island Enterprise (опрос CCF) Соединитель Island предоставляет возможность приема журналов активности пользователей острова в Microsoft Sentinel. Таблицы Log Analytics: - `Island_User_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Ключ API острова: требуется ключ API острова.	Остров
Соединитель push-уведомлений Jamf Protect Соединитель Jamf Protect предоставляет возможность считывать необработанные данные событий из Jamf Protect в Microsoft Sentinel. Таблицы Log Analytics: - `jamfprotecttelemetryv2_CL` - `jamfprotectunifiedlogs_CL` - `jamfprotectalerts_CL` Поддержка правила сбора данных: Поддерживается Необходимые условия: - Microsoft Entra: разрешение на создание регистрации приложения в идентификаторе Microsoft Entra. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии. - Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR). Как правило, требуется роль владельца Azure RBAC или администратора доступа пользователей	Jamf Software, LLC
LastPass Enterprise — отчеты (опрос CCF) Соединитель LastPass Enterprise предоставляет возможность журналов отчетов LastPass (аудит) в Microsoft Sentinel. Соединитель обеспечивает видимость имен входа и действий в LastPass (например, чтение и удаление паролей). Таблицы Log Analytics: - `LastPassNativePoller_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Ключ API LastPass и CID: требуется ключ API LastPass и CID. Дополнительные сведения см. в разделе API LastPass.	Коллективный консультации
Lookout (с помощью функции Azure) Соединитель данных Lookout предоставляет возможность приема событий Lookout в Microsoft Sentinel через API мобильных рисков. Дополнительные сведения см. в документации по API. Соединитель данных Lookout предоставляет возможность получать события, которые помогают изучить потенциальные риски безопасности и многое другое. Таблицы Log Analytics: - `Lookout_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения API для мобильных рисков: EnterpriseName и ApiKey требуются для API мобильных рисков. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.	Наблюдение
Luminar IOCs и утечка учетных данных (с помощью функций Azure) Коннектор Luminar IOCs и утекших учетных данных позволяет интегрировать данные IOC, основанные на аналитике, и записи об утечках, связанные с клиентом, которые идентифицируются Luminar. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в Azure Active Directory() и назначения роли участника приложению в группе ресурсов. - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: идентификатор клиента Luminar, секрет клиента Luminar и идентификатор учетной записи Luminar .	Cognyte Luminar
MailGuard 365 Расширенная безопасность электронной почты MailGuard 365 для Microsoft 365. Эксклюзивный для Microsoft Marketplace, MailGuard 365 интегрирован с безопасностью Microsoft 365 (включительно. Defender) для расширенной защиты от расширенных угроз электронной почты, таких как фишинг, программ-шантажистов и сложные атаки BEC. Таблицы Log Analytics: - `MailGuard365_Threats_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	MailGuard 365
MailRisk по безопасной практике (с помощью функций Azure) Соединитель данных для отправки сообщений электронной почты из MailRisk в Microsoft Sentinel Log Analytics. Таблицы Log Analytics: - `MailRiskEmails_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные API. Также требуется пара ключей API Secure Practice, которая создается в параметрах на портале администрирования. Если вы потеряли секрет API, можно создать новую пару ключей (ПРЕДУПРЕЖДЕНИЕ: любые другие интеграции с помощью старой пары ключей перестают работать).	Безопасная практика
Microsoft 365 (ранее — Office 365) Соединитель журнала действий Microsoft 365 (ранее — Office 365) предоставляет аналитические сведения о текущих действиях пользователей. Вы получите сведения об операциях, таких как скачивание файлов, запросы на доступ, изменения в событиях группы, наборе почтовых ящиков и сведения о пользователе, выполняющем действия. Подключив журналы Microsoft 365 к Microsoft Sentinel, эти данные можно использовать для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения процесса исследования. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `OfficeActivity` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Управление рисками предварительной оценки Microsoft 365 Microsoft 365 Insider Risk Management — это решение для обеспечения соответствия требованиям в Microsoft 365, которое помогает свести к минимуму внутренние риски, позволяя обнаруживать, исследовать и действовать на вредоносных и непреднамеренных действиях в организации. Аналитики рисков в вашей организации могут быстро выполнить соответствующие действия, чтобы убедиться, что пользователи соответствуют стандартам соответствия вашей организации. Политики внутренних рисков позволяют выполнять следующие действия. — определите типы рисков, которые необходимо определить и обнаружить в организации. — решите, какие действия следует предпринять в ответ, включая эскалацию случаев в Microsoft Advanced eDiscovery при необходимости. Это решение создает оповещения, которые могут видеть клиенты Office в решении "Управление рисками предварительной оценки" в Центре соответствия требованиям Microsoft 365. Дополнительные сведения об управлении внутренними рисками. Эти оповещения можно импортировать в Microsoft Sentinel с помощью этого соединителя, что позволяет просматривать, исследовать и реагировать на них в более широком контексте угроз организации. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Журналы событий безопасности контроллеров домена Майкрософт Active-Directory [Вариант 3 и 4] С помощью агента Azure Monitor можно передавать часть или все журналы событий безопасности контроллеров домена с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование. Таблицы Log Analytics: - `SecurityEvent` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: — Azure Log Analytics не рекомендуется собирать данные из виртуальных машин, отличных от Azure, рекомендуется. Подробнее - Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.	Сообщество
Microsoft Dataverse Microsoft Dataverse — это масштабируемая и безопасная платформа данных, которая позволяет организациям хранить и управлять данными, используемыми бизнес-приложениями. Соединитель данных Microsoft Dataverse предоставляет возможность приема журналов действий Dataverse и Dynamics 365 CRM из журнала аудита Microsoft Purview в Microsoft Sentinel. Таблицы Log Analytics: - `DataverseActivity` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области. - Аудит Micorosft Purview: необходимо активировать аудит Microsoft Purview (стандартный или премиум). - Production Dataverse: ведение журнала действий доступно только для рабочих сред. Другие типы, такие как песочница, не поддерживают ведение журнала действий. - Параметры аудита dataverse: параметры аудита должны быть настроены как глобально, так и на уровне сущности или таблицы. Дополнительные сведения см. в разделе "Параметры аудита Dataverse".	Корпорация Майкрософт
Microsoft Defender для облачных приложений Подключаясь к Microsoft Defender для облака приложениям, вы получите представление о облачных приложениях, получите сложную аналитику для выявления и борьбы с киберугрозами и управления способом перемещения данных. — Определение теневых ОБЛАЧНЫх приложений ИТ в вашей сети. — Управление и ограничение доступа на основе условий и контекста сеанса. — Используйте встроенные или пользовательские политики для обмена данными и предотвращения потери данных. — Определение использования с высоким риском и получение оповещений для необычных действий пользователей с помощью аналитики поведения Майкрософт и возможностей обнаружения аномалий, включая действия программы-шантажисты, невозможное путешествие, подозрительные правила пересылки электронной почты и массовую загрузку файлов. — массовая загрузка файлов Развертывание сейчас > Таблицы Log Analytics: - `SecurityAlert` - `McasShadowItReporting` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Microsoft Defender для конечной точки Microsoft Defender для конечной точки — это платформа безопасности, которая позволяет предотвращать, обнаруживать, исследовать сложные угрозы и реагировать на них. Платформа создает предупреждения, когда в организации обнаруживаются подозрительные события безопасности. Получение в Microsoft Sentinel предупреждений, созданных в Microsoft Defender для конечной точки, чтобы можно было эффективно анализировать события безопасности. Можно создавать правила, строить панели мониторинга и разрабатывать сборники схем для немедленного реагирования. Дополнительные сведения см. в документации >по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Microsoft Defender для удостоверений Подключите Microsoft Defender для удостоверений, чтобы получить представление о событиях и аналитике пользователей. Microsoft Defender для удостоверений определяет, обнаруживает и помогает исследовать расширенные угрозы, скомпрометированные удостоверения и вредоносные действия, направленные на вашу организацию. Microsoft Defender для удостоверений позволяет аналитикам SecOp и специалистам по безопасности обнаруживать расширенные атаки в гибридных средах: — мониторинг пользователей, поведения сущностей и действий с помощью аналитики на основе обучения — защита удостоверений пользователей и учетных данных, хранящихся в Active Directory — Выявление и исследование подозрительных действий пользователей и расширенных атак в цепочке убийств — Предоставление четкой информации об инциденте на простой временной шкале для быстрого выполнения Попробуйте сейчас > Развертывание сейчас > Дополнительные сведения см. в документации >по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Microsoft Defender для Интернета вещей Получите аналитические сведения о безопасности в Интернете вещей, подключив оповещения Microsoft Defender для Интернета вещей в Microsoft Sentinel. Вы можете получить встроенные метрики и данные оповещений, включая тренды для оповещений, топ оповещений и разбивку оповещений по степени серьезности. Вы также можете получить сведения о рекомендациях, предоставленных центрам Интернета вещей, включая топ рекомендаций и рекомендации по степени серьезности. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Microsoft Defender для Office 365 (предварительная версия) Microsoft Defender для Office 365 защищает вашу организацию от вредоносных угроз, связанных с сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы. При приеме оповещений Microsoft Defender для Office 365 в Microsoft Sentinel вы можете включить сведения об угрозах на основе электронной почты и URL-адресов в более широкий анализ рисков и сценарии реагирования на сборку соответствующим образом. Будут импортированы следующие типы оповещений. — обнаружен потенциально вредоносный URL-адрес — Сообщения электронной почты, содержащие вредоносные программы, удаленные после доставки — Сообщения электронной почты, содержащие фишинговые URL-адреса, удаленные после доставки — Сообщение электронной почты, сообщаемое пользователем как вредоносные программы или фишинг — обнаруженные шаблоны отправки подозрительных сообщений электронной почты — пользователь, ограниченный от отправки электронной почты Эти оповещения можно увидеть клиентами Office в Центре безопасности и соответствия требованиям Office. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных:** В настоящее время не поддерживается	Корпорация Майкрософт
Аналитика угроз в Microsoft Defender Microsoft Sentinel предоставляет возможность импорта аналитики угроз, созданной корпорацией Майкрософт, для включения мониторинга, оповещения и охоты. Используйте этот соединитель данных для импорта индикаторов компрометации (IOCs) из Аналитика угроз Microsoft Defender (MDTI) в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов и т. д. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Microsoft Defender XDR XDR в Microsoft Defender — это единый, встроенный, предварительно и после брейщовый набор защиты предприятия, который защищает конечную точку, удостоверение, электронную почту и приложения и помогает обнаруживать, предотвращать, исследовать и автоматически реагировать на сложные угрозы. Набор XDR в Microsoft Defender включает: — Microsoft Defender для конечной точки — Microsoft Defender для удостоверений — Microsoft Defender для Office 365 — Управление угрозами и уязвимостями — Microsoft Defender для облачных приложений Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityIncident` - `SecurityAlert` - `DeviceEvents` - `EmailEvents` - `IdentityLogonEvents` - `CloudAppEvents` - `AlertEvidence` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Идентификатор Microsoft Entra Получите аналитические сведения об идентификаторе Microsoft Entra, подключив журналы аудита и входа в Microsoft Sentinel для сбора аналитических сведений о сценариях идентификатора Microsoft Entra ID. Журналы входа предоставляют сведения об использовании приложений, политиках условного доступа, а также об устаревшем способе проверки подлинности. Вы можете получить сведения об использовании самостоятельного сброса пароля (SSPR), действиях управления идентификаторами Microsoft Entra, таких как пользователь, группа, роль, управление приложениями с помощью таблицы журналов аудита. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SigninLogs` - `AuditLogs` - `AADNonInteractiveUserSignInLogs` - `AADServicePrincipalSignInLogs` - `AADManagedIdentitySignInLogs` - `AADProvisioningLogs` - `ADFSSignInLogs` - `AADUserRiskEvents` - `AADRiskyUsers` - `NetworkAccessTraffic` - `AADRiskyServicePrincipals` - `AADServicePrincipalRiskEvents` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Защита идентификаторов Microsoft Entra Защита идентификации Microsoft Entra предоставляет консолидированное представление о пользователях риска, событиях рисках и уязвимостях с возможностью немедленного устранения рисков и настройке политик для автоматического исправления будущих событий. Эта служба создана на основе опыта корпорации Майкрософт в области защиты идентификации пользователей и работает чрезвычайно точно, получая сведения о более чем 13 миллиардах входов в день. Интеграция оповещений Microsoft Защита идентификации Microsoft Entra с Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения исследования. Дополнительные сведения см. в документации по Microsoft Sentinel. Получение идентификатора Microsoft Entra ID Premium P1/P2 Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Журналы аудита администратора Microsoft Exchange по журналам событий [Вариант 1] С помощью агента Azure Monitor можно передавать все события аудита Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. Это используется книгами безопасности Microsoft Exchange для предоставления аналитических сведений о безопасности локальной среды Exchange. Таблицы Log Analytics: - `Event` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: — Azure Log Analytics не рекомендуется собирать данные из виртуальных машин, отличных от Azure, рекомендуется. Подробнее - Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.	Сообщество
Журналы прокси-сервера HTTP Microsoft Exchange [Вариант 7] С помощью агента Azure Monitor можно передавать журналы HTTP-прокси и журналы событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование. Подробнее Таблицы Log Analytics: - `ExchangeHttpProxy_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Azure Log Analytics будет нерекомендуем: Azure Log Analytics будет не рекомендуется собирать данные из виртуальных машин, отличных от Azure, Azure Arc рекомендуется. Подробнее - Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.	Сообщество
Журналы и события Microsoft Exchange [Вариант 2] С помощью агента Azure Monitor можно передавать все журналы событий Безопасности и приложений Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование. Таблицы Log Analytics: - `Event` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Azure Log Analytics будет нерекомендуем: Azure Log Analytics будет не рекомендуется собирать данные из виртуальных машин, отличных от Azure, Azure Arc рекомендуется. Подробнее - Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.	Сообщество
Журналы отслеживания сообщений Microsoft Exchange [Вариант 6] С помощью агента Azure Monitor можно передавать все сообщения Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Эти журналы можно использовать для отслеживания потока сообщений в среде Exchange. Этот соединитель данных основан на варианте 6 вики-сайта Безопасности Microsoft Exchange. Таблицы Log Analytics: - `MessageTrackingLog_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Azure Log Analytics будет нерекомендуем: Azure Log Analytics будет не рекомендуется собирать данные из виртуальных машин, отличных от Azure, Azure Arc рекомендуется. Подробнее - Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.	Сообщество
Microsoft Power Automate Power Automate — это служба Майкрософт, которая помогает пользователям создавать автоматизированные рабочие процессы между приложениями и службами для синхронизации файлов, получения уведомлений, сбора данных и т. д. Она упрощает автоматизацию задач, повышает эффективность, уменьшая ручную, повторяющуюся задачу и повышая производительность. Соединитель данных Power Automate предоставляет возможность приема журналов действий Power Automate из журнала аудита Microsoft Purview в Microsoft Sentinel. Таблицы Log Analytics: - `PowerAutomateActivity` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области. - Аудит Micorosft Purview: необходимо активировать аудит Microsoft Purview (стандартный или премиум).	Корпорация Майкрософт
Действие администратора Microsoft Power Platform Microsoft Power Platform — это набор с низким кодом или без кода, который позволяет разработчикам граждан и профессиональным разработчикам оптимизировать бизнес-процессы, позволяя создавать пользовательские приложения, автоматизацию рабочих процессов и анализ данных с минимальным кодом. Соединитель данных администратора Power Platform предоставляет возможность приема журналов действий администратора Power Platform из журнала аудита Microsoft Purview в Microsoft Sentinel. Таблицы Log Analytics: - `PowerPlatformAdminActivity` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области. - Аудит Micorosft Purview: необходимо активировать аудит Microsoft Purview (стандартный или премиум).	Корпорация Майкрософт
Microsoft PowerBI Microsoft PowerBI — это коллекция программных служб, приложений и соединителей, которые работают вместе, чтобы превратить несвязанные источники данных в последовательные, визуально иммерсивные и интерактивные аналитические сведения. Данные могут быть электронной таблицей Excel, коллекцией облачных и локальных гибридных хранилищ данных или хранилищем данных другого типа. Этот соединитель позволяет передавать журналы аудита PowerBI в Microsoft Sentinel, позволяя отслеживать действия пользователей в среде PowerBI. Вы можете фильтровать данные аудита по диапазону дат, пользователю, панели мониторинга, отчету, набору данных и типу действия. Таблицы Log Analytics: - `PowerBIActivity` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Microsoft Project Microsoft Project (MSP) — это программное обеспечение для управления проектами. В зависимости от плана Microsoft Project позволяет планировать проекты, назначать задачи, управлять ресурсами, создавать отчеты и многое другое. Этот соединитель позволяет передавать журналы аудита Проекта Azure в Microsoft Sentinel, чтобы отслеживать действия проекта. Таблицы Log Analytics: - `ProjectActivity` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Microsoft Purview Подключитесь к Microsoft Purview, чтобы включить обогащение конфиденциальности данных Microsoft Sentinel. Журналы классификации данных и меток конфиденциальности из сканирований Microsoft Purview можно получать и визуализировать с помощью книг, аналитических правил и т. д. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `PurviewDataSensitivityLogs` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Microsoft Purview Information Protection Microsoft Purview Information Protection помогает обнаруживать, классифицировать, защищать конфиденциальные данные и управлять ими, независимо от места расположения или перемещения. С помощью этих возможностей вы можете узнать данные, определить элементы, которые чувствительны и получить представление о том, как они используются для более эффективной защиты данных. Метки конфиденциальности — это базовая возможность, которая обеспечивает действия защиты, применение шифрования, ограничений доступа и визуальных пометок. Интеграция журналов Защита информации Microsoft Purview с Microsoft Sentinel для просмотра панелей мониторинга, создания пользовательских оповещений и улучшения исследования. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `MicrosoftPurviewInformationProtection` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Аудит Mimecast (с помощью функций Azure) Соединитель данных для Аудита Mimecast обеспечивает клиентам возможность видеть события безопасности, связанные с событиями аудита и аутентификации в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения о действиях пользователей, помочь в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений. Продукты Mimecast, включенные в соединитель, : Аудит Таблицы Log Analytics: - `Audit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов. - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.	Mimecast
Аудит Mimecast и проверка подлинности (с помощью функций Azure) Коннектор данных для Mimecast Audit & Authentication обеспечивает клиентам возможность видеть события безопасности, связанные с событиями аудита и проверки подлинности в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения о действиях пользователей, помочь в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений. Продукты Mimecast, включенные в соединитель, : Аудит и проверка подлинности Таблицы Log Analytics: - `MimecastAudit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации: — mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast — mimecastPassword: пароль для выделенного пользователя администратора Mimecast — mimecastAppId: идентификатор приложения API Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast — mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast — mimecastBaseURL: URL-адрес базового API Mimecast для регионального API > Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование \| Службы \| Интеграция API и платформы. > Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/ - Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать. - Приложение функций. Для использования этого соединителя необходимо зарегистрировать приложение Azure. 1. Идентификатор приложения 2. Идентификатор клиента 3. Идентификатор клиента 4. Секрет клиента	Mimecast
Обучение осведомленности Mimecast (с помощью функций Azure) Соединитель данных для Mimecast Awareness Training предоставляет клиентам видимость событий безопасности, связанных с технологиями проверки целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Продукты Mimecast, включенные в соединитель, : — сведения о производительности - Сведения о безопасной оценке — Пользовательские данные — Сведения о списке наблюдения Таблицы Log Analytics: - `Awareness_Performance_Details_CL` - `Awareness_SafeScore_Details_CL` - `Awareness_User_Data_CL` - `Awareness_Watchlist_Details_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов. - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.	Mimecast
Mimecast Cloud Integrated (using Azure Functions) Соединитель данных для Mimecast Cloud Integrated предоставляет клиентам видимость событий безопасности, связанных с технологиями облачной интегрированной проверки в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Таблицы Log Analytics: - `Cloud_Integrated_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов. - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.	Mimecast
Mimecast Intelligence для Майкрософт — Microsoft Sentinel (с помощью функций Azure) Соединитель данных для Mimecast Intelligence для Майкрософт предоставляет региональную аналитику угроз, курированную с помощью технологий проверки электронной почты Mimecast с предварительно созданными панелями мониторинга, чтобы аналитики могли просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на расследование. Необходимые продукты и функции Mimecast: — Безопасный шлюз электронной почты Mimecast — Аналитика угроз Mimecast Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации: — mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast — mimecastPassword: пароль для выделенного пользователя администратора Mimecast — mimecastAppId: идентификатор приложения API Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast — mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast — mimecastBaseURL: URL-адрес базового API Mimecast для регионального API > Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование \| Службы \| Интеграция API и платформы. > Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/ - Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать. - Приложение функций. Для использования этого соединителя необходимо зарегистрировать приложение Azure. 1. Идентификатор приложения 2. Идентификатор клиента 3. Идентификатор клиента 4. Секрет клиента	Mimecast
Безопасный шлюз электронной почты Mimecast (с помощью функций Azure) Соединитель данных для Шлюза безопасной электронной почты Mimecast позволяет легко собирать лог-файлы из Шлюза безопасной электронной почты, чтобы получать аналитическую информацию и отслеживать активность пользователей в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Необходимые продукты и функции Mimecast: — Безопасный шлюз электронной почты Mimecast — Предотвращение утечки данных Mimecast Таблицы Log Analytics: - `MimecastSIEM_CL` - `MimecastDLP_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации: — mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast — mimecastPassword: пароль для выделенного пользователя администратора Mimecast — mimecastAppId: идентификатор приложения API Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast — mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast — mimecastBaseURL: URL-адрес базового API Mimecast для регионального API > Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование \| Службы \| Интеграция API и платформы. > Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/ - Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать. - Приложение функций. Для использования этого соединителя необходимо зарегистрировать приложение Azure. 1. Идентификатор приложения 2. Идентификатор клиента 3. Идентификатор клиента 4. Секрет клиента	Mimecast
Безопасный шлюз электронной почты Mimecast (с помощью функций Azure) Соединитель данных для Шлюза безопасной электронной почты Mimecast позволяет легко собирать лог-файлы из Шлюза безопасной электронной почты, чтобы получать аналитическую информацию и отслеживать активность пользователей в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Необходимые продукты и функции Mimecast: — Облачный шлюз Mimecast — Предотвращение утечки данных Mimecast Таблицы Log Analytics: - `Seg_Cg_CL` - `Seg_Dlp_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов. - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.	Mimecast
Mimecast Targeted Threat Protection (using Azure Functions) Соединитель данных для Mimecast Targeted Threat Protection предоставляет клиентам видимость событий безопасности, связанных с технологиями проверки целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Продукты Mimecast, включенные в соединитель, : — защита URL-адреса — защита олицетворения — защита вложений Таблицы Log Analytics: - `MimecastTTPUrl_CL` - `MimecastTTPAttachment_CL` - `MimecastTTPImpersonation_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API. Для настройки интеграции вам потребуется следующее: — mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast — mimecastPassword: пароль для выделенного пользователя администратора Mimecast — mimecastAppId: идентификатор приложения API Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast — mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast — mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast — mimecastBaseURL: URL-адрес базового API Mimecast для регионального API > Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование \| Службы \| Интеграция API и платформы. > Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/	Mimecast
Mimecast Targeted Threat Protection (using Azure Functions) Соединитель данных для Mimecast Targeted Threat Protection предоставляет клиентам видимость событий безопасности, связанных с технологиями проверки целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Продукты Mimecast, включенные в соединитель, : — защита URL-адреса — защита олицетворения — защита вложений Таблицы Log Analytics: - `Ttp_Url_CL` - `Ttp_Attachment_CL` - `Ttp_Impersonation_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов. - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.	Mimecast
MISP2Sentinel Это решение устанавливает соединитель MISP2Sentinel, который позволяет автоматически отправлять индикаторы угроз из MISP в Microsoft Sentinel через REST API отправки индикаторов. После установки решения настройте и включите этот соединитель данных, следуя инструкциям в представлении решения "Управление". Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящее время не поддерживается	Сообщество
MuleSoft Cloudhub (с помощью функций Azure) Соединитель данных MuleSoft Cloudhub предоставляет возможность получения журналов из приложений Cloudhub с помощью API Cloudhub и дополнительных событий в Microsoft Sentinel через REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `MuleSoft_Cloudhub_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername и MuleSoftPassword необходимы для вызова API.	Корпорация Майкрософт
Защита NC NC Protect Data Connector (archtis.com) предоставляет возможность приема журналов и событий пользователя в Microsoft Sentinel. Соединитель обеспечивает видимость журналов действий и событий защиты пользователей в Microsoft Sentinel для улучшения возможностей мониторинга и исследования. Таблицы Log Analytics: - `NCProtectUAL_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Защита NC: у вас должен быть запущенный экземпляр NC Protect для O365. Обратитесь к нам.	archTIS
Netclean ProActive Incidents Этот соединитель использует Netclean Webhook (необходимый) и Logic Apps для загрузки данных в Log Analytics Microsoft Sentinel. Таблицы Log Analytics: - `Netclean_Incidents_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	NetClean
Оповещения и события Netskope Оповещения и события безопасности Netskope Таблицы Log Analytics: - `NetskopeAlerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - URL-адрес организации Netskope: соединитель данных Netskope требует предоставления URL-адреса организации. Url-адрес организации можно найти, войдите на портал Netskope. - Ключ API Netskope: соединитель данных Netskope требует предоставления допустимого ключа API. Вы можете создать его, следуя документации По Netskope.	Netskope
Соединитель данных Netskope (с помощью функций Azure) Соединитель данных Netskope предоставляет следующие возможности: 1. NetskopeToAzureStorage: >* Получение данных о оповещениях и событиях Netskope из Netskope и приема в хранилище Azure. 2. StorageToSentinel: >* Получение данных о оповещениях и событиях Netskope из хранилища Azure и приема в настраиваемую таблицу журналов в рабочей области Log Analytics. 3. WebTxMetrics: >* Получение данных WebTxMetrics из Netskope и прием в настраиваемую таблицу журналов в рабочей области Log Analytics. Дополнительные сведения о REST API см. в следующих документациях: 1. Документация по API Netskope: > https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/ 2. Документация по службе хранилища Azure: > /azure/storage/common/storage-introduction 3. Документация по аналитике журналов Майкрософт: > /azure/azure-monitor/logs/log-analytics-overview Таблицы Log Analytics: - `alertscompromisedcredentialdata_CL` - `alertsctepdata_CL` - `alertsdlpdata_CL` - `alertsmalsitedata_CL` - `alertsmalwaredata_CL` - `alertspolicydata_CL` - `alertsquarantinedata_CL` - `alertsremediationdata_CL` - `alertssecurityassessmentdata_CL` - `alertsubadata_CL` - `eventsapplicationdata_CL` - `eventsauditdata_CL` - `eventsconnectiondata_CL` - `eventsincidentdata_CL` - `eventsnetworkdata_CL` - `eventspagedata_CL` - `Netskope_WebTx_metrics_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в Azure Active Directory() и назначения роли участника приложению в группе ресурсов. - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: требуется клиент Netskope и токен API Netskope . Дополнительные сведения об API см. в документации по справочнику по REST API	Netskope
Соединитель данных веб-транзакций Netskope (с помощью функций Azure) Соединитель данных Netskope Web Transactions предоставляет функциональные возможности образа Docker для извлечения данных Netskope Web Transactions из google pubsublite, обработки данных и приема обработанных данных в Log Analytics. В рамках этого соединителя данных две таблицы будут сформированы в Log Analytics, одна для данных веб-транзакций и другая для ошибок, возникающих во время выполнения. Дополнительные сведения о веб-транзакциях см. в следующей документации: 1. Документация по веб-транзакциям Netskope: > https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/ Таблицы Log Analytics: - `NetskopeWebtxData_CL` - `NetskopeWebtxErrors_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов. - Разрешения Microsoft.Compute. Требуется разрешение на чтение и запись виртуальных машин Azure. Дополнительные сведения см. в статье о виртуальных машинах Azure. - Учетные данные и разрешения transactionEvents: требуется клиент Netskope и токен API Netskope. Дополнительные сведения см. в разделе "События транзакций". - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе "Функции Azure".	Netskope
Группы безопасности сети Группы безопасности сети Azure (NSG) позволяют фильтровать сетевой трафик в ресурсы Azure и из нее в виртуальной сети Azure. Группа безопасности сети включает правила, разрешающие или запрещающие трафик в подсеть виртуальной сети, сетевой интерфейс или оба. При включении ведения журнала для NSG можно собрать следующие типы данных журнала ресурсов: - Событие: Записи регистрируются, для которых правила NSG применяются к виртуальным машинам на основе MAC-адреса. - Счетчик правил: Содержит записи для того, сколько раз применяется каждое правило NSG для запрета или разрешения трафика. Состояние этих правил регистрируется каждые 300 секунд. Этот соединитель позволяет передавать журналы NSG диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `AzureDiagnostics` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Единый вход Okta Соединитель данных "Единый вход" Okta Single Sign-On (SSO) предоставляет возможность приема журналов аудита и событий из API журнала Okta Sysem в Microsoft Sentinel. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework и использует API системного журнала Okta для получения событий. Соединитель поддерживает преобразования времени приема данных на основе DCR, которые анализируют полученные данные событий безопасности в настраиваемые столбцы, чтобы запросы не должны повторно анализировать их, что приводит к повышению производительности. Таблицы Log Analytics: - `OktaSSO` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Токен API Okta: маркер API Okta. Следуйте приведенным ниже инструкциям , чтобы создать документацию , чтобы узнать больше об API системного журнала Okta.	Корпорация Майкрософт
Единый Sign-On Okta (с помощью функций Azure) Соединитель единого входа Okta предоставляет возможность приема журналов аудита и событий из API Okta в Microsoft Sentinel. Соединитель обеспечивает видимость этих типов журналов в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования. Таблицы Log Analytics: - `Okta_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Маркер API Okta: требуется маркер API Okta. Дополнительные сведения об API системного журнала Okta см. в документации.	Корпорация Майкрософт
Платформа IAM OneLogin (с помощью платформы соединителей без кода) Соединитель данных OneLogin предоставляет возможность приема распространенных событий Платформы OneLogin IAM в Microsoft Sentinel через REST API с помощью API событий OneLogin и API пользователей OneLogin. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `OneLoginEventsV2_CL` - `OneLoginUsersV2_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Учетные данные API OneLogin IAM. Чтобы создать учетные данные API, перейдите по ссылке документа, предоставленной здесь, щелкните здесь. Убедитесь, что у владельца учетной записи или администратора есть тип учетной записи, чтобы создать учетные данные API. После создания учетных данных API вы получите идентификатор клиента и секрет клиента.	Корпорация Майкрософт
Инфраструктура Oracle Cloud (с помощью функций Azure) Соединитель данных Oracle Cloud Infrastructure (OCI) предоставляет возможность приема журналов OCI из OCI Stream в Microsoft Sentinel с помощью REST API потоковой передачи OCI. Таблицы Log Analytics: - `OCI_Logs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные API OCI: файл конфигурации ключа API и закрытый ключ требуются для подключения API OCI. Дополнительные сведения о создании ключей для доступа к API см. в документации	Корпорация Майкрософт
Оповещения системы безопасности Orca Соединитель оповещений системы безопасности Orca позволяет легко экспортировать журналы оповещений в Microsoft Sentinel. Таблицы Log Analytics: - `OrcaAlerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Безопасность Orca
Palo Alto Cortex XDR Соединитель данных Palo Alto Cortex XDR позволяет прием журналов из API XDR Palo Alto Cortex в Microsoft Sentinel. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework. Он использует API XDR Palo Alto Cortex XDR для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не нуждались в повторном анализе, что приводит к повышению производительности. Таблицы Log Analytics: - `PaloAltoCortexXDR_Incidents_CL` - `PaloAltoCortexXDR_Endpoints_CL` - `PaloAltoCortexXDR_Audit_Management_CL` - `PaloAltoCortexXDR_Audit_Agent_CL` - `PaloAltoCortexXDR_Alerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Palo Alto Prisma Cloud CSPM (с помощью функций Azure) Соединитель данных Palo Alto Prisma Cloud CSPM предоставляет возможность приема оповещений Prisma Cloud CSPM и журналов аудита в Microsoft sentinel с помощью API Prisma Cloud CSPM. Дополнительные сведения см. в документации по API PRisma Cloud CSPM. Таблицы Log Analytics: - `PaloAltoPrismaCloudAlert_CL` - `PaloAltoPrismaCloudAudit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные API Для облака Palo Alto Prisma Cloud API: URL-адрес API Prisma Cloud, идентификатор ключа доступа к cloud Prisma Cloud Key, Prisma Cloud Secret Key требуется для подключения к облачному API Prisma. Дополнительные сведения о создании ключа доступа к cloud Access Prisma и получении URL-адреса API Prisma Cloud См. в документации.	Корпорация Майкрософт
Palo Alto Prisma Cloud CWPP (с помощью REST API) Соединитель данных Palo Alto Prisma Cloud CWPP позволяет подключаться к экземпляру Palo Alto Prisma Cloud CWPP и приему оповещений в Microsoft Sentinel. Соединитель данных основан на платформе соединителя Без кода Microsoft Sentinel и использует API Prisma Cloud для получения событий безопасности и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные события безопасности в настраиваемые столбцы, чтобы запросы не должны повторно анализировать их, что приводит к повышению производительности. Таблицы Log Analytics: - `PrismaCloudCompute_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Ключ API PrismaCloudCompute: требуется имя пользователя и пароль API Palo Alto Prisma Cloud CWPP Monitor. Дополнительные сведения см. в разделе API SIEM PrismaCloudCompute.	Корпорация Майкрософт
Журналы действий Периметра 81 Соединитель журналов действий Периметра 81 позволяет легко подключать журналы действий Периметра 81 с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Таблицы Log Analytics: - `Perimeter81_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Периметр 81
Устройства с люминофором Соединитель устройств Изфоруса предоставляет возможность приема журналов данных устройства в Microsoft Sentinel с помощью REST API для фосфора. Соединитель обеспечивает видимость устройств, зарегистрированных в Фосфоре. Этот соединитель данных извлекает сведения о устройствах вместе с соответствующими оповещениями. Таблицы Log Analytics: - `Phosphorus_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Учетные данные и разрешения REST API: требуется ключ API Для фосфора . Убедитесь, что ключ API, связанный с пользователем, имеет разрешения на управление параметрами. Следуйте этим инструкциям, чтобы включить разрешения "Управление параметрами". 1. Войдите в приложение «Фосфор» 2. Перейдите в раздел "Параметры" —> "Группы" 3. Выберите группу пользователя интеграции является частью 4. Перейдите к разделу "Действия продукта" —> переключите разрешение "Управление параметрами".	Люминофор инк.
Соединитель данных Prancer Соединитель данных Prancer предоставляет возможность приема данных Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] и PAC для обработки с помощью Microsoft Sentinel. Дополнительные сведения см. в документации Prancer. Таблицы Log Analytics: - `prancer_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Включите настраиваемые предварительные требования, если для подключения требуется - в противном случае удалите таможни: описание любого пользовательского предварительного требования	Интеграция Prancer PenSuiteAI
Аналитика угроз Microsoft Defender уровня "Премиум" Microsoft Sentinel предоставляет возможность импорта аналитики угроз, созданной корпорацией Майкрософт, для включения мониторинга, оповещения и охоты. Используйте этот соединитель данных для импорта индикаторов компрометации (IOCs) из premium Аналитика угроз Microsoft Defender (MDTI) в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов и т. д. Примечание. Это платный соединитель. Чтобы использовать и прием данных из него, приобретите номер SKU "ДОСТУП к API MDTI" из Центра партнеров. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Проверка безопасности электронной почты по запросу (с помощью платформы соединителей без кода) Соединитель данных Proofpoint On Demand Email Security обеспечивает получение данных Proofpoint on Demand Email Protection, позволяет пользователям проверять прослеживаемость сообщений, проводить мониторинг активности электронной почты, угроз и кражи данных злоумышленниками и злонамеренными инсайдерами. Коннектор предоставляет возможность просматривать события в вашей организации на ускоренной основе и получать файлы журналов событий с почасовым интервалом для недавних действий. Таблицы Log Analytics: - `ProofpointPODMailLog_CL` - `ProofpointPODMessage_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Учетные данные и разрешения API Websocket: ProofpointClusterID и ProofpointToken необходимы. Дополнительные сведения см. в разделе API.	Корпорация Майкрософт
Proofpoint TAP (с помощью платформы соединителей без кода) Соединитель Proofpoint Targeted Attack Protection (TAP) предоставляет возможность приема журналов и событий Proofpoint TAP в Microsoft Sentinel. Соединитель обеспечивает видимость событий Message и Click в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования. Таблицы Log Analytics: - `ProofPointTAPMessagesDeliveredV2_CL` - `ProofPointTAPMessagesBlockedV2_CL` - `ProofPointTAPClicksPermittedV2_CL` - `ProofPointTAPClicksBlockedV2_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Ключ API Proofpoint TAP: субъект-служба API Proofpoint TAP и секрет требуются для доступа к API SIEM Для проверки подлинности. Дополнительные сведения см. в разделе API Proofpoint SIEM.	Корпорация Майкрософт
Qualys VM KnowledgeBase (с помощью функций Azure) Коннектор KnowledgeBase (KB) Qualys Управление уязвимостями (VM) предоставляет возможность получения последних данных об уязвимостях из Qualys KB в Microsoft Sentinel. Эти данные могут использоваться для корреляции и обогащения выявленных уязвимостей, обнаруженных соединителем данных Qualys Vulnerability Management (VM). Таблицы Log Analytics: - `QualysKB_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Ключ API Qualys: требуется имя пользователя и пароль API виртуальных машин Qualys. Дополнительные сведения см. в разделе API виртуальных машин Qualys.	Корпорация Майкрософт
Управление уязвимостями Qualys (с помощью платформы соединителей без кода) Соединитель данных Qualys Vulnerability Management (VM) предоставляет возможность приема данных обнаружения узлов уязвимостей в Microsoft Sentinel через API Qualys. Соединитель обеспечивает видимость данных об обнаружении узлов из проверок вольверности. Таблицы Log Analytics: - `QualysHostDetectionV3_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Доступ к API и роли. Убедитесь, что пользователь виртуальной машины Qualys имеет роль читателя или более поздней версии. Если роль — читатель, убедитесь, что для учетной записи включен доступ к API. Роль аудитора не поддерживается для доступа к API. Дополнительные сведения см. в документе api обнаружения узлов виртуальных машин Qualys и сравнения ролей пользователей .	Корпорация Майкрософт
Radiflow iSID через AMA iSID обеспечивает неразрушительный мониторинг распределенных сетей ICS для изменений в топологии и поведении, используя несколько пакетов безопасности, каждый из которых предлагает уникальную возможность, относящуюся к конкретному типу сетевой активности. Таблицы Log Analytics: - `RadiflowEvent` Поддержка правила сбора данных: В настоящее время не поддерживается	Radiflow
Отчеты об управлении уязвимостями платформы Rapid7 Insights (с помощью функций Azure) Соединитель данных отчета об отчете виртуальной машины Rapid7 Insights предоставляет возможность приема отчетов сканирования и данных уязвимостей в Microsoft Sentinel с помощью REST API из платформы Rapid7 Insights (управляемой в облаке). Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `NexposeInsightVMCloud_assets_CL` - `NexposeInsightVMCloud_vulnerabilities_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные REST API: InsightsVMAPIKey требуется для REST API. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных	Корпорация Майкрософт
Соединитель облачных данных Rubrik Security (с помощью функций Azure) Соединитель облачных данных Rubrik Security позволяет группам по операциям безопасности интегрировать аналитические сведения из служб наблюдения за данными Rubrik в Microsoft Sentinel. Эти аналитические сведения включают идентификацию аномального поведения файловой системы, связанного с программ-шантажистов и массовым удалением, оценку радиуса взрыва атаки программы-шантажистов и операторов конфиденциальных данных, чтобы определить приоритеты и быстрее исследовать потенциальные инциденты. Таблицы Log Analytics: - `Rubrik_Anomaly_Data_CL` - `Rubrik_Ransomware_Data_CL` - `Rubrik_ThreatHunt_Data_CL` - `Rubrik_Events_Data_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе "Функции Azure".	Рубрик
Безопасность SaaS Подключает платформу безопасности SaaS Valence Azure Log Analytics через интерфейс REST API Таблицы Log Analytics: - `ValenceAlert_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Безопасность Valence
SailPoint IdentityNow (с помощью функции Azure) Подключаемый модуль данных SailPoint IdentityNow предоставляет возможность обработки событий поиска [SailPoint IdentityNow] в Microsoft Sentinel через REST API. Соединитель предоставляет клиентам возможность извлекать сведения аудита из своего клиента IdentityNow. Он предназначен для того, чтобы упростить перенос пользовательской активности и мероприятий по управлению IdentityNow в Microsoft Sentinel для улучшения аналитики вашего решения для мониторинга инцидентов безопасности и событий. Таблицы Log Analytics: - `SailPointIDN_Events_CL` - `SailPointIDN_Triggers_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные проверки подлинности API SailPoint IdentityNow: TENANT_ID, CLIENT_ID и CLIENT_SECRET требуются для проверки подлинности.	N/A
Cloud Salesforce Service Cloud (via Codeless Connector Framework) (предварительная версия) Соединитель данных Salesforce Service Cloud предоставляет возможность приема сведений о рабочих событиях Salesforce в Microsoft Sentinel через REST API. Соединитель предоставляет возможность просматривать события в организации на ускоренной основе, получать файлы журналов событий почасового увеличения для последних действий. Таблицы Log Analytics: - `SalesforceServiceCloudV2_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Доступ к облачному API Salesforce: требуется доступ к облачному API Службы Salesforce через подключенное приложение.	Корпорация Майкрософт
Samsung Knox Asset Intelligence (предварительная версия) Samsung Knox Asset Intelligence Data Connector позволяет централизировать события и журналы мобильной безопасности для просмотра настраиваемых аналитических сведений с помощью шаблона книги и выявления инцидентов на основе шаблонов правил аналитики. Таблицы Log Analytics: - `Samsung_Knox_Audit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Приложение Entra: приложение Entra должно быть зарегистрировано и подготовлено с ролью "Издатель метрик Майкрософт" и настроено с помощью сертификата или секрета клиента в качестве учетных данных для безопасной передачи данных. Дополнительные сведения о создании, регистрации и настройке учетных данных записей см. в руководстве по приему журналов.	Samsung Electronics Co., Ltd.
SAP BTP Платформа SAP Business Technology Platform (SAP BTP) объединяет управление данными, аналитику, искусственный интеллект, разработку приложений, автоматизацию и интеграцию в одной единой среде. Таблицы Log Analytics: - `SAPBTPAuditLog_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Идентификатор клиента и секрет клиента для API получения аудита: включение доступа к API в BTP.	Корпорация Майкрософт
Sap Enterprise Threat Detection, cloud edition Соединитель данных SAP Enterprise Threat Detection, cloud edition (ETD) позволяет прием оповещений системы безопасности из ETD в Microsoft Sentinel, поддерживая кросс-корреляцию, оповещения и поиск угроз. Таблицы Log Analytics: - `SAPETDAlerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Идентификатор клиента и секрет клиента для API извлечения ETD: включение доступа к API в ETD.	СОК
SAP LogServ (RISE), частный выпуск S/4HANA Cloud SAP LogServ — это служба SAP Enterprise Cloud Services (ECS), предназначенная для сбора, хранения, пересылки и доступа к журналам. LogServ центрирует журналы из всех систем, приложений и служб ECS, используемых зарегистрированным клиентом. Основные функции: Почти коллекция журналов в режиме реального времени: возможность интегрироваться в Microsoft Sentinel в качестве решения SIEM. LogServ дополняет существующий мониторинг угроз и обнаружение угроз на уровне приложений SAP в Microsoft Sentinel с типами журналов, принадлежащими SAP ECS в качестве поставщика системы. К ним относятся такие журналы: журнал аудита безопасности SAP (AS ABAP), база данных HANA, AS JAVA, ICM, веб-диспетчер SAP, SAP Cloud Connector, OS, шлюз SAP, 3-сторонная база данных, сеть, DNS, прокси-сервер, брандмауэр Таблицы Log Analytics: - `SAPLogServ_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Microsoft Entra: разрешение на создание регистрации приложения в идентификаторе Microsoft Entra. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии. - Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правилах сбора данных. Обычно требуется роль владельца Azure RBAC или администратора доступа пользователей.	СОК
SenservaPro (предварительная версия) Соединитель данных SenservaPro предоставляет возможность просмотра журналов сканирования SenservaPro. Просмотр панелей мониторинга данных, использование запросов для поиска и изучения и создания пользовательских оповещений. Таблицы Log Analytics: - `SenservaPro_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Senserva
SentinelOne Соединитель данных SentinelOne позволяет прием журналов из API SentinelOne в Microsoft Sentininel. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework. Он использует API SentinelOne для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не должны повторно анализировать их, что приводит к повышению производительности. Таблицы Log Analytics: - `SentinelOneActivities_CL` - `SentinelOneAgents_CL` - `SentinelOneGroups_CL` - `SentinelOneThreats_CL` - `SentinelOneAlerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
SentinelOne (с помощью функций Azure) Соединитель данных SentinelOne предоставляет возможность приема распространенных объектов сервера SentinelOne , таких как угрозы, агенты, приложения, действия, политики, группы и другие события в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API: `https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview`. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `SentinelOne_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: требуется SentinelOneAPIToken . Дополнительные сведения об API см. в `https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview`документации.	Корпорация Майкрософт
Seraphic Web Security Соединитель данных Seraphic Web Security предоставляет возможность приема событий и оповещений Seraphic Web Security в Microsoft Sentinel. Таблицы Log Analytics: - `SeraphicWebSecurity_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Ключ Seraphic API: ключ API для Microsoft Sentinel, подключенный к клиенту Seraphic Web Security. Чтобы получить этот ключ API для клиента, ознакомьтесь с этой документацией.	Серафическая безопасность
Консоль администрирования Silverfort Решение соединителя консоли администрирования Silverfort ITDR позволяет прием событий Silverfort и вход в Microsoft Sentinel. Silverfort предоставляет события на основе системного журнала и ведение журнала с помощью общего формата событий (CEF). Перенаправляя данные CEF консоли администрирования Silverfort ITDR в Microsoft Sentinel, вы можете воспользоваться преимуществами поиска Sentinels и корреляции, оповещения и обогащения аналитики угроз в данных Silverfort. Обратитесь к Silverfort или обратитесь к документации Silverfort для получения дополнительных сведений. Таблицы Log Analytics: - `CommonSecurityLog` Поддержка правила сбора данных: Преобразование DCR рабочей области	Silverfort
SINEC Security Guard Решение SINEC Security Guard для Microsoft Sentinel позволяет прием событий безопасности промышленных сетей из SINEC Security Guard в Microsoft Sentinel Таблицы Log Analytics: - `SINECSecurityGuard_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Сименс AG
SlackAudit (через платформу соединителей без кода) Соединитель данных SlackAudit предоставляет возможность приема журналов аудита Slack в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Таблицы Log Analytics: - `SlackAuditV2_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - UserName, SlackAudit API Key и Action Type: Чтобы создать маркер доступа, создайте новое приложение в Slack, а затем добавьте необходимые области и настройте URL-адрес перенаправления. Подробные инструкции по созданию маркера доступа, имени пользователя и ограничения имени действия см. в этой ссылке.	Корпорация Майкрософт
Snowflake (через платформу соединителей без кода) (предварительная версия) Соединитель данных Snowflake предоставляет возможность приема журналов журнала входа Snowflake, журналов журнала запросов, User-Grant журналов,Role-Grant журналов, журналов загрузки, журналов журнала загрузки, журналов журналов обновления материализованного представления, журналов обновлений ролей, журналов таблиц, журналов хранилища таблиц, пользователей входит в Microsoft Sentinel с помощью API SQL Snowflake. Дополнительные сведения см. в документации по API SQL Snowflake . Таблицы Log Analytics: - `SnowflakeLogin_CL` - `SnowflakeQuery_CL` - `SnowflakeUserGrant_CL` - `SnowflakeRoleGrant_CL` - `SnowflakeLoad_CL` - `SnowflakeMaterializedView_CL` - `SnowflakeRoles_CL` - `SnowflakeTables_CL` - `SnowflakeTableStorageMetrics_CL` - `SnowflakeUsers_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Соединитель данных Sonrai Используйте этот соединитель данных для интеграции с Sonrai Security и получения билетов Sonrai, отправленных непосредственно в Microsoft Sentinel. Таблицы Log Analytics: - `Sonrai_Tickets_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	N/A
Sophos Cloud Optix Соединитель Sophos Cloud Optix позволяет легко подключать журналы Sophos Cloud Optix с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Это дает вам больше сведений о состоянии облачной безопасности и соответствия требованиям вашей организации и улучшает возможности операций облачной безопасности. Таблицы Log Analytics: - `SophosCloudOptix_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Sophos
Sophos Endpoint Protection (с помощью функций Azure) Соединитель данных Sophos Endpoint Protection предоставляет возможность приема событий Sophos в Microsoft Sentinel. Дополнительные сведения см. в документации по центру администрирования Sophos. Таблицы Log Analytics: - `SophosEP_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: требуется маркер API . Дополнительные сведения см. в разделе "Маркер API"	Корпорация Майкрософт
Sophos Endpoint Protection (с помощью REST API) Соединитель данных Sophos Endpoint Protection предоставляет возможность приема событий Sophos и оповещений Sophos в Microsoft Sentinel. Дополнительные сведения см. в документации по центру администрирования Sophos. Таблицы Log Analytics: - `SophosEPEvents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Доступ к API Sophos Endpoint Protection: требуется доступ к API Sophos Endpoint Protection через субъект-службу.	Корпорация Майкрософт
Symantec Integrated Cyber Defense Exchange Соединитель Symantec ICDx позволяет легко подключать журналы решений безопасности Symantec с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности. Таблицы Log Analytics: - `SymantecICDx_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Системный журнал через AMA Системный журнал Syslog — это протокол ведения журнала событий, который обычно используется в Linux. Приложения отправляют сообщения, которые могут храниться на локальном компьютере или передаваться в сборщик системного журнала. Если агент для Linux установлен, он настраивает локальный демон syslog для отправки журналов агенту. Агент затем отправляет сообщение в рабочее пространство. Подробнее> Таблицы Log Analytics: - `Syslog` Поддержка правила сбора данных: Преобразование DCR рабочей области	Корпорация Майкрософт
Talon Insights Соединитель журналов безопасности Talon позволяет легко подключать события Talon и журналы аудита с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Таблицы Log Analytics: - `Talon_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Безопасность Талона
Соединитель данных Scout Team Cymru (с помощью функций Azure) Соединитель данных TeamCymruScout позволяет пользователям передавать IP-адрес Группы Cymru Scout, данные об использовании домена и учетной записи в Microsoft Sentinel для обогащения. Таблицы Log Analytics: - `Cymru_Scout_Domain_Data_CL` - `Cymru_Scout_IP_Data_Foundation_CL` - `Cymru_Scout_IP_Data_Details_CL` - `Cymru_Scout_IP_Data_Communications_CL` - `Cymru_Scout_IP_Data_PDNS_CL` - `Cymru_Scout_IP_Data_Fingerprints_CL` - `Cymru_Scout_IP_Data_OpenPorts_CL` - `Cymru_Scout_IP_Data_x509_CL` - `Cymru_Scout_IP_Data_Summary_Details_CL` - `Cymru_Scout_IP_Data_Summary_PDNS_CL` - `Cymru_Scout_IP_Data_Summary_OpenPorts_CL` - `Cymru_Scout_IP_Data_Summary_Certs_CL` - `Cymru_Scout_IP_Data_Summary_Fingerprints_CL` - `Cymru_Scout_Account_Usage_Data_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения команды Cymru Scout: требуется учетная запись Группы Cymru Scout (имя пользователя, пароль).	Команда Cymru
Десять удостоверений Соединитель для проверки подлинности удостоверений позволяет использовать индикаторы воздействия, индикаторы атак и журналов отслеживания данных в Microsoft Sentinel.Различные рабочие книги и средства анализа данных позволяют более легко управлять журналами и отслеживать среду Active Directory. Шаблоны аналитики позволяют автоматизировать ответы в отношении различных событий, воздействия и атак. Таблицы Log Analytics: - `Tenable_IE_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Доступ к конфигурации TenableIE: разрешения на настройку подсистемы оповещений системного журнала	Логичный
Управление десятью уязвимостями (с помощью функций Azure) Соединитель данных TVM предоставляет возможность приема данных активов, уязвимостей и соответствия требованиям в Microsoft Sentinel с помощью REST API TVM. Дополнительные сведения см. в документации по API. Соединитель предоставляет возможность получать данные, которые помогают изучить потенциальные риски безопасности, получить представление о вычислительных ресурсах, диагностировать проблемы конфигурации и многое другое Таблицы Log Analytics: - `Tenable_VM_Assets_CL` - `Tenable_VM_Vuln_CL` - `Tenable_VM_Compliance_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API. Для доступа к Тенеблируемому REST API требуется как TenableAccessKey , так и TenableSecretKey . Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.	Логичный
Microsoft Defender на основе клиента для облака Microsoft Defender для облака — это средство управления безопасностью, с помощью которого можно обнаруживать угрозы в Azure, гибридных и многооблачных рабочих нагрузках и быстро реагировать на них. Этот соединитель позволяет передавать оповещения безопасности MDC из Microsoft 365 Defender в Microsoft Sentinel, чтобы использовать преимущества корреляции XDR, соединяющие точки между облачными ресурсами, устройствами и удостоверениями, а также просматривать данные в книгах, запросах и анализе инцидентов и реагировании на них. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Проект TheHive — TheHive (с помощью функций Azure) Соединитель данных TheHive предоставляет возможность приема распространенных событий TheHive в Microsoft Sentinel через веб-перехватчики. TheHive может уведомлять внешнюю систему событий изменения (создание регистра, обновление оповещений, назначение задач) в режиме реального времени. При изменении в TheHive запрос HTTPS POST со сведениями о событии отправляется в URL-адрес соединителя данных обратного вызова. Дополнительные сведения см. в документации по веб-перехватчикам. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `TheHive_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения веб-перехватчиков: TheHiveBearerToken, URL-адрес обратного вызова необходим для работы веб-перехватчиков. Дополнительные сведения о настройке веб-перехватчиков см. в документации.	Корпорация Майкрософт
Теом Соединитель данныхOm позволяет организациям подключать среду Theom к Microsoft Sentinel. Это решение позволяет пользователям получать оповещения о рисках безопасности данных, создавать и дополнять инциденты, проверять статистику и запускать сборники схем SOAR в Microsoft Sentinel. Таблицы Log Analytics: - `TheomAlerts_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Теом
Аналитика угроз — TAXII Microsoft Sentinel интегрируется с источниками данных TAXII 2.0 и 2.1, чтобы обеспечить мониторинг, оповещение и поиск с помощью аналитики угроз. Используйте этот соединитель для отправки поддерживаемых типов объектов STIX с серверов TAXII в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов. Дополнительные сведения см. в документации >по Microsoft Sentinel. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Платформы аналитики угроз Microsoft Sentinel интегрируется с источниками данных Microsoft Graph Security API, чтобы обеспечить мониторинг, оповещение и охоту за угрозами с помощью аналитики угроз. Используйте этот соединитель для отправки индикаторов угроз в Microsoft Sentinel из платформы анализа угроз (TIP), например Threat Connect, Palo Alto Networks MindMeld, MISP, или других интегрированных приложений. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов. Дополнительные сведения см. в документации >по Microsoft Sentinel. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
API отправки аналитики угроз (предварительная версия) Microsoft Sentinel предлагает API плоскости данных для привлечения аналитики угроз из платформы аналитики угроз (TIP), например Threat Connect, Palo Alto Networks MineMeld, MISP или других интегрированных приложений. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса, хэши файлов и адреса электронной почты. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `ThreatIntelligenceIndicator` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Соединитель безопасности передачи (с помощью функций Azure) Соединитель данных [Передача безопасности] предоставляет возможность приема распространенных событий API безопасности передачи в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `TransmitSecurityActivity_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Идентификатор клиента REST API: Требуется Идентификатор клиента TransmitSecurityClientID . Дополнительные сведения об API см. в `https://developer.transmitsecurity.com/`документации. - Секрет клиента REST API: требуется ПередачаSecurityClientSecret . Дополнительные сведения об API см. в `https://developer.transmitsecurity.com/`документации.	Безопасность передачи
Trend Vision One (использование функций Azure) Соединитель Trend Vision One позволяет легко подключать данные оповещений Workbench с помощью Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследований. Это дает вам больше сведений о сетях и системах вашей организации и улучшает возможности операций безопасности. Соединитель Trend Vision One поддерживается в Microsoft Sentinel в следующих регионах: Восточная Австралия, Юго-Восточная Австралия, Южная Бразилия, Центральная Канада, Восточная Индия, Центральная Индия, Центральная Часть США, Восточная часть США, Восточная ЧАСТЬ США 2, Восточная Франция, Центральная Корея, Северная Европа, Северная Европа, Восточная Африка, Северная Африка, Южная Африка, Южная Часть США, Юго-Восточная Азия, Центральная Швеция, Северная Швейцария, Северная ОАЭ, Южная Великобритания, Западная Европа, Западная часть США, Западная часть США 2, Западная часть США 3. Таблицы Log Analytics: - `TrendMicro_XDR_WORKBENCH_CL` - `TrendMicro_XDR_RCA_Task_CL` - `TrendMicro_XDR_RCA_Result_CL` - `TrendMicro_XDR_OAT_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Маркер API Для распознавания трендов: требуется маркер API для распознавания трендов. Дополнительные сведения об API Trend Vision One см. в документации.	Trend Micro
Varonis SaaS Varonis SaaS предоставляет возможность приема оповещений Varonis в Microsoft Sentinel. Varonis определяет глубинную видимость данных, возможности классификации и автоматическое исправление для доступа к данным. Varonis создает одно приоритетное представление риска для ваших данных, поэтому вы можете упреждающим и систематически устранять риск от внутренних угроз и кибератак. Таблицы Log Analytics: - `VaronisAlerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в разделе "Функции Azure".	Varonis
Vectra XDR (с помощью функций Azure) Соединитель Vectra XDR предоставляет возможность приема обнаружения Vectra, аудита, оценки сущностей, блокировки, работоспособности и сущностей в Microsoft Sentinel через REST API Vectra. Обратитесь к документации API: `https://support.vectra.ai/s/article/KB-VS-1666` для получения дополнительной информации. Таблицы Log Analytics: - `Detections_Data_CL` - `Audits_Data_CL` - `Entity_Scoring_Data_CL` - `Lockdown_Data_CL` - `Health_Data_CL` - `Entities_Data_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: идентификатор клиента Vectra и секрет клиента требуются для сбора данных работоспособности, оценки сущностей, обнаружения, блокировки и аудита. Дополнительные сведения об API см. в `https://support.vectra.ai/s/article/KB-VS-1666`документации.	Поддержка Vectra
Облако VMware Carbon Black Cloud (с помощью функций Azure) Соединитель VMware Carbon Black Cloud предоставляет возможность приема данных углеродного черного цвета в Microsoft Sentinel. Соединитель обеспечивает видимость журналов аудита, уведомлений и событий в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования. Таблицы Log Analytics: - `CarbonBlackEvents_CL` - `CarbonBlackNotifications_CL` - `CarbonBlackAuditLogs_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Ключи API VMware Carbon Black: необходимы ключи API черного углерода и (или) API уровня SIEM. Дополнительные сведения об API углеродного черного цвета см. в документации. — Идентификатор API уровня доступа углеродного черного цвета и ключ требуется для журналов аудита и событий . — Идентификатор API уровня доступа углеродного черного цвета SIEM и ключ требуется для оповещений уведомлений . - Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступаAWS, имя контейнера AWS S3, имя папки в контейнере AWS S3 требуются для REST API Amazon S3.	Корпорация Майкрософт
VMware Carbon Black Cloud через AWS S3 VMware Carbon Black Cloud через соединитель данных AWS S3 предоставляет возможность приема списков наблюдения, оповещений, событий проверки подлинности и конечных точек через AWS S3 и потоковую передачу их в нормализованные таблицы ASIM. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `CarbonBlack_Alerts_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Среда. У вас должны быть следующие ресурсы AWS, определенные и настроенные: S3, Простая служба очередей (SQS), роли ИАМ и политики разрешений - Среда. Для создания контейнеров AWS S3 необходимо иметь учетную запись черного углерода и необходимые разрешения. Дополнительные сведения см. в документации по пересылке данных углеродного черного цвета	Корпорация Майкрософт
События Windows DNS через AMA Соединитель журналов DNS Windows позволяет легко фильтровать и передавать все журналы аналитики с DNS-серверов Windows в рабочую область Microsoft Sentinel с помощью агента мониторинга Azure (AMA). Наличие этих данных в Microsoft Sentinel помогает выявлять проблемы и угрозы безопасности, такие как: — попытка устранить вредоносные доменные имена. — устаревшие записи ресурсов. — Часто запрашиваемые доменные имена и разговорные DNS-клиенты. — Атаки, выполняемые на DNS-сервере. Вы можете получить следующие сведения о DNS-серверах Windows из Microsoft Sentinel: — Все журналы, централизованные в одном месте. — запрос нагрузки на DNS-серверы. — Динамические сбои регистрации DNS. События WINDOWS DNS поддерживаются расширенной информационной моделью SIEM (ASIM) и передают данные в таблицу ASimDnsActivityLogs. Подробнее. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `ASimDnsActivityLogs` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Брандмауэр Windows Брандмауэр Windows — это приложение Microsoft Windows, которое фильтрует сведения, поступающие в систему из Интернета, и блокирует потенциально опасные программы. Программное обеспечение блокирует передачу большинства программ через брандмауэр. Пользователи просто добавляют программу в список разрешенных программ, чтобы разрешить ему взаимодействовать через брандмауэр. При использовании общедоступной сети брандмауэр Windows также может защитить систему, блокируя все незапрошенные попытки подключения к компьютеру. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `WindowsFirewall` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
События брандмауэра Windows через AMA Брандмауэр Windows — это приложение Microsoft Windows, которое фильтрует сведения, поступающие в систему из Интернета, и блокирует потенциально опасные программы. Программное обеспечение брандмауэра блокирует взаимодействие большинства программ через брандмауэр. Для потоковой передачи журналов приложений брандмауэра Windows, собранных с компьютеров, используйте агент Azure Monitor (AMA) для потоковой передачи этих журналов в рабочую область Microsoft Sentinel. Для сбора журналов необходимо связать настроенную конечную точку сбора данных (DCE). Для этого соединителя DCE автоматически создается в том же регионе, что и рабочая область. Если вы уже используете DCE, хранящийся в том же регионе, можно изменить созданный по умолчанию DCE и использовать существующий через API. Контроллеры домена могут находиться в ресурсах с префиксом SentinelDCE в имени ресурса. Дополнительные сведения см. в следующих статьях: - Конечные точки сбора данных в Azure Monitor - Документация по Microsoft Sentinel Таблицы Log Analytics: - `ASimNetworkSessionLogs` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
События пересылки Windows Вы можете передавать все журналы пересылки событий Windows (WEF) из серверов Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Azure Monitor (AMA). Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `WindowsEvent` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
События безопасности Windows через AMA Вы можете выполнять потоковую передачу всех событий безопасности из виртуальных машин Windows, подключенных к рабочей области Microsoft Sentinel, с использованием агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityEvent` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
API WithSecure Elements (Функция Azure) WithSecure Elements — это единая облачная платформа кибербезопасности, предназначенная для снижения риска, сложности и неэффективности. Повышение безопасности от конечных точек до облачных приложений. Вооружитесь всеми типами киберугрышных угроз, от целевых атак до программ-шантажистов нулевого дня. WithSecure Elements объединяет мощные прогнозные, профилактические и адаптивные возможности безопасности — все управляемые и отслеживаемые через единый центр безопасности. Наша модульная структура и гибкие модели ценообразования дают вам свободу развиваться. С нашим опытом и пониманием, вы всегда будете иметь возможность - и вы никогда не будете одиноки. Интеграция Microsoft Sentinel позволяет сопоставить данные событий безопасности из решения WithSecure Elements с данными из других источников, что позволяет получить широкий обзор всей среды и ускорить реакцию на угрозы. При развертывании этой функции Azure в клиенте периодически опрашивать события безопасности WithSecure Elements. Дополнительные сведения см. на нашем веб-сайте: https://www.withsecure.com Таблицы Log Analytics: - `WsSecurityEvents_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - С учетными данными клиента APISecure Elements: необходимы учетные данные клиента. Дополнительные сведения см. в документации.	WithSecure
Wiz (использование функций Azure) Соединитель Wiz позволяет легко отправлять журналы ошибок, уязвимостей и аудита Wiz в Microsoft Sentinel. Таблицы Log Analytics: - `union isfuzzy=true <br>(WizIssues_CL),<br>(WizIssuesV2_CL)` - `union isfuzzy=true <br>(WizVulnerabilities_CL),<br>(WizVulnerabilitiesV2_CL)` - `union isfuzzy=true <br>(WizAuditLogs_CL),<br>(WizAuditLogsV2_CL)` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные учетной записи службы Wiz. Убедитесь, что у вас есть идентификатор клиента и секрет клиента Wiz, URL-адрес конечной точки API и URL-адрес проверки подлинности. Инструкции можно найти в документации По Wiz.	Волшебник
Действие пользователя Workday Соединитель данных о действиях пользователя Workday предоставляет возможность приема журналов действий пользователей из API Workday в Microsoft Sentinel. Таблицы Log Analytics: - `ASimAuditEventLogs` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Доступ к API действий пользователя Workday: требуется доступ к API действий пользователя Workday через Oauth. Клиент API должен иметь область действия: система и она должна быть авторизована учетной записью с разрешениями системного аудита.	Корпорация Майкрософт
Workplace from Facebook (using Azure Functions) Соединитель данных Workplace предоставляет возможность приема распространенных событий Workplace в Microsoft Sentinel через веб-перехватчики. С помощью веб-перехватчиков настраиваемые приложения интеграции могут подписываться на события в Workplace и получать обновления в режиме реального времени. При изменении в Workplace запрос HTTPS POST со сведениями о событии отправляется в URL-адрес соединителя данных обратного вызова. Дополнительные сведения см. в документации по веб-перехватчикам. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `Workplace_Facebook_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения веб-перехватчиков: WorkplaceAppSecret, WorkplaceVerifyToken, URL-адрес обратного вызова необходим для работы веб-перехватчиков. Дополнительные сведения о настройке веб-перехватчиков и настройке разрешений см. в документации.	Корпорация Майкрософт
Аудит сегментов нулевых сетей Соединитель данных аудита сегментов нулевых сетей предоставляет возможность приема событий аудита нулевых сетей в Microsoft Sentinel через REST API. Этот соединитель данных использует собственные возможности опроса Microsoft Sentinel. Таблицы Log Analytics: - `ZNSegmentAuditNativePoller_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Маркер API Zero Networks: ZeroNetworksAPIToken требуется для REST API. Ознакомьтесь с руководством по API и следуйте инструкциям по получению учетных данных.	Ноль сетей
Аудит сегментов нулевых сетей (функция) (с помощью функций Azure) Соединитель данных аудита сегментов нулевых сетей предоставляет возможность приема событий аудита в Microsoft Sentinel через REST API. Дополнительные сведения см. в руководстве по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `ZNSegmentAudit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные REST API: для REST API требуется маркер APIсегмента нулевых сетей. См. руководство по API.	Ноль сетей
ZeroFox CTI (с помощью функций Azure) Соединители данных ZeroFox CTI предоставляют возможность приема различных оповещений аналитики кибер-угроз ZeroFox в Microsoft Sentinel. Таблицы Log Analytics: - `ZeroFox_CTI_advanced_dark_web_CL` - `ZeroFox_CTI_botnet_CL` - `ZeroFox_CTI_breaches_CL` - `ZeroFox_CTI_C2_CL` - `ZeroFox_CTI_compromised_credentials_CL` - `ZeroFox_CTI_credit_cards_CL` - `ZeroFox_CTI_dark_web_CL` - `ZeroFox_CTI_discord_CL` - `ZeroFox_CTI_disruption_CL` - `ZeroFox_CTI_email_addresses_CL` - `ZeroFox_CTI_exploits_CL` - `ZeroFox_CTI_irc_CL` - `ZeroFox_CTI_malware_CL` - `ZeroFox_CTI_national_ids_CL` - `ZeroFox_CTI_phishing_CL` - `ZeroFox_CTI_phone_numbers_CL` - `ZeroFox_CTI_ransomware_CL` - `ZeroFox_CTI_telegram_CL` - `ZeroFox_CTI_threat_actors_CL` - `ZeroFox_CTI_vulnerabilities_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения API ZeroFox: имя пользователя ZeroFox, личный маркер доступа ZeroFox требуется для REST API ZeroFox CTI.	ZeroFox
ZeroFox Enterprise — оповещения (опрос CCF) Собирает оповещения из API ZeroFox. Таблицы Log Analytics: - `ZeroFoxAlertPoller_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Маркер личного доступа ZeroFox (PAT) — требуется ПУТЬ к ZeroFox. Его можно получить в > данных.	ZeroFox
Защита от угроз Zimperium Mobile Соединитель Zimperium Mobile Threat Defense позволяет подключать журнал угроз Zimperium с помощью Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения исследования. За счет этого вы получите более полное представление о ландшафте угроз для мобильных устройств своей организации и сможете более эффективно обеспечивать безопасность. Таблицы Log Analytics: - `ZimperiumThreatLog_CL` Поддержка правила сбора данных: В настоящее время не поддерживается	Zimperium
Масштабирование отчетов (с помощью функций Azure) Соединитель данных zoom Reports предоставляет возможность приема событий Масштабирования отчетов в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. Таблицы Log Analytics: - `Zoom_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: AccountID, ClientID и ClientSecret требуются для API масштабирования. Дополнительные сведения см. в разделе API масштабирования. Следуйте инструкциям по конфигурациям API Масштабирования.	Корпорация Майкрософт

Устаревшие соединители данных Sentinel

Примечание.

В следующей таблице перечислены устаревшие и устаревшие соединители данных. Устаревшие соединители больше не поддерживаются.

Соединитель	Поддерживается
[Не рекомендуется] Аудит Atlassian Confluence (с помощью функций Azure) Соединитель данных аудита Atlassian Confluence предоставляет возможность интеграции записей аудита Confluence для получения дополнительных сведений. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: - `Confluence_Audit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: ConfluenceAccessToken, ConfluenceUsername требуется для REST API. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.	Корпорация Майкрософт
[Не рекомендуется] Конечная точка Cisco Secure Endpoint (AMP) (с помощью функций Azure) Соединитель данных Cisco Secure Endpoint (прежнее название — AMP для конечных точек) предоставляет возможность получения журналов аудита и событий из Cisco Secure Endpoint в Microsoft Sentinel. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные API безопасной конечной точки Cisco: требуются идентификатор клиента и ключ API Cisco Secure Endpoint. Дополнительные сведения см. в разделе API безопасной конечной точки Cisco. Домен API также должен быть предоставлен.	Корпорация Майкрософт
[Не рекомендуется] Google Cloud Platform DNS (с помощью функций Azure) Соединитель данных DNS Google Cloud Platform предоставляет возможность приема журналов запросов Cloud DNS и журналов аудита Cloud DNS в Microsoft Sentinel с помощью GCP Logging API. Дополнительные сведения см. в документации по API ведения журнала GCP. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетная запись службы GCP: для API ведения журнала GCP требуется учетная запись службы GCP с разрешениями на чтение журналов (с разрешением log.logEntries.list). Также требуется json-файл с ключом учетной записи службы. Дополнительные сведения о разрешениях, создании учетной записи службы и создании ключа учетной записи службы см. в документации.	Корпорация Майкрософт
[Не рекомендуется] Google Cloud Platform IAM (использование функций Azure) Соединитель данных Google Cloud Platform Identity and Access Management (IAM) предоставляет возможность приема журналов GCP IAM в Microsoft Sentinel с использованием API журналирования GCP. Дополнительные сведения см. в документации по API ведения журнала GCP. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетная запись службы GCP: для API ведения журнала GCP требуется учетная запись службы GCP с разрешениями на чтение журналов. Также требуется json-файл с ключом учетной записи службы. Дополнительные сведения о необходимых разрешениях, создании учетной записи службы и создании ключа учетной записи службы см. в документации.	Корпорация Майкрософт
[Не рекомендуется] Infoblox SOC Insights Data Connector через устаревший агент Соединитель данных Infoblox SOC Insights позволяет легко подключать данные Infoblox BloxOne SOC Insights с помощью Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала. Этот соединитель данных отправляет журналы Infoblox SOC Insights CDC в рабочую область Log Analytics с помощью устаревшего агента Log Analytics. Корпорация Майкрософт рекомендует установить соединитель данных Infoblox SOC Insights через соединитель AMA. Устаревший соединитель использует агент Log Analytics, который не рекомендуется использовать 31 августа 2024 г. и должен быть установлен только в том месте, где AMA не поддерживается. Использование MMA и AMA на одном компьютере может привести к дублированию журналов и дополнительным затратам на прием. Дополнительные сведения. Таблицы Log Analytics: - `CommonSecurityLog` Поддержка правила сбора данных: Преобразование DCR рабочей области	Infoblox
[Не рекомендуется] Журналы и события Microsoft Exchange Не рекомендуется использовать соединители данных ESI-Opt. Вы можете передавать все события аудита Exchange, журналы IIS, журналы прокси-сервера HTTP и журналы событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. Это используется книгами безопасности Microsoft Exchange для предоставления аналитических сведений о безопасности локальной среды Exchange. Таблицы Log Analytics: - `Event` - `SecurityEvent` - `W3CIISLog` - `MessageTrackingLog_CL` - `ExchangeHttpProxy_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: — Azure Log Analytics не рекомендуется собирать данные из виртуальных машин, отличных от Azure, рекомендуется. Подробнее - Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.	Сообщество
[Не рекомендуется] Платформа IAM OneLogin (с помощью функций Azure) Соединитель данных OneLogin предоставляет возможность приема распространенных событий платформы OneLogin IAM в Microsoft Sentinel через веб-перехватчики. API веб-перехватчика событий OneLogin, который также называется вещателем событий, будет отправлять пакеты событий практически в режиме реального времени в указанную конечную точку. При изменении в OneLogin запрос HTTPS POST со сведениями о событии отправляется в URL-адрес соединителя данных обратного вызова. Дополнительные сведения см. в документации по веб-перехватчикам. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения веб-перехватчиков: OneLoginBearerToken, URL-адрес обратного вызова необходим для работы веб-перехватчиков. Дополнительные сведения о настройке веб-перехватчиков см. в документации. Необходимо создать OneLoginBearerToken в соответствии с вашими требованиями к безопасности и использовать его в разделе "Пользовательские заголовки " в формате: Authorization: Bearer OneLoginBearerToken. Формат журналов: массив JSON.	Корпорация Майкрософт
[Не рекомендуется] Проверка безопасности электронной почты по запросу (с помощью функций Azure) Соединитель данных Proofpoint On Demand Email Security обеспечивает получение данных Proofpoint on Demand Email Protection, позволяет пользователям проверять прослеживаемость сообщений, проводить мониторинг активности электронной почты, угроз и кражи данных злоумышленниками и злонамеренными инсайдерами. Коннектор предоставляет возможность просматривать события в вашей организации на ускоренной основе и получать файлы журналов событий с почасовым интервалом для недавних действий. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: - `ProofpointPOD_message_CL` - `ProofpointPOD_maillog_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения API Websocket: ProofpointClusterID, ProofpointToken требуется. Дополнительные сведения см. в разделе API.	Корпорация Майкрософт
[Не рекомендуется] Proofpoint TAP (с помощью Функций Azure) Соединитель Proofpoint Targeted Attack Protection (TAP) предоставляет возможность приема журналов и событий Proofpoint TAP в Microsoft Sentinel. Соединитель обеспечивает видимость событий Message и Click в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: - `ProofPointTAPMessagesDelivered_CL` - `ProofPointTAPMessagesBlocked_CL` - `ProofPointTAPClicksPermitted_CL` - `ProofPointTAPClicksBlocked_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Ключ API Proofpoint TAP: требуется имя пользователя и пароль API Proofpoint TAP. Дополнительные сведения см. в разделе API Proofpoint SIEM.	Корпорация Майкрософт
[Не рекомендуется] Управление уязвимостями Qualys (с помощью функций Azure) Соединитель данных Qualys Vulnerability Management (VM) предоставляет возможность приема данных обнаружения узлов уязвимостей в Microsoft Sentinel через API Qualys. Соединитель обеспечивает видимость данных об обнаружении узлов из проверок вольверности. Этот соединитель предоставляет Microsoft Sentinel возможность просмотра панелей мониторинга, создания пользовательских оповещений и улучшения исследования ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: - `QualysHostDetectionV2_CL` - `QualysHostDetection_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Ключ API Qualys: требуется имя пользователя и пароль API виртуальных машин Qualys. Дополнительные сведения см. в разделе API виртуальных машин Qualys.	Корпорация Майкрософт
[Не рекомендуется] Cloud Salesforce Service Cloud (с помощью функций Azure) Соединитель данных Salesforce Service Cloud предоставляет возможность приема сведений о рабочих событиях Salesforce в Microsoft Sentinel через REST API. Соединитель предоставляет возможность просматривать события в организации на ускоренной основе, получать файлы журналов событий почасового увеличения для последних действий. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API: имя пользователя API Salesforce, пароль API Salesforce, маркер безопасности Salesforce, ключ потребителя Salesforce, секрет потребителя Salesforce требуется для REST API. Дополнительные сведения см. в разделе API.	Корпорация Майкрософт
[Не рекомендуется] Аудит Slack (использование функций Azure) Коннектор данных аудита Slack предоставляет возможность передачи событий из записей аудита Slack в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: - `SlackAudit_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные и разрешения REST API. Для REST API требуется SlackAPIBearerToken . Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.	Корпорация Майкрософт
[Не рекомендуется] Snowflake (использование функций Azure) Соединитель данных Snowflake предоставляет возможность приема журналов входа Snowflake и запросов в Microsoft Sentinel с помощью соединителя Python Snowflake. Дополнительные сведения см. в документации по Snowflake. ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP. Таблицы Log Analytics: - `Snowflake_CL` Поддержка правила сбора данных: В настоящий момент не поддерживается Необходимые условия: - Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure. - Учетные данные Snowflake: идентификатор учетной записи Snowflake, пользователь Snowflake и пароль Snowflake требуются для подключения. Дополнительные сведения об идентификаторе учетной записи Snowflake см. в документации. Инструкции по созданию пользователя для этого соединителя отображаются во время установки.	Корпорация Майкрософт
События безопасности с помощью устаревшего агента Вы можете выполнять потоковую передачу всех событий безопасности из виртуальных машин Windows, подключенных к рабочей области Microsoft Sentinel, с использованием агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel. Таблицы Log Analytics: - `SecurityEvent` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Microsoft Defender на основе подписки для облака (устаревшая версия) Microsoft Defender для облака — это средство управления безопасностью, с помощью которого можно обнаруживать угрозы в Azure, гибридных и многооблачных рабочих нагрузках и быстро реагировать на них. Этот соединитель позволяет выполнять потоковую передачу оповещений системы безопасности из Microsoft Defender для облака в Microsoft Sentinel, чтобы просматривать данные Defender в книгах, запрашивать их для создания оповещений, а также исследовать инциденты и реагировать на них. Дополнительные сведения> Таблицы Log Analytics: - `SecurityAlert` Поддержка правила сбора данных: В настоящее время не поддерживается	Корпорация Майкрософт
Системный журнал с помощью устаревшего агента Системный журнал Syslog — это протокол ведения журнала событий, который обычно используется в Linux. Приложения отправляют сообщения, которые могут храниться на локальном компьютере или передаваться в сборщик системного журнала. Если агент для Linux установлен, он настраивает локальный демон syslog для отправки журналов агенту. Агент затем отправляет сообщение в рабочее пространство. Подробнее> Таблицы Log Analytics: - `Syslog` Поддержка правила сбора данных: Преобразование DCR рабочей области	Корпорация Майкрософт

Дальнейшие действия

Дополнительные сведения см. в разделе:

Поделиться через

Найдите нужный соединитель данных Microsoft Sentinel

Предварительные требования для соединителя данных

Соединители системного журнала и общего формата событий (CEF)

Пользовательские журналы через соединитель AMA

Соединители данных Sentinel

Устаревшие соединители данных Sentinel

Дальнейшие действия

Обратная связь

Дополнительные ресурсы