Поделиться через

Найдите нужный соединитель данных Microsoft Sentinel

  • Применяется к: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

В этой статье перечислены все поддерживаемые встроенные соединители данных и ссылки на шаги развертывания каждого соединителя.

Important

Соединители данных доступны в рамках следующих предложений:

  • Решения. Многие соединители данных развертываются как часть решения Microsoft Sentinel вместе со связанным содержимым, такими как правила аналитики, книги и сборники схем. Дополнительные сведения см. в каталоге решений Microsoft Sentinel.

  • Соединители сообщества: дополнительные соединители данных предоставляются сообществом Microsoft Sentinel и находятся в Azure Marketplace. Ответственность за документацию по соединителям данных, разработанным сообществом, несет организацию, которая создала соединитель.

  • Пользовательские соединители: если у вас есть источник данных, который не указан или поддерживается в данный момент, можно также создать собственный настраиваемый соединитель. Дополнительные сведения см. в статье "Ресурсы" для создания пользовательских соединителей Microsoft Sentinel.

Note

Сведения о доступности компонентов в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в облачной доступности для клиентов для государственных организаций США.

Предварительные требования для соединителя данных

Каждый соединитель данных имеет собственный набор необходимых компонентов. Предварительные требования могут включать в себя наличие определенных разрешений в рабочей области Azure, подписке или политике. Кроме того, необходимо выполнить другие требования к источнику данных партнера, к которому вы подключаетесь.

Предварительные требования для каждого соединителя данных перечислены на соответствующей странице соединителя данных в Microsoft Sentinel.

Соединители данных на основе агента Azure Monitor (AMA) требуют подключения к Интернету из системы, в которой установлен агент. Включите исходящий порт 443, чтобы разрешить подключение между системой, в которой установлен агент, и Microsoft Sentinel.

Соединители системного журнала и общего формата событий (CEF)

Сбор журналов из многих устройств безопасности и устройств поддерживается соединителями данных Syslog через AMA или Common Event Format (CEF) через AMA в Microsoft Sentinel. Чтобы перенаправить данные в рабочую область Log Analytics для Microsoft Sentinel, выполните действия, описанные в разделе "Прием сообщений системного журнала и CEF" в Microsoft Sentinel с помощью агента Azure Monitor. Эти действия включают установку решения Microsoft Sentinel для устройства безопасности или устройства из центра содержимого в Microsoft Sentinel. Затем настройте системный журнал через AMA или общий формат событий (CEF) с помощью соединителя данных AMA, подходящего для установленного решения Microsoft Sentinel. Выполните настройку, настроив устройство безопасности или устройство. Инструкции по настройке устройства безопасности или устройства см. в одной из следующих статей:

Обратитесь к поставщику решений, чтобы получить дополнительные сведения или где информация недоступна для устройства или устройства.

Пользовательские журналы через соединитель AMA

Фильтрация и прием журналов в текстовом формате из сетевых или приложений безопасности, установленных на компьютерах Windows или Linux, с помощью пользовательских журналов через соединитель AMA в Microsoft Sentinel. Дополнительные сведения см. в следующих статьях:

Соединители данных Sentinel

Note

В следующей таблице перечислены соединители данных, доступные в Центре содержимого Microsoft Sentinel. Соединители поддерживаются поставщиком продукта. Сведения о поддержке см. в ссылке в столбце "Поддерживаемые" в следующей таблице.

1Password (бессерверный)

Поддерживается:1Password

Соединитель CCF 1Password позволяет пользователю принять события 1Password Audit, Signin и ItemUsage в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
OnePasswordEventLogs_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

1Password (использование Функций Azure)

Поддерживается:1Password

Решение 1Password для Microsoft Sentinel позволяет получать попытки входа, использование элементов и аудиторские события с вашего бизнес-аккаунта 1Password с помощью API отчетности по событиям 1Password. Это позволяет отслеживать и исследовать события в 1Password в Microsoft Sentinel вместе с другими приложениями и службами, которые использует ваша организация.

Используемые базовые технологии Майкрософт:

Это решение зависит от следующих технологий, некоторые из которых могут находиться в стадии предварительной версии или повлечь за собой дополнительные затраты на обработку данных или эксплуатационные расходы.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
OnePasswordEventLogs_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Маркер API событий 1Password: требуется маркер API событий 1Password. Дополнительные сведения см. в API 1Password.

Примечание: Требуется учетная запись 1Password Business

AbnormalSecurity (с помощью функции Azure)

Поддерживается:Ненормальная безопасность

Соединитель данных "Abnormal Security" предоставляет возможность приема журналов угроз и случаев в Microsoft Sentinel с помощью РЕСТ API "Abnormal Security".

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ABNORMAL_THREAT_MESSAGES_CL нет нет
ABNORMAL_CASES_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Ненормальный маркер API безопасности: требуется ненормальный маркер API безопасности. Дополнительные сведения см. в разделе API аномальной безопасности. Примечание: Требуется ненормальная учетная запись безопасности

AIShield

Поддерживается:AIShield

Соединитель AIShield позволяет пользователям подключаться к журналам пользовательского механизма защиты AIShiel с помощью Microsoft Sentinel, что позволяет создавать динамические панели мониторинга, книги, записные книжки и специализированные оповещения для улучшения исследований и атак на системы искусственного интеллекта. Он дает пользователям больше сведений о безопасности активов ИИ своей организации и улучшает возможности операций безопасности систем ИИ. AIShield.GuArdIan анализирует созданное llM содержимое для выявления и устранения вредного содержимого, защиты от юридических, политик, ролей и нарушений на основе использования

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AIShield_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Примечание. Пользователи должны использовать aiShield SaaS для проведения анализа уязвимостей и развертывания пользовательских механизмов защиты, созданных вместе с их ресурсом ИИ. Щелкните здесь , чтобы узнать больше или получить связь.

Alibaba Cloud ActionTrail (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных Alibaba Cloud ActionTrail предоставляет возможность получить события действия, хранящиеся в Alibaba Cloud Simple Log Service , и сохранить их в Microsoft Sentinel с помощью REST API SLS. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AliCloudActionTrailLogs_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Учетные данные и разрешения REST API SLS: AliCloudAccessKeyId и AliCloudAccessKeySecret требуются для вызова API. Оператор политики ОЗУ с действием atleast log:GetLogStoreLogs над ресурсом acs:log:{#regionId}:{#accountId}:project/{#ProjectName}/logstore/{#LogstoreName} необходим для предоставления пользователю ОЗУ разрешения на вызов этой операции.

AliCloud (использование функций Azure)

Поддерживается корпорацией Майкрософт

Соединитель данных AliCloud предоставляет возможность получения журналов из облачных приложений с помощью облачного API и хранения событий в Microsoft Sentinel через REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AliCloud_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: AliCloudAccessKeyId и AliCloudAccessKey требуются для вызова API.

Веб-сервисы Amazon

Поддерживается корпорацией Майкрософт

Инструкции по подключению к AWS и потоковой передаче журналов CloudTrail в Microsoft Sentinel отображаются во время установки. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AWSCloudTrail Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Amazon Web Services CloudFront (через платформу соединителей без кода) (предварительная версия)

Поддерживается корпорацией Майкрософт

Этот соединитель данных позволяет интегрировать журналы AWS CloudFront с Microsoft Sentinel для поддержки расширенного обнаружения угроз, исследования и мониторинга безопасности. Используя Amazon S3 для хранения журналов и Amazon SQS для очереди сообщений, соединитель надежно прием журналов доступа CloudFront в Microsoft Sentinel

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AWSCloudFront_AccessLog_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Amazon Web Services NetworkFirewall (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Этот соединитель данных позволяет выполнять прием журналов сетевого брандмауэра AWS в Microsoft Sentinel для расширенного обнаружения угроз и мониторинга безопасности. Используя Amazon S3 и Amazon SQS, соединитель перенаправит журналы сетевого трафика, оповещения обнаружения вторжений и события брандмауэра в Microsoft Sentinel, что позволяет анализировать и корреляцию в режиме реального времени с другими данными безопасности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AWSNetworkFirewallFlow Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Amazon Web Services S3

Поддерживается корпорацией Майкрософт

Этот соединитель позволяет собирать журналы служб AWS, собранные в контейнерах AWS S3, в Microsoft Sentinel. Поддерживаемые в настоящее время типы данных:

  • AWS CloudTrail
  • Журналы потоков VPC
  • AWS GuardDuty
  • AWSCloudWatch

Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AWSGuardDuty Да Да
AWSVPCFlow Да Да
AWSCloudTrail Да Да
AWSCloudWatch Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Среда. Необходимо иметь следующие ресурсы AWS, определенные и настроенные: S3, Простая служба очередей (SQS), роли ИАМ и политики разрешений AWS, а также службы AWS, журналы которых требуется собрать.

Amazon Web Services S3 DNS Route53 (с помощью платформы соединителей без кода)

Поддерживается корпорацией Майкрософт

Этот соединитель позволяет получать журналы AWS Route 53 DNS в Microsoft Sentinel для повышения видимости и обнаружения угроз. Он поддерживает журналы запросов резолвера DNS, которые передаются непосредственно из хранилищ AWS S3, в то время как журналы общедоступных запросов DNS и журналы аудита Route 53 могут быть получены с помощью соединителей AWS CloudWatch и CloudTrail в Microsoft Sentinel. Подробные инструкции приведены для руководства по настройке каждого типа журнала. Используйте этот соединитель для мониторинга действий DNS, обнаружения потенциальных угроз и улучшения состояния безопасности в облачных средах.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AWSRoute53Resolver Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Amazon Web Services S3 WAF

Поддерживается корпорацией Майкрософт

Этот соединитель позволяет принять журналы AWS WAF, собранные в контейнерах AWS S3, в Microsoft Sentinel. Журналы AWS WAF — это подробные записи о трафике, который анализирует списки управления веб-доступом (ACL), необходимые для обеспечения безопасности и производительности веб-приложений. Эти журналы содержат такие сведения, как время, когда WAF AWS получил запрос, особенности запроса и действия, принятые правилом, соответствующим запросом.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AWSWAF Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Anvilogic

Поддерживается:Anvilogic

Соединитель данных Anvilogic позволяет извлекать интересующие события в кластере Anvilogic ADX в Microsoft Sentinel

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Anvilogic_Alerts_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Идентификатор клиента регистрации приложений Anvilogic и секрет клиента. Для доступа к Anvilogic ADX требуется идентификатор клиента и секрет клиента из регистрации приложения Anvilogic.

Облачная безопасность ARGOS

Поддерживается:ARGOS Cloud Security

Интеграция ARGOS Cloud Security для Microsoft Sentinel позволяет использовать все важные события облачной безопасности в одном месте. Это позволяет легко создавать панели мониторинга, оповещения и сопоставлять события в нескольких системах. В целом это улучшит состояние безопасности вашей организации и реагирование на инциденты безопасности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ARGOS_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Действия оповещений Armis (с помощью функций Azure)

Поддерживается:Armis Corporation

Соединитель Armis Alerts Activities позволяет загружать оповещения и действия Armis в Microsoft Sentinel через REST API Armis. Обратитесь к документации API: https://<YourArmisInstance>.armis.com/api/v1/docs для получения дополнительной информации. Соединитель предоставляет возможность получать сведения об оповещениях и действиях из платформы Armis, а также выявлять и определять приоритеты угроз в вашей среде. Armis использует существующую инфраструктуру для обнаружения и идентификации устройств без необходимости развертывать агенты.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Armis_Alerts_CL нет нет
Armis_Activities_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: требуется секретный ключ Armis . Дополнительные сведения об API см. в документации https://<YourArmisInstance>.armis.com/api/v1/doc

Устройства Armis (с помощью функций Azure)

Поддерживается:Armis Corporation

Коннектор устройств Armis предоставляет возможность интеграции устройств Armis в Microsoft Sentinel через REST API Armis. Обратитесь к документации API: https://<YourArmisInstance>.armis.com/api/v1/docs для получения дополнительной информации. Соединитель предоставляет возможность получать сведения об устройстве из платформы Armis. Armis использует существующую инфраструктуру для обнаружения и идентификации устройств без необходимости развертывать агенты. Armis также может интегрироваться с существующими средствами управления ИТ и безопасностью для идентификации и классификации каждого устройства, управляемого или неуправляемого в вашей среде.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Armis_Devices_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: требуется секретный ключ Armis . Дополнительные сведения об API см. в документации https://<YourArmisInstance>.armis.com/api/v1/doc

Оповещения Atlassian Beacon

Поддерживается:DEFEND Ltd.

Atlassian Beacon — это облачный продукт, созданный для интеллектуального обнаружения угроз на платформах Atlassian (Jira, Confluence и Atlassian Admin). Это может помочь пользователям обнаруживать, исследовать и реагировать на рискованные действия пользователей для набора продуктов Atlassian. Это настраиваемый соединитель данных из DEFENSE Ltd. Используется для визуализации оповещений, полученных от Atlassian Beacon в Microsoft Sentinel через приложение логики.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
atlassian_beacon_alerts_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Аудит Atlassian Confluence (с помощью платформы соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных аудита Atlassian Confluence предоставляет возможность приема событий аудита Confluence в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ConfluenceAuditLogs_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

Atlassian Jira Audit (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Соединитель данных аудита Atlassian Jira предоставляет возможность приема событий Jira Audit Records в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Jira_Audit_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: JiraAccessToken, JiraUsername требуется для REST API. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.

Atlassian Jira Audit (с помощью REST API)

Поддерживается корпорацией Майкрософт

Соединитель данных аудита Atlassian Jira предоставляет возможность приема событий Jira Audit Records в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Jira_Audit_v2_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

Управление доступом Auth0 (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Соединитель данных Auth0 Access Management предоставляет возможность интеграции событий журнала Auth0 в Microsoft Sentinel

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Auth0AM_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: требуется маркер API . Дополнительные сведения см. в разделе "Маркер API"

Журналы проверки подлинности

Поддерживается корпорацией Майкрософт

Соединитель данных Auth0 позволяет прием журналов из API Auth0 в Microsoft Sentinel. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework. Он использует API Auth0 для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не должны анализировать их снова, что приводит к повышению производительности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Auth0Logs_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Автоматизированная логика WebCTRL

Поддерживается корпорацией Майкрософт

Журналы аудита можно передавать из сервера SQL WebCTRL, размещенного на компьютерах Windows, подключенных к Microsoft Sentinel. Это подключение позволяет просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Это дает аналитические сведения о промышленных системах управления, которые отслеживаются или контролируются приложением WEBCTRL BAS.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Event Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Журналы доступа к серверу AWS S3 (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Этот соединитель позволяет получать журналы доступа к серверу AWS S3 в Microsoft Sentinel. Эти журналы содержат подробные записи о запросах, выполненных в контейнерах S3, включая тип запроса, доступ к ресурсам, сведения о запросе и сведения о ответе. Эти журналы полезны для анализа шаблонов доступа, отладки проблем и обеспечения соответствия безопасности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AWSS3ServerAccess Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Среда. Необходимо определить и настроить следующие ресурсы AWS: контейнер S3, простая служба очередей (SQS), роли ИАМ и политики разрешений.

Результаты Центра безопасности AWS (с помощью платформы соединителей без кода)

Поддерживается корпорацией Майкрософт

Этот соединитель позволяет получать результаты центра безопасности AWS, собранные в контейнерах AWS S3, в Microsoft Sentinel. Это помогает упростить процесс мониторинга оповещений системы безопасности и управления ими, интегрируя результаты Центра безопасности AWS с расширенными возможностями обнаружения угроз и реагирования Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AWSSecurityHubFindings Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Среда. У вас должны быть следующие ресурсы AWS, определенные и настроенные: AWS Security Hub, Amazon Data Firehose, Amazon EventBridge, S3 Bucket, Simple Queue Service (SQS), роли IAM и политики разрешений.

Действие Azure

Поддерживается корпорацией Майкрософт

Журнал действий Azure — это журнал подписок, который предоставляет аналитические сведения о событиях уровня подписки, происходящих в Azure, включая события из операционных данных Azure Resource Manager, события работоспособности службы, операции записи, выполняемые в вашей подписке, и состояние действий, выполняемых в Azure. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureActivity нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Учетная запись пакетной службы Azure

Поддерживается корпорацией Майкрософт

пакетная служба Azure Учетная запись — это уникально определяемая сущность в пакетной службе. Для хранения файлов ресурсов и выходных файлов большинство решений Пакетной службы используют службы хранилища Azure, поэтому каждая учетная запись пакетной службы обычно связывается с соответствующей учетной записью хранения. Этот соединитель позволяет выполнять потоковую передачу пакетная служба Azure учетной записи диагностика журналов в Microsoft Sentinel, что позволяет непрерывно отслеживать действия. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureDiagnostics нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Политика: роль владельца, назначенная для каждой области назначения политики

Azure CloudNGFW By Palo Alto Networks

Поддерживается:Palo Alto Networks

Брандмауэр следующего поколения облака от Palo Alto Networks — это служба azure Native ISV — это брандмауэр следующего поколения Palo Alto Networks (NGFW), предоставляемый в качестве облачной службы в Azure. Вы можете обнаружить Cloud NGFW в Azure Marketplace и использовать его в виртуальная сеть Azure (виртуальная сеть). С помощью Cloud NGFW вы можете получить доступ к основным возможностям NGFW, таким как идентификатор приложения, технологии фильтрации URL-адресов. Она обеспечивает защиту от угроз и обнаружение с помощью облачных служб безопасности и подписей защиты от угроз. Соединитель позволяет легко подключать журналы Cloud NGFW к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности. Дополнительные сведения см. в документации по Cloud NGFW для Azure.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
fluentbit_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Когнитивный поиск Azure

Поддерживается корпорацией Майкрософт

Когнитивный поиск Azure — это облачная служба поиска, которая предоставляет разработчикам инфраструктуру, API и средства для создания расширенного интерфейса поиска по поводу частного, разнородного содержимого в интернете, мобильных и корпоративных приложениях. Этот соединитель позволяет передавать журналы Когнитивный поиск Azure диагностика в Microsoft Sentinel, позволяя непрерывно отслеживать действия.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureDiagnostics нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Политика: роль владельца, назначенная для каждой области назначения политики

Защита от атак DDoS Azure

Поддерживается корпорацией Майкрософт

Подключитесь к журналам защиты от атак DDoS Azure уровня "Стандартный" через журналы диагностики общедоступных IP-адресов. Помимо базовой защиты от атак DDoS на платформе, служба Защита от атак DDoS Azure уровня "Стандартный" предоставляет расширенные возможности предотвращения сетевых атак DDoS. Она автоматически настраивается для защиты конкретных ресурсов Azure. Защиту можно включить во время создания виртуальных сетей. Кроме того, это можно сделать после создания. При этом не требуются никакие изменения приложения или ресурса. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureDiagnostics нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Журналы аудита Azure DevOps (с помощью платформы соединителя без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных журналов аудита Azure DevOps позволяет прием событий аудита из Azure DevOps в Microsoft Sentinel. Этот соединитель данных создается с помощью платформы microsoft Sentinel Codeless Connector Framework, обеспечивая простую интеграцию. Он использует API журналов аудита Azure DevOps для получения подробных событий аудита и поддерживает преобразования времени приема данных на основе DCR. Эти преобразования позволяют анализировать полученные данные аудита в настраиваемую таблицу во время приема, повышая производительность запросов, устраняя необходимость дополнительного анализа. Используя этот соединитель, вы можете получить улучшенную видимость среды Azure DevOps и упростить операции безопасности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ADOAuditLogs_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Предварительные требования к Azure DevOps. Убедитесь, что это необходимо:
    1. Регистрация приложения Entra в Центре администрирования Microsoft Entra в разделе "Регистрация приложений".
    2. В разделе "Разрешения API" добавьте разрешения в azure DevOps — vso.auditlog.
    3. В разделе "Сертификаты и секреты" создайте "секрет клиента".
    4. В разделе "Проверка подлинности" добавьте URI перенаправления: "https://portal.azure.com/TokenAuthorize/ExtensionName/Microsoft_Azure_Security_Insights".
    5. В параметрах Azure DevOps включите журнал аудита и задайте для пользователя журнал аудита View . Аудит Azure DevOps.
    6. Убедитесь, что пользователь, назначенный для подключения соединителя данных, имеет разрешение "Просмотр журналов аудита" явно задано значение Allow (Разрешить) в любое время. Это разрешение необходимо для успешного приема журналов. Если разрешение отозвано или не предоставлено, прием данных завершится ошибкой или прерван.

Концентратор событий Azure

Поддерживается корпорацией Майкрософт

Центры событий Azure — это платформа потоковой передачи больших данных и служба приема событий. Он может получать и обрабатывать миллионы событий в секунду. Этот соединитель позволяет передавать журналы концентратора событий Azure диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureDiagnostics нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Политика: роль владельца, назначенная для каждой области назначения политики

Брандмауэр Azure

Поддерживается корпорацией Майкрософт

Подключитесь к Брандмауэр Azure. Брандмауэр Azure — это управляемая облачная служба сетевой безопасности, которая защищает ресурсы виртуальной сети Azure. Это сервис брандмауэра с полным отслеживанием состояния, с высокой доступностью и неограниченными возможностями облачного масштабирования. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureDiagnostics нет нет
AZFWApplicationRule Да Да
AZFWFlowTrace Да Да
AZFWFatFlow Да Да
AZFWNatRule Да Да
AZFWDnsQuery Да Да
AZFWIdpsSignature Да Да
AZFWInternalFqdnResolutionFailure Да Да
AZFWNetworkRule Да Да
AZFWThreatIntel Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Azure Key Vault

Поддерживается корпорацией Майкрософт

Azure Key Vault — это облачная служба для безопасного хранения и доступа к секретам. Секрет — это все, к чему требуется жестко контролировать доступ, например ключи API, пароли, сертификаты или криптографические ключи. Этот соединитель позволяет передавать журналы Azure Key Vault диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureDiagnostics нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Служба Azure Kubernetes (AKS)

Поддерживается корпорацией Майкрософт

Служба Azure Kubernetes (AKS) — это полностью управляемая служба оркестрации контейнеров с открытым кодом, которая позволяет развертывать и масштабировать контейнеры Docker и приложения на основе контейнеров и управлять ими в среде кластера. Этот соединитель позволяет передавать журналы Служба Azure Kubernetes (AKS) диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureDiagnostics нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Azure Logic Apps

Поддерживается корпорацией Майкрософт

Azure Logic Apps — это облачная платформа для создания и запуска автоматизированных рабочих процессов, которые интегрируют приложения, данные, службы и системы. Этот соединитель позволяет передавать журналы Azure Logic Apps диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureDiagnostics нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Политика: роль владельца, назначенная для каждой области назначения политики

Azure Resource Graph

Поддерживается корпорацией Майкрософт

Соединитель Azure Resource Graph предоставляет более подробные сведения о событиях Azure, дополняя сведения о подписках Azure и ресурсах Azure.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Политика: разрешение на роль владельца для подписок Azure

Служебная шина Azure

Поддерживается корпорацией Майкрософт

Служебная шина Azure — это полностью управляемый корпоративный брокер сообщений с очередями сообщений и тематикой публикации и подписки (в пространстве имен). Этот соединитель позволяет передавать журналы Служебная шина Azure диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureDiagnostics нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Политика: роль владельца, назначенная для каждой области назначения политики

Базы данных SQL Azure

Поддерживается корпорацией Майкрософт

База данных SQL Azure — это полностью управляемое ядро СУБД, предоставляемое по модели "платформа как услуга" (PaaS), которое выполняет большую часть функций управления базой данных, например обновление, исправление, резервное копирование и мониторинг, не требуя участия пользователя. Этот соединитель позволяет передавать журналы аудита и диагностики баз данных SQL Azure в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureDiagnostics нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Учетная запись хранения Azure

Поддерживается корпорацией Майкрософт

Учетная запись хранения Azure — это облачное решение, позволяющее реализовать современные сценарии хранения данных. Учетная запись хранения содержит все объекты данных: BLOB-объекты, файлы, очереди, таблицы и диски. Этот соединитель позволяет передавать служба хранилища Azure учетные записи диагностика журналы в рабочую область Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах и обнаруживать вредоносные действия в организации. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureMetrics нет нет
StorageBlobLogs Да Да
StorageQueueLogs Да Да
StorageTableLogs Да Да
StorageFileLogs Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Политика: роль владельца, назначенная для каждой области назначения политики

Azure Stream Analytics

Поддерживается корпорацией Майкрософт

Azure Stream Analytics — это аналитика в режиме реального времени и сложный механизм обработки событий, предназначенный для анализа и обработки больших объемов быстрой потоковой передачи данных из нескольких источников одновременно. Этот соединитель позволяет передавать журналы концентратора Azure Stream Analytics диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureDiagnostics нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Политика: роль владельца, назначенная для каждой области назначения политики

Брандмауэр веб-приложений Azure (WAF)

Поддерживается корпорацией Майкрософт

Подключитесь к azure Брандмауэр веб-приложений (WAF) для Шлюз приложений, Front Door или CDN. Этот WAF защищает приложения от распространенных веб-уязвимостей, таких как внедрение SQL и межсайтовые скрипты, и позволяет настраивать правила для снижения ложных срабатываний. Инструкции по потоковой передаче журналов брандмауэра веб-приложения Майкрософт в Microsoft Sentinel отображаются во время установки. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureDiagnostics нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

BETTER Мобильная защита от угроз (MTD)

Поддерживается:Better Mobile Security Inc.

Соединитель BETTER MTD позволяет предприятиям подключать свои экземпляры MTD к Microsoft Sentinel, просматривать их данные на панелях мониторинга, создавать пользовательские оповещения, использовать его для активации сборников схем и расширения возможностей поиска угроз. Это дает пользователям больше сведений о мобильных устройствах своей организации и возможности быстрого анализа текущей системы безопасности мобильных устройств, что улучшает их общие возможности SecOps.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
BetterMTDIncidentLog_CL нет нет
BetterMTDDeviceLog_CL нет нет
BetterMTDNetflowLog_CL нет нет
BetterMTDAppLog_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Bitglass (с помощью Функций Azure)

Поддерживается корпорацией Майкрософт

Соединитель данных Bitglass предоставляет возможность получения журналов событий безопасности служб Bitglass и дополнительных событий в Microsoft Sentinel через REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
BitglassLogs_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: BitglassToken и BitglassServiceURL необходимы для вызова API.

Соединитель данных Bitsight (с помощью функций Azure)

Поддерживается поддержкой:BitSight

Коннектор данных BitSight поддерживает мониторинг киберрисков на основе доказательств, интегрируя данные BitSight в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
BitsightAlerts_data_CL Да Да
BitsightBreaches_data_CL Да Да
BitsightCompany_details_CL Да Да
BitsightCompany_rating_details_CL Да Да
BitsightDiligence_historical_statistics_CL Да Да
BitsightDiligence_statistics_CL Да Да
BitsightFindings_data_CL Да Да
BitsightFindings_summary_CL Да Да
BitsightGraph_data_CL Да Да
BitsightIndustrial_statistics_CL Да Да
BitsightObservation_statistics_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: требуется маркер API BitSight. Дополнительные сведения о токене API см. в документации.

Журналы событий Bitwarden

Поддерживается:Bitwarden Inc

Этот соединитель содержит сведения о действиях вашей организации Bitwarden, таких как активность пользователя (вошедший в систему, измененный пароль, 2fa и т. д.), действие шифра (созданное, обновленное, удаленное, общее, и т. д.), действие коллекции, активность организации и многое другое.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
BitwardenEventLogs нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Идентификатор клиента Bitwarden и секрет клиента: ключ API можно найти в консоли администрирования организации Bitwarden. Дополнительные сведения см. в документации по Bitwarden .

Box (использование функций Azure)

Поддерживается корпорацией Майкрософт

Соединитель данных Box предоставляет возможность приема событий предприятия Box в Microsoft Sentinel с помощью REST API Box. Дополнительные сведения см. в документации Box .

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
BoxEvents_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные API Box: для проверки подлинности JWT rest API Box требуется файл JSON конфигурации Box. Дополнительные сведения см. в разделе "Проверка подлинности JWT".

События Box (CCF)

Поддерживается корпорацией Майкрософт

Соединитель данных Box предоставляет возможность приема событий предприятия Box в Microsoft Sentinel с помощью REST API Box. Дополнительные сведения см. в документации Box .

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
BoxEventsV2_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

Check Point CloudGuard CNAPP Connector для Microsoft Sentinel

Поддерживается:Check Point

Соединитель данных CloudGuard обеспечивает прием событий безопасности из API CloudGuard в Microsoft Sentinel с помощью платформы соединителя Без кода Microsoft Sentinel™. Соединитель поддерживает преобразования времени приема данных на основе DCR, которые анализируют входящие данные события безопасности в настраиваемые столбцы. Этот процесс предварительного анализа устраняет необходимость синтаксического анализа во время запроса, что приводит к повышению производительности запросов к данным.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CloudGuard_SecurityEvents_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Ключ API CloudGuard: ознакомьтесь с инструкциями, приведенными здесь , чтобы создать ключ API.

Соединитель оповещений Check Point Cyberint (через платформу соединителя без кода)

Поддерживается:Cyberint

Cyberint, компания Check Point, предоставляет интеграцию Microsoft Sentinel для упрощения критических оповещений и привлечения обогащенной аналитики угроз из решения Бесконечности внешнего управления рисками в Microsoft Sentinel. Это упрощает процесс отслеживания состояния билетов с автоматическими обновлениями синхронизации в системах. Используя эту новую интеграцию для Microsoft Sentinel, существующие клиенты Cyberint и Microsoft Sentinel могут легко извлекать журналы на основе результатов Cyberint в платформу Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
argsentdc_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Ключ API Check Point Cyberint, URL-адрес Argos и имя клиента: ключ API соединителя, URL-адрес Argos и имя клиента

Соединитель IOC Для проверки точки киберинтейнта

Поддерживается:Cyberint

Это соединитель данных для Check Point Cyberint IOC.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
iocsent_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Ключ API Check Point Cyberint и URL-адрес Argos: требуется ключ API соединителя и URL-адрес Argos.

Cisco ASA/FTD через AMA

Поддерживается корпорацией Майкрософт

Соединитель брандмауэра Cisco ASA позволяет легко подключать журналы Cisco ASA к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CommonSecurityLog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее

Cisco Cloud Security (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Решение Cisco Cloud Security для Microsoft Sentinel позволяет получать журналыCisco Secure Access и Cisco Umbrella, хранящиеся в Amazon S3, в Microsoft Sentinel с помощью REST API Amazon S3. Дополнительные сведения см. в документации по управлению журналами Cisco Cloud Security .

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Cisco_Umbrella_dns_CL Да Да
Cisco_Umbrella_proxy_CL Да Да
Cisco_Umbrella_ip_CL Да Да
Cisco_Umbrella_cloudfirewall_CL Да Да
Cisco_Umbrella_firewall_CL Да Да
Cisco_Umbrella_dlp_CL нет нет
Cisco_Umbrella_ravpnlogs_CL нет нет
Cisco_Umbrella_audit_CL нет нет
Cisco_Umbrella_ztna_CL нет нет
Cisco_Umbrella_intrusion_CL нет нет
Cisco_Umbrella_ztaflow_CL нет нет
Cisco_Umbrella_fileevent_CL нет нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступаAWS, имя контейнера AWS S3 требуется для REST API Amazon S3.

Cisco Cloud Security (с помощью плана elastic Premium) (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Соединитель данных Cisco Umbrella предоставляет возможность приема событий Cisco Umbrella, хранящихся в Amazon S3 в Microsoft Sentinel с помощью REST API Amazon S3. Дополнительные сведения см. в документации по управлению журналами Cisco Umbrella .

ЗАМЕТКА: Этот соединитель данных использует план "Премиум" функций Azure для обеспечения безопасных возможностей приема и будет нести дополнительные затраты. Дополнительные сведения о ценах см. здесь.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Cisco_Umbrella_dns_CL Да Да
Cisco_Umbrella_proxy_CL Да Да
Cisco_Umbrella_ip_CL Да Да
Cisco_Umbrella_cloudfirewall_CL Да Да
Cisco_Umbrella_firewall_CL Да Да
Cisco_Umbrella_dlp_CL нет нет
Cisco_Umbrella_ravpnlogs_CL нет нет
Cisco_Umbrella_audit_CL нет нет
Cisco_Umbrella_ztna_CL нет нет
Cisco_Umbrella_intrusion_CL нет нет
Cisco_Umbrella_ztaflow_CL нет нет
Cisco_Umbrella_fileevent_CL нет нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступаAWS, имя контейнера AWS S3 требуется для REST API Amazon S3.
  • Разрешения виртуальной сети (для частного доступа) — для доступа к учетной записи частного хранения разрешения участника сети требуются в виртуальной сети и подсети. Подсеть должна быть делегирована в Microsoft.Web/serverFarms для интеграции виртуальной сети приложения-функции.

Cisco ETD (с помощью функций Azure)

Поддерживается:N/A

Соединитель извлекает данные из API ETD для анализа угроз

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CiscoETD_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • API защиты от угроз электронной почты, ключ API, идентификатор клиента и секрет: убедитесь, что у вас есть ключ API, идентификатор клиента и секретный ключ.

Cisco Meraki (с помощью REST API)

Поддерживается корпорацией Майкрософт

Соединитель Cisco Meraki позволяет легко подключать события организации Cisco Meraki (события безопасности, изменения конфигурации и запросы API) к Microsoft Sentinel. Соединитель данных использует REST API Cisco Meraki для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные и приемы в ASIM и пользовательские таблицы в рабочей области Log Analytics. Этот соединитель данных обеспечивает преимущества таких возможностей, как фильтрация времени приема данных на основе DCR, нормализация данных.

Поддерживаемая схема ASIM:

  1. Сетевой сеанс
  2. Веб-сеанс
  3. Событие аудита

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ASimNetworkSessionLogs Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Ключ REST API Cisco Meraki: включение доступа к API в Cisco Meraki и создание ключа API. Дополнительные сведения см. в официальной документации по Cisco Meraki.
  • Cisco Meraki Organization Id: Получите идентификатор организации Cisco Meraki для получения событий безопасности. Выполните действия, описанные в документации , чтобы получить идентификатор организации с помощью ключа API Meraki, полученного на предыдущем шаге.

Безопасная конечная точка Cisco (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных Cisco Secure Endpoint (прежнее название — AMP для конечных точек) предоставляет возможность получения журналов аудита и событий из Cisco Secure Endpoint в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CiscoSecureEndpointAuditLogsV2_CL Да Да
CiscoSecureEndpointEventsV2_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Учетные данные и регионы API безопасной конечной точки Cisco: чтобы создать учетные данные API и понять регионы, следуйте ссылке документа, предоставленной здесь. Щелкните здесь.

WAN с программным обеспечением Cisco

Поддерживается:Cisco Systems

Соединитель данных Cisco Software Defined WAN (SD-WAN) предоставляет возможность приема данных системного журнала Cisco SD-WAN и Netflow в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Syslog Да Да
CiscoSDWANNetflow_CL нет нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Claroty xDome

Поддерживается службой поддержки клиентовxDome

Claroty xDome обеспечивает комплексные возможности управления безопасностью и оповещениями для медицинских и промышленных сетевых сред. Он предназначен для сопоставления нескольких типов источников, идентификации собранных данных и интеграции его в модели данных Microsoft Sentinel. Это приводит к тому, что вы можете отслеживать все потенциальные угрозы в медицинских и промышленных средах в одном расположении, что приводит к более эффективному мониторингу безопасности и более сильной позиции безопасности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CommonSecurityLog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Cloudflare (предварительная версия) (с помощью функций Azure)

Поддерживается:Cloudflare

Соединитель данных Cloudflare предоставляет возможность интеграции журналов Cloudflare в Microsoft Sentinel с помощью Cloudflare Logpush и хранилища BLOB-объектов Azure. Дополнительные сведения см. в документации Cloudflare.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Cloudflare_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Строка подключения к хранилищу BLOB-объектов Azure и имя контейнера: строка подключения к хранилищу BLOB-объектов Azure и имя контейнера, в которых журналы отправляются в Cloudflare Logpush. Дополнительные сведения см. в статье о создании контейнера хранилища BLOB-объектов Azure.

Cloudflare (с использованием Blob Container) (через Codeless Connector Framework)

Поддерживается:Cloudflare

Соединитель данных Cloudflare предоставляет возможность вводить логи Cloudflare в Microsoft Sentinel с помощью Cloudflare Logpush и Azure Blob Storage. Обратитесь к документации Cloudflareдля получения дополнительной информации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CloudflareV2_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Создайте учетную запись хранения и контейнер. Перед настройкой logpush в Cloudflare сначала создайте учетную запись хранения и контейнер в Microsoft Azure. Используйте это руководство , чтобы узнать больше о Container и Blob. Следуйте шагам в документации для создания учетной записи Azure Storage.
  • Создайте URL-адрес SAS БОЛЬШОго двоичного объекта: требуются разрешения на создание и запись. Обратитесь к документации , чтобы узнать больше о токене Blob SAS и URL.
  • Сбор журналов из Cloudflare в контейнер BLOB-объектов. Выполните действия, описанные в документации по сбору журналов из Cloudflare в контейнер BLOB-объектов.

Коньни

Поддерживается:Cognni

Соединитель Cognni обеспечивает быструю и простую интеграцию с Microsoft Sentinel. Вы можете использовать Cognni для автономной сопоставления ранее неклассифицированной важной информации и обнаружения связанных инцидентов. Это позволяет распознавать риски для важных сведений, понимать серьезность инцидентов и исследовать сведения, необходимые для исправления, достаточно быстро, чтобы внести изменения.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CognniIncidents_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Согласованность (использование функций Azure)

Поддерживается:Сплоченность

Приложения-функции "Сплоченность" предоставляют возможность приема оповещений программы-шантажистов в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Cohesity_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Строка подключения к хранилищу BLOB-объектов Azure и имя контейнера: строка подключения к хранилищу BLOB-объектов Azure и имя контейнера

CommvaultSecurityIQ

Поддерживается:Commvault

Эта функция Azure позволяет пользователям Commvault получать оповещения и события в экземпляре Microsoft Sentinel. С помощью правил аналитики Microsoft Sentinel может автоматически создавать инциденты Microsoft Sentinel из входящих событий и журналов.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CommvaultSecurityIQ_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • URL-адрес конечной точки среды Commvault: обязательно следуйте документации и задайте значение секрета в KeyVault.
  • Токен QSDK Commvault: обязательно следуйте документации и задайте значение секрета в KeyVault.

КонтрастностьADR

Поддерживается:Контрастность безопасности

Разъём данных ContrastADR предоставляет возможность вводить события атак Contrast ADR в Microsoft Sentinel с помощью вебхука ContrastADR. Коннектор данных ContrastADR может обогащать входящие данные вебхука с помощью вызовов обогащения API ContrastADR.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ContrastADR_CL нет нет
ContrastADRIncident_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.

Экспортер соединителей Corelight

Поддерживается:Corelight

Соединитель данных Corelight позволяет реагированию на инциденты и охотникам за угрозами, которые используют Microsoft Sentinel для более эффективной работы. Соединитель данных позволяет прием событий из Zeek и Suricata через Датчики Corelight в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Corelight нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Cortex XDR — инциденты

Поддерживается:DEFEND Ltd.

Настраиваемый соединитель данных из DEFENSE для использования API Cortex для приема инцидентов из платформы Cortex XDR в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CortexXDR_Incidents_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Учетные данные API Cortex: маркер API Cortex требуется для REST API. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.

Крибл

Поддерживается:Cribl

Соединитель Cribl позволяет легко подключать журналы Cribl (Cribl Enterprise Edition — автономный) с помощью Microsoft Sentinel. Это дает больше сведений о безопасности конвейеров данных вашей организации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CriblInternal_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Коннектор данных CrowdStrike API (через фреймворк Codeless Connector)

Поддерживается корпорацией Майкрософт

Соединитель данных CrowdStrike позволяет получать журналы из API CrowdStrike в Microsoft Sentinel. Этот соединитель построен на платформе соединителя Без кода Microsoft Sentinel и использует API CrowdStrike для получения журналов оповещений, обнаружения, узлов, инцидентов и уязвимостей. Она поддерживает преобразования времени приема данных на основе DCR, чтобы запросы могли выполняться более эффективно.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CrowdStrikeVulnerabilities Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Аналитика сокола Краудстрик Сокол (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Индикаторы Сокола Краудстрик Скомпрометации извлекают индикаторы компрометации из API Falcon Intel и отправляют их Microsoft Sentinel Threat Intel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ThreatIntelligenceIndicator Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Идентификатор клиента и секрет клиента CrowdStrike: CROWDSTRIKE_CLIENT_ID, CROWDSTRIKE_CLIENT_SECRET, CROWDSTRIKE_BASE_URL. Учетные данные CrowdStrike должны иметь область чтения индикаторов (Falcon Intelligence).

Репликатор данных CrowdStrike Falcon (AWS S3) (через платформу соединителя без кода)

Поддерживается корпорацией Майкрософт

Соединитель репликатора данных Falcon (S3) crowdstrike Data Replicator (S3) предоставляет возможность приема данных событий FDR в Microsoft Sentinel из контейнера AWS S3, в котором передаются журналы FDR. Соединитель предоставляет возможность получать события от агентов Falcon, которые помогают изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации и многое другое.

NOTE:

1. Лицензия CrowdStrike FDR должна быть доступна и включена.

2. Соединителю требуется настроить роль IAM в AWS, чтобы разрешить доступ к контейнеру AWS S3 и не подходит для сред, использующих управляемые контейнеры CrowdStrike.

3. В средах, использующих контейнеры, управляемые CrowdStrike, настройте соединитель репликатора данных Falcon (CrowdStrike-Managed AWS S3).

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CrowdStrike_Additional_Events_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Репликатор данных CrowdStrike Falcon (Managed AWS-S3CrowdStrike) (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Этот соединитель позволяет приему данных FDR в Microsoft Sentinel с помощью Функций Azure для поддержки оценки потенциальных рисков безопасности, анализа действий совместной работы, идентификации проблем конфигурации и других операционных аналитических сведений.

NOTE:

1. Лицензия CrowdStrike FDR должна быть доступна и включена.

2. Соединитель использует проверку подлинности на основе ключа и секрета и подходит для управляемых контейнеров CrowdStrike.

3. В средах, использующих полностью принадлежащий контейнер AWS S3, корпорация Майкрософт рекомендует использовать соединитель репликатора данных Falcon (AWS S3).

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CrowdStrikeReplicatorV2 нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные или разрешения учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Дополнительные сведения см. в статье о вытягивании данных. Чтобы начать, обратитесь в службу поддержки CrowdStrike. По запросу он создаст управляемый контейнер Amazon Web Services (AWS) CrowdStrike S3 для краткосрочных целей хранения, а также учетную запись SQS (простая служба очередей) для мониторинга изменений в контейнере S3.

Системный журнал CTERA

Поддерживается:CTERA

Соединитель данных CTERA для Microsoft Sentinel предлагает возможности мониторинга и обнаружения угроз для решения CTERA. В ней содержится книга, визуализируя сумму всех операций на тип, удаление и запрещенный доступ. Он также предоставляет аналитические правила, которые обнаруживают инциденты программ-шантажистов и оповещают вас о том, что пользователь заблокирован из-за подозрительной активности программ-шантажистов. Кроме того, он помогает определить критически важные шаблоны, такие как массовый доступ к запрещенным событиям, массовым удалениям и изменениям в массовом разрешении, что обеспечивает упреждающее управление угрозами и реагирование.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Syslog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Пользовательские журналы через AMA

Поддерживается корпорацией Майкрософт

Многие приложения регистрируют сведения о текстовых или JSON-файлах вместо стандартных служб ведения журнала, таких как журналы событий Windows, системный журнал или CEF. Соединитель данных пользовательских журналов позволяет собирать события из файлов на компьютерах Windows и Linux и передавать их в созданные вами пользовательские таблицы журналов. При потоковой передаче данных можно анализировать и преобразовывать содержимое с помощью DCR. После сбора данных можно применять аналитические правила, охоту, поиск, аналитику угроз, обогащение и многое другое.

ПРИМЕЧАНИЕ. Используйте этот соединитель для следующих устройств: Cisco Meraki, Zscaler Private Access (ZPA), VMware vCenter, Apache HTTP server, Apache Tomcat, Jboss Enterprise application platform, Juniper IDP, MarkLogic Audit, MongoDB Audit, Nginx HTTP server, Oracle Weblogic server, PostgreSQL Events, Squid Proxy, Ubiquiti UniFi, SecurityBridge Threat detection SAP и AI vectra stream.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
JBossEvent_CL нет нет
JuniperIDP_CL нет нет
ApacheHTTPServer_CL нет нет
Tomcat_CL нет нет
meraki_CL нет нет
VectraStream_CL нет нет
MarkLogicAudit_CL нет нет
MongoDBAudit_CL нет нет
NGINX_CL нет нет
OracleWebLogicServer_CL нет нет
PostgreSQL_CL нет нет
SquidProxy_CL нет нет
Ubiquiti_CL нет нет
vcenter_CL нет нет
ZPA_CL нет нет
SecurityBridgeLogs_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения. Для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее

Интеграция "Слепые точечные" (с помощью функций Azure)

Поддерживается:Cyber Threat Management 360

Благодаря интеграции API вы можете получить все вопросы, связанные с организациями CBS, через интерфейс RESTful.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CBSLog_Azure_1_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.

CyberArkAudit (с помощью функций Azure)

Поддерживается поддержкой:CyberArk

Соединитель данных аудита CyberArk предоставляет возможность получения журналов событий безопасности службы "Аудит CyberArk" и дополнительных событий в Microsoft Sentinel через REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CyberArk_AuditEvents_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Аудит сведений о подключениях REST API и учетных данных: OauthUsername, OauthPassword, WebAppID, AuditApiKey, IdentityEndpoint и AuditApiBaseUrl требуются для выполнения вызовов API.

Оповещения, доступные для действий cybersixgill (с помощью функций Azure)

Поддерживается:Cybersixgill

Оповещения, доступные для действий, предоставляют настраиваемые оповещения на основе настроенных ресурсов

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CyberSixgill_Alerts_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: для выполнения вызовов API требуются Client_ID и Client_Secret .

Оповещения о визуальном представлении Cyble

Поддерживается поддержкой:Cyble

Соединитель данных CCF для оповещений Cyble Vision обеспечивает прием оповещений об угрозах из Cyble Vision в Microsoft Sentinel с помощью соединителя платформы соединителя без кода. Он собирает данные оповещений через API, нормализует его и сохраняет его в настраиваемой таблице для расширенного обнаружения, корреляции и ответа.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CybleVisionAlerts_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Маркер API Cyble Vision: требуется маркер API от платформы Cyble Vision.

Cyborg Security Hunter Хант пакеты охоты

Поддерживается безопасностью:Cyborg

Cyborg Security является ведущим поставщиком передовых решений по поиску угроз, с миссией по расширению возможностей организаций с передовыми технологиями и средствами совместной работы для упреждающего обнаружения и реагирования на кибер-угрозы. Флагманское предложение Cyborg Security, платформа HUNTER, объединяет мощные аналитические данные, курированное содержимое охоты на угрозы и комплексные возможности управления охотой для создания динамической экосистемы для эффективных операций охоты на угрозы.

Выполните действия, чтобы получить доступ к сообществу Cyborg Security и настроить возможности Open in Tool на платформе HUNTER.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityEvent Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Поверхность атак CYFIRMA

Поддерживается:CYFIRMA

N/A

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CyfirmaASCertificatesAlerts_CL Да Да
CyfirmaASConfigurationAlerts_CL Да Да
CyfirmaASDomainIPReputationAlerts_CL Да Да
CyfirmaASOpenPortsAlerts_CL Да Да
CyfirmaASCloudWeaknessAlerts_CL Да Да
CyfirmaASDomainIPVulnerabilityAlerts_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Интеллект бренда CYFIRMA

Поддерживается:CYFIRMA

N/A

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CyfirmaBIDomainITAssetAlerts_CL Да Да
CyfirmaBIExecutivePeopleAlerts_CL Да Да
CyfirmaBIProductSolutionAlerts_CL Да Да
CyfirmaBISocialHandlersAlerts_CL Да Да
CyfirmaBIMaliciousMobileAppsAlerts_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

CYFIRMA Скомпрометированные учетные записи

Поддерживается:CYFIRMA

Соединитель данных CYFIRMA Скомпрометированных учетных записей обеспечивает простое прием журналов из API DeCYFIR/DeTCT в Microsoft Sentinel. Созданная на платформе соединителя Без кода Microsoft Sentinel, она использует API DeCYFIR/DeTCT для получения журналов. Кроме того, он поддерживает преобразования времени приема данных на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость синтаксического анализа во время запроса, повышения производительности и эффективности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CyfirmaCompromisedAccounts_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Киберразведка CYFIRMA

Поддерживается:CYFIRMA

Соединитель данных CYFIRMA Cyber Intelligence обеспечивает простое прием журналов из API DeCYFIR в Microsoft Sentinel. В основе платформы соединителя Microsoft Sentinel без кода используется API оповещений DeCYFIR для получения журналов. Кроме того, он поддерживает преобразования времени приема данных на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость синтаксического анализа во время запроса, повышения производительности и эффективности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CyfirmaIndicators_CL Да Да
CyfirmaThreatActors_CL Да Да
CyfirmaCampaigns_CL Да Да
CyfirmaMalware_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Цифровой риск CYFIRMA

Поддерживается:CYFIRMA

Соединитель данных CYFIRMA Digital Risk Alerts обеспечивает простое прием журналов из API DeCYFIR/DeTCT в Microsoft Sentinel. В основе платформы соединителя Microsoft Sentinel без кода используется API оповещений DeCYFIR для получения журналов. Кроме того, он поддерживает преобразования времени приема данных на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость синтаксического анализа во время запроса, повышения производительности и эффективности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CyfirmaDBWMPhishingAlerts_CL Да Да
CyfirmaDBWMRansomwareAlerts_CL Да Да
CyfirmaDBWMDarkWebAlerts_CL Да Да
CyfirmaSPESourceCodeAlerts_CL Да Да
CyfirmaSPEConfidentialFilesAlerts_CL Да Да
CyfirmaSPEPIIAndCIIAlerts_CL Да Да
CyfirmaSPESocialThreatAlerts_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Аналитика уязвимостей CYFIRMA

Поддерживается:CYFIRMA

Соединитель данных аналитики уязвимостей CYFIRMA обеспечивает простое прием журналов из API DeCYFIR в Microsoft Sentinel. Построенный на Microsoft Sentinel Codeless Connector Framework, он использует API CYFIRMA для получения логов. Кроме того, он поддерживает преобразования времени приема данных на основе DCR, которые анализируют данные безопасности в настраиваемую таблицу во время приема. Это устраняет необходимость синтаксического анализа во время запроса, повышения производительности и эффективности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CyfirmaVulnerabilities_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

События безопасности Cynerio

Поддерживается:Cynerio

Соединитель Cynerio позволяет легко подключать события безопасности Cynerio с помощью Microsoft Sentinel для просмотра событий IDS. Это дает более подробное представление о настройке сетевой безопасности организации и улучшении возможностей операций безопасности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CynerioEvent_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Соединитель Darktrace для REST API Microsoft Sentinel

Поддерживается:Darktrace

Соединитель REST API Darktrace отправляет события в режиме реального времени из Darktrace в Microsoft Sentinel и предназначен для использования с решением Darktrace для Sentinel. Соединитель записывает журналы в пользовательскую таблицу журналов с названием "darktrace_model_alerts_CL". Нарушения модели, инциденты, выявленные ИИ-аналитиком, системные оповещения и оповещения по электронной почте могут быть обработаны. Дополнительные фильтры можно настроить на странице конфигурации системы Darktrace. Данные отправляются в Sentinel с основных серверов Darktrace.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
darktrace_model_alerts_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Предварительные требования darktrace: для использования этого соединителя данных требуется главный мастер Darktrace под управлением версии 5.2+ . Данные отправляются в API сборщика HTTP-данных Azure Monitor по протоколу HTTPs из мастеров Darktrace, поэтому требуется исходящее подключение из мастера Darktrace к REST API Microsoft Sentinel.
  • Фильтрация данных Darktrace: во время настройки можно настроить дополнительную фильтрацию на странице "Конфигурация системы Darktrace", чтобы ограничить объем или типы отправленных данных.
  • Попробуйте решение Darktrace Sentinel: вы можете получить большую часть этого соединителя, установив решение Darktrace для Microsoft Sentinel. Это позволит книгам визуализировать данные оповещений и правила аналитики для автоматического создания оповещений и инцидентов из нарушений модели Darktrace и инцидентов аналитика ИИ.

Datalake2Sentinel

Поддерживается:Orange Cyberdefense

Это решение устанавливает соединитель Datalake2Sentinel, который построен с помощью платформы соединителя без кода и позволяет автоматически прием индикаторов аналитики угроз из платформы CTI Datalake Orange Cyberdefense в Microsoft Sentinel с помощью REST API индикаторов отправки. После установки решения настройте и включите этот соединитель данных, следуя инструкциям в представлении решения "Управление".

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ThreatIntelligenceIndicator Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Соединитель данных dataminr Pulse Alerts (с помощью функций Azure)

Поддержка:Dataminr

Соединитель данных Dataminr Pulse Alerts Data Connector внедряет аналитику в режиме реального времени, основанную на искусственном интеллекте, в Microsoft Sentinel для более быстрого обнаружения угроз и реагирования.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
DataminrPulse_Alerts_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Обязательные учетные данные и разрешения Dataminr:

a. У пользователей должен быть допустимый идентификатор клиента API Dataminr Pulse и секрет для использования этого соединителя данных.

b. На веб-сайте Dataminr Pulse Watchlist необходимо настроить один или несколько списков отслеживания пульса Dataminr.

Datawiza DAP

Поддерживается:Datawiza Technology Inc.

Подключает журналы DAP Datawiza к Azure Log Analytics через интерфейс REST API

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
datawizaserveraccess_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Derdack SIGNL4

Поддерживается:Derdack

Когда критически важные системы завершаются сбоем или инцидентами безопасности, SIGNL4 перестраивает "последнюю милю" сотрудникам, инженерам, ИТ-администраторам и работникам в этой области. Он добавляет в службы, системы и процессы в режиме реального времени в режиме реального времени. SIGNL4 уведомляет о постоянной мобильной отправке, SMS-тексте и голосовых звонках с подтверждением, отслеживанием и эскалацией. Интегрированное планирование обязанностей и смены гарантирует, что правильные люди оповещены в нужное время.

Подробнее>

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityIncident Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Средство поиска цифровых теней (с помощью функций Azure)

Поддерживается:Цифровые тени

Соединитель данных Digital Shadows обеспечивает прием инцидентов и оповещений от цифрового средства поиска теней в Microsoft Sentinel с помощью REST API. Соединитель предоставит сведения об инцидентах и оповещениях, чтобы помочь в изучении, диагностике и анализе потенциальных рисков и угроз безопасности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
DigitalShadows_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: идентификатор учетной записи Digital Shadows, секрет и ключ необходимы. Дополнительные сведения об API см. в https://portal-digitalshadows.com/learn/searchlight-api/overview/descriptionдокументации.

DNS

Поддерживается корпорацией Майкрософт

Соединитель журналов DNS позволяет легко подключать журналы аналитики и аудита DNS к Microsoft Sentinel и другим связанным данным, чтобы улучшить исследование.

Если включить коллекцию журналов DNS, вы можете:

  • Определите клиентов, пытающихся устранить вредоносные доменные имена.
  • Определение устаревших записей ресурсов.
  • Определите часто запрашиваемые доменные имена и разговорные DNS-клиенты.
  • Просмотр нагрузки запросов на DNS-серверах.
  • Просмотр динамических сбоев регистрации DNS.

Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
DnsEvents Да Да
DnsInventory Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Соединитель данных Doppel

Поддерживается:Doppel

Соединитель данных основан на событиях и оповещениях Doppel в Microsoft Sentinel и поддерживает преобразования времени приема данных на основе DCR, которые анализируют полученные данные события безопасности в настраиваемые столбцы, чтобы запросы не нужно повторно анализировать их, что приводит к повышению производительности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
DoppelTable_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Идентификатор клиента Microsoft Entra, идентификатор клиента и секрет клиента: идентификатор Microsoft Entra id требует идентификатора клиента и секрета клиента для проверки подлинности приложения. Кроме того, для назначения зарегистрированному приложению роли издателя метрик мониторинга группы ресурсов требуется уровень доступа глобального администратора или владельца.
  • Требуется идентификатор рабочей области, DCE-URI, DCR-ID: необходимо получить идентификатор рабочей области Log Analytics, URI приема журналов DCE и неизменяемый идентификатор DCR для конфигурации.

Перетаскивание уведомлений через Cloud Sitestore

Поддерживается:Dragos Inc

Dragos Platform является ведущей промышленной платформой кибербезопасности, она предлагает комплексное обнаружение кибер-угроз операционной технологии (OT), созданное неоценимым опытом промышленной кибербезопасности. Это решение позволяет просматривать данные уведомлений о платформе Dragos в Microsoft Sentinel, чтобы аналитики безопасности могли просматривать потенциальные события кибербезопасности, происходящие в их промышленных средах.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
DragosAlerts_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Доступ к API Dragos Sitestore: учетная запись пользователя Sitestore с разрешением notification:read . Эта учетная запись также должна иметь ключ API, который можно предоставить Sentinel.

Соединитель событий Druva

Поддерживается:Druva Inc

Предоставляет возможность приема событий Druva из API Druva

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
DruvaSecurityEvents_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Доступ к API Druva: ДЛЯ проверки подлинности API Druva требуется идентификатор клиента и секрет клиента.

Dynamics 365 Финансы и операции

Поддерживается корпорацией Майкрософт

Dynamics 365 for Finance and Operations — это комплексное решение для планирования ресурсов предприятия (ERP), которое объединяет финансовые и операционные возможности, помогающие предприятиям управлять своими повседневными операциями. Он предлагает ряд функций, позволяющих предприятиям оптимизировать рабочие процессы, автоматизировать задачи и получить аналитические сведения о производительности операций.

Соединитель данных Dynamics 365 Finance and Operations выполняет прием действий администратора и операций Dynamics 365 Finance and Operations, а также журналов бизнес-процессов пользователей и действий приложений в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
FinanceOperationsActivity_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Регистрация приложения Microsoft Entra: идентификатор клиента приложения и секрет, используемые для доступа к Dynamics 365 Finance and Operations.

Dynamics365

Поддерживается корпорацией Майкрософт

Соединитель действий Dynamics 365 Common Data Service (CDS) предоставляет аналитические данные о действиях администратора, пользователя и службы поддержки, а также события ведения журнала Microsoft Social Engagement. Подключив журналы Dynamics 365 CRM к Microsoft Sentinel, вы можете просматривать эти данные в книгах, использовать его для создания пользовательских оповещений и улучшения процесса исследования.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Dynamics365Activity Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Атаки Dynatrace

Поддерживается:Dynatrace

Этот соединитель использует REST API атак Dynatrace для приема обнаруженных атак в Microsoft Sentinel Log Analytics

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
DynatraceAttacks_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace с включенным приложением Application Security , узнайте больше о платформе Dynatrace.
  • Маркер доступа Dynatrace: вам нужен маркер доступа Dynatrace, маркер должен иметь область атак чтения (атаки.read ).

Журналы аудита Dynatrace

Поддерживается:Dynatrace

Этот соединитель использует REST API журналов аудита Dynatrace для приема журналов аудита клиента в Microsoft Sentinel Log Analytics

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
DynatraceAuditLogs_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace, чтобы узнать больше о платформе Dynatrace Start your free пробной версии.
  • Маркер доступа Dynatrace: требуется маркер доступа Dynatrace, маркер должен иметь область "Чтение журналов аудита " (auditLogs.read).

Проблемы dynatrace

Поддерживается:Dynatrace

Этот соединитель использует REST API проблемы Dynatrace для приема событий проблем в Microsoft Sentinel Log Analytics

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
DynatraceProblems_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace, чтобы узнать больше о платформе Dynatrace Start your free пробной версии.
  • Маркер доступа Dynatrace: вам нужен маркер доступа Dynatrace, маркер должен иметь область чтения (problems.read ).

Уязвимости среды выполнения Dynatrace

Поддерживается:Dynatrace

Этот соединитель использует REST API проблемы безопасности Dynatrace для приема обнаруженных уязвимостей среды выполнения в Microsoft Sentinel Log Analytics.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
DynatraceSecurityProblems_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Клиент Dynatrace (например, xyz.dynatrace.com): вам нужен действительный клиент Dynatrace с включенным приложением Application Security , узнайте больше о платформе Dynatrace.
  • Маркер доступа Dynatrace: требуется маркер доступа Dynatrace, маркер должен иметь область безопасности чтения (securityProblems.read).

Агент Elastic (автономный)

Поддерживается корпорацией Майкрософт

Соединитель данных elastic Agent предоставляет возможность приема журналов эластичных агентов , метрик и данных безопасности в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ElasticAgentEvent нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Включите настраиваемые предварительные требования, если для подключения требуется - в противном случае удалите таможни: описание любого пользовательского предварительного требования

События безопасности браузера Ermes

Поддерживается:Ermes Cyber Security S.p.A.

События безопасности браузера Ermes

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ErmesBrowserSecurityEvents_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

Защита платформы ESET (с помощью функций Azure)

Поддерживается интеграциями:ESET Enterprise

Соединитель данных ESET Protect Platform позволяет пользователям внедрять данные обнаружения из ESET Protect Platform с помощью предоставленного REST API интеграции. REST API интеграции выполняется как запланированное приложение-функция Azure.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
IntegrationTable_CL Да Да
IntegrationTableIncidents_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Разрешение на регистрацию приложения в идентификаторе Microsoft Entra: требуются достаточные разрешения для регистрации приложения в клиенте Microsoft Entra.
  • Разрешение на назначение роли зарегистрированного приложения. Требуется разрешение на назначение роли издателя метрик мониторинга зарегистрированным приложению в идентификаторе Microsoft Entra ID.

Локальный сборщик Аналитики безопасности Exchange

Поддерживается:Community

Соединитель, используемый для отправки конфигурации локальной безопасности Exchange для анализа Microsoft Sentinel

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ESIExchangeConfig_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Учетная запись службы с ролью управления организацией: учетная запись службы, которая запускает скрипт в качестве запланированной задачи, должна иметь возможность получения всех необходимых сведений о безопасности.
  • Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.

Сборщик Exchange Security Insights Online (с помощью функций Azure)

Поддерживается:Community

Соединитель, используемый для отправки конфигурации безопасности Exchange Online для Анализа Microsoft Sentinel

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ESIExchangeOnlineConfig_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Разрешения microsoft.automation/automationaccounts: требуется разрешение на чтение и запись для создания службы автоматизации Azure с помощью Модуля Runbook. Дополнительные сведения см. в разделе "Учетная запись службы автоматизации".
  • Разрешения Microsoft.Graph: Groups.Read, Users.Read и Auditing.Read требуются разрешения для получения сведений о пользователях и группах, связанных с назначениями Exchange Online. Дополнительные сведения см. в документации.
  • Разрешения Exchange Online: разрешения Exchange.ManageAsApp и роль глобального читателя или читателя безопасности необходимы для получения конфигурации безопасности Exchange Online. Дополнительные сведения см. в документации.
  • (Необязательно) Разрешения хранилища журналов: участник данных BLOB-объектов хранилища в учетную запись хранения, связанную с управляемым удостоверением учетной записи службы автоматизации, или идентификатор приложения является обязательным для хранения журналов. Дополнительные сведения см. в документации.

Соединитель данных обнаружения дополнительных перехватчиков (с помощью функций Azure)

Поддерживается поддержкой:ExtraHop

Соединитель данных обнаружения дополнительных перехватчиков позволяет импортировать данные обнаружения из ExtraHop RevealX в Microsoft Sentinel с помощью полезных данных веб-перехватчика.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ExtraHop_Detections_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Разрешения ExtraHop RevealX: для системы ExtraHop RevealX требуется следующее: 1.Система RevealX должна работать под управлением встроенного ПО версии 9.9.2 или более поздней. 2.Система RevealX должна быть подключена к облачным службам ExtraHop. 3.Ваша учетная запись пользователя должна иметь права системного администрирования в RevealX 360 или полной записи в RevealX Enterprise.

F5 BIG-IP

Поддерживается сетями:F5

Соединитель брандмауэра F5 позволяет легко подключать журналы F5 к Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы будете получать больше полезных сведений о сети организации и расширите свои возможности для обеспечения безопасности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
F5Telemetry_LTM_CL нет нет
F5Telemetry_system_CL Да Да
F5Telemetry_ASM_CL нет нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Веб-канал

Поддерживается:Feedly Inc

Этот соединитель позволяет приему ioCs из Feedly.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
feedly_indicators_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Пользовательские предварительные требования при необходимости удаляются в противном случае этот таможенный тег: описание любых пользовательских предварительных требований

Вспышка

Поддерживается:Flare

Соединитель Flare позволяет получать данные и аналитику от Flare в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Firework_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Необходимые разрешения Flare. Только администраторы организации Flare могут настроить интеграцию Microsoft Sentinel.

Принудительное защита от потери данных

Поддерживается:Community

Соединитель Forcepoint DLP (Защита от потери данных) позволяет автоматически экспортировать данные инцидентов защиты от потери данных из Forcepoint DLP в Microsoft Sentinel в режиме реального времени. Это расширяет видимость действий пользователей и инцидентов потери данных, обеспечивает дополнительную корреляцию с данными из рабочих нагрузок Azure и других веб-каналов и улучшает возможности мониторинга с помощью книг в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ForcepointDLPEvents_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Предразведчик

Поддерживается корпорацией Майкрософт

Соединитель данных Forescout предоставляет возможность приема событий Forescout в Microsoft Sentinel. Дополнительные сведения см. в документации Forescout.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ForescoutEvent нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Монитор свойств узла Forescout

Поддерживается корпорацией Майкрософт

Соединитель монитора свойств узла Forescout позволяет подключать свойства узла из платформы Forescout с помощью Microsoft Sentinel, просматривать, создавать пользовательские инциденты и улучшать исследование. Это дает более подробную информацию о сети организации и улучшает возможности операций безопасности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ForescoutHostProperties_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Требование подключаемого модуля Forescout: убедитесь, что подключаемый модуль Forescout Microsoft Sentinel запущен на платформе Forescout

Fortinet FortiNDR Cloud

Поддерживается:Fortinet

Соединитель данных Fortinet FortiNDR Cloud предоставляет возможность приема данных Fortinet FortiNDR Cloud в Microsoft Sentinel с помощью ОБЛАЧНОго API FortiNDR

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
FncEventsSuricata_CL нет нет
FncEventsObservation_CL нет нет
FncEventsDetections_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные MetaStream: идентификатор ключа доступа AWS, секретный ключ доступа AWS, код облачной учетной записи FortiNDR требуется для получения данных о событиях.
  • Учетные данные API: маркер API FortiNDR Cloud API, для получения данных обнаружения требуются идентификаторы UUID облачной учетной записи FortiNDR .

Удаленные журналы GARrison ULTRA (с помощью функций Azure)

Поддерживается:Гаррисон

Соединитель Garrison ULTRA Remote Logs позволяет интегрировать удаленные журналы Garrison ULTRA в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Garrison_ULTRARemoteLogs_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Гаррисон УЛЬТРА: чтобы использовать этот соединитель данных, необходимо иметь активную лицензию Garrison ULTRA .

GCP Cloud Run (с помощью платформы соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных GCP Cloud Run предоставляет возможность загружать журналы запросов Cloud Run в Microsoft Sentinel через Pub/Sub. Дополнительные сведения см. в обзоре Cloud Run.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GCPCloudRun Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

GCP Cloud SQL (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных GCP Cloud SQL предоставляет возможность приема журналов аудита в Microsoft Sentinel с помощью API GCP Cloud SQL. Дополнительные сведения см. в документации по журналам аудита Cloud SQL GCP.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GCPCloudSQL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Журналы аудита gCP Pub/Sub

Поддерживается корпорацией Майкрософт

Журналы аудита Google Cloud Platform (GCP), полученные из соединителя Microsoft Sentinel, позволяют записывать три типа журналов аудита: журналы действий администратора, журналы доступа к данным и журналы прозрачности доступа. Журналы аудита облака Google записывают след, который практикующие специалисты могут использовать для мониторинга доступа и обнаружения потенциальных угроз в ресурсах Google Cloud Platform (GCP).

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GCPAuditLogs Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Журналы GCP Pub/Sub Load Balancer (через платформу соединителей без кода).

Поддерживается корпорацией Майкрософт

Журналы Подсистемы балансировки нагрузки Google Cloud Platform (GCP) предоставляют подробные сведения о сетевом трафике, записывая как входящие, так и исходящие действия. Эти журналы используются для мониторинга шаблонов доступа и выявления потенциальных угроз безопасности в ресурсах GCP. Кроме того, эти журналы также включают журналы брандмауэра веб-приложений GCP (WAF), повышая способность обнаруживать и устранять риски эффективно.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GCPLoadBalancerLogs_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Журналы потоков GCP Pub/Sub VPC (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Журналы потоков VPC Google Cloud Platform (GCP) позволяют отслеживать активность сетевого трафика на уровне VPC, позволяя отслеживать шаблоны доступа, анализировать производительность сети и обнаруживать потенциальные угрозы в ресурсах GCP.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GCPVPCFlow Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Соединитель данных Gigamon AMX

Поддерживается:Gigamon

Используйте этот соединитель данных для интеграции с экспортером метаданных приложений Gigamon (AMX) и получения данных непосредственно в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Gigamon_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

GitHub (использование веб-перехватчиков)

Поддерживается корпорацией Майкрософт

Соединитель данных веб-перехватчика GitHub предоставляет возможность приема подписанных событий GitHub в Microsoft Sentinel с помощью событий веб-перехватчика GitHub. Соединитель предоставляет возможность получать события в Microsoft Sentinel, что помогает изучить потенциальные риски безопасности, проанализировать использование совместной работы вашей команды, диагностировать проблемы конфигурации и многое другое.

Заметка: Если вы хотите принять журналы аудита Github, обратитесь к соединителю журнала аудита GitHub Enterprise из коллекции "Соединители данных".

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
githubscanaudit_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.

Журнал аудита GitHub Enterprise (с помощью платформы соединителя без кода) (предварительная версия)

Поддерживается корпорацией Майкрософт

Соединитель журнала аудита GitHub предоставляет возможность приема журналов GitHub в Microsoft Sentinel. Подключив журналы аудита GitHub к Microsoft Sentinel, эти данные можно просмотреть в книгах, использовать его для создания пользовательских оповещений и улучшения процесса исследования.

Заметка: Если вы намерены принять события подписки на GitHub в Microsoft Sentinel, обратитесь к соединителю GitHub (с помощью веб-перехватчиков) из коллекции "Соединители данных".

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GitHubAuditLogsV2_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • GitHub API персональный маркер доступа. Чтобы включить опрос для журнала аудита Enterprise, убедитесь, что прошедший проверку подлинности пользователь является администратором Enterprise и имеет личный маркер доступа GitHub (классический) с областью read:audit_log .
  • Тип GitHub Enterprise: этот соединитель будет работать только с GitHub Enterprise Cloud; он не будет поддерживать GitHub Enterprise Server.

Google ApigeeX (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных Google ApigeeX предоставляет возможность приема журналов аудита в Microsoft Sentinel с помощью API Apigee Google. Дополнительные сведения см. в документации по API Google Apigee .

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GCPApigee Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Google Cloud Platform CDN (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных CDN Google Cloud Platform предоставляет возможность приема журналов аудита Cloud CDN и журналов трафика Cloud CDN в Microsoft Sentinel с помощью API подсистемы вычислений. Дополнительные сведения см. в документе обзора продукта .

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GCPCDN Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Google Cloud Platform Cloud IDS (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных Google Cloud Platform IDS предоставляет возможность приема журналов трафика Cloud IDS, журналов угроз и журналов аудита в Microsoft Sentinel с помощью API Google Cloud IDS. Дополнительные сведения см. в документации по API Cloud IDS .

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GCPIDS Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Google Cloud Platform Cloud Monitoring (с помощью платформы соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных Google Cloud Platform Cloud Monitoring загружает журналы мониторинга из Google Cloud в Microsoft Sentinel с использованием API Google Cloud Monitoring. Дополнительные сведения см. в документации по API облачного мониторинга .

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GCPMonitoring Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Подсистема вычислений Google Cloud Platform (с помощью платформы соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных вычислительной подсистемы Google Cloud Platform предоставляет возможность приема журналов аудита вычислительных подсистем в Microsoft Sentinel с помощью API Облачного вычислительного модуля Google. Дополнительные сведения см. в документации по API cloud Compute Engine .

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GCPComputeEngine Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Google Cloud Platform DNS (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных DNS Google Cloud Platform предоставляет возможность приема журналов облачных запросов DNS и журналов аудита облачных DNS в Microsoft Sentinel с помощью API Google Cloud DNS. Дополнительные сведения см. в документации по API Облачных DNS .

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GCPDNS Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Google Cloud Platform IAM (с помощью codeless Connector Framework)

Поддерживается корпорацией Майкрософт

Соединитель данных IAM для Google Cloud Platform предоставляет возможность приема журналов аудита, связанных с действиями управления удостоверениями и доступом (IAM) в Google Cloud в Microsoft Sentinel с помощью API Google IAM. Дополнительные сведения см. в документации по API IAM GCP .

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GCPIAM Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Google Cloud Platform NAT (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных Google Cloud Platform NAT предоставляет возможность приема журналов аудита Cloud NAT и журналов трафика Cloud NAT в Microsoft Sentinel с помощью API Google Compute Engine. Дополнительные сведения см. в документе обзора продукта .

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GCPNATAudit Да Да
GCPNAT Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Google Cloud Platform Resource Manager (с помощью codeless Connector Framework)

Поддерживается корпорацией Майкрософт

Соединитель данных Google Cloud Platform Resource Manager предоставляет возможность интеграции журналов аудита административной активности и доступа к данным в Microsoft Sentinel с помощью API диспетчера ресурсов облака. Дополнительные сведения см. в документе обзора продукта .

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GCPResourceManager Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Модуль Google Kubernetes (с помощью платформы соединителей без кода)

Поддерживается корпорацией Майкрософт

Журналы подсистемы Google Kubernetes (GKE) позволяют записывать действия кластера, поведение рабочей нагрузки и события безопасности, позволяя отслеживать рабочие нагрузки Kubernetes, анализировать производительность и обнаруживать потенциальные угрозы в кластерах GKE.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GKEAudit Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Центр управления безопасностью Google

Поддерживается корпорацией Майкрософт

Центр управления безопасностью Google Cloud Platform (GCP) — это комплексная платформа управления безопасностью и рисками для Google Cloud, полученная из соединителя Sentinel. Он предлагает такие функции, как инвентаризация активов и их обнаружение, обнаружение уязвимостей и угроз, а также смягчение и исправление рисков, которые помогут вам получить представление о безопасности и потенциальных угрозах для данных вашей организации. Эта интеграция позволяет выполнять задачи, связанные с выводами и ресурсами более эффективно.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GoogleCloudSCC Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Действия рабочей области Google (через платформу соединителя без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных о действиях в рабочей области Google предоставляет возможность приема событий действий из API рабочей области Google в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GoogleWorkspaceReports Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Доступ к API рабочей области Google. Требуется доступ к API действий Google Workspace через Oauth.

Аналитика угроз GreyNoise

Поддерживается:GreyNoise

Этот соединитель данных устанавливает приложение-функцию Azure для скачивания индикаторов GreyNoise один раз в день и вставляет их в таблицу ThreatIntelligenceIndicator в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ThreatIntelligenceIndicator Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Ключ API GreyNoise: получите ключ API GreyNoiseздесь.

Intergration HackerView (с помощью Функций Azure)

Поддерживается:Cyber Threat Management 360

С помощью интеграции API вы можете получить все проблемы, связанные с организациями HackerView, через интерфейс RESTful.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
HackerViewLog_Azure_1_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.

Соединитель Halcyon

Поддерживается:Halcyon

Соединитель Halcyon предоставляет возможность отправлять данные из Halcyon в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
HalcyonAuthenticationEvents_CL нет нет
HalcyonDnsActivity_CL нет нет
HalcyonFileActivity_CL нет нет
HalcyonNetworkSession_CL нет нет
HalcyonProcessEvent_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Microsoft Entra Create Permissions: Permissions to create a app registration in Microsoft Entra ID. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
  • Разрешения назначения ролей: разрешения на запись, необходимые для назначения роли издателя метрик мониторинга правилу сбора данных (DCR). Обычно требуется роль "Владелец" или "Администратор доступа пользователей" на уровне группы ресурсов.

Данные ресурса безопасности Holm (с помощью функций Azure)

Поддерживается:Holm Security

Соединитель предоставляет возможность опроса данных из Центра безопасности Holm в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
net_assets_CL нет нет
web_assets_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Маркер API безопасности Holm: требуется маркер API безопасности Holm. Токен API безопасности Holm

Журналы IIS серверов Microsoft Exchange Server

Поддерживается:Community

[Вариант 5] С помощью агента Azure Monitor можно передавать все журналы IIS с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
W3CIISLog Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Для сбора данных из виртуальных машин, отличных от Azure, рекомендуется использовать Azure Arc. Подробнее
  • Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.

Illumio Insights

Поддерживается:Illumio

Соединитель данных Illumio Insights позволяет получать журналы из API Illumio в Microsoft Sentinel. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework. Он использует API Illumio для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не должны анализировать их снова, что приводит к повышению производительности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
IlumioInsights Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Сводка по Аналитике Illumio

Поддерживается:Illumio

Соединитель сводных данных Illumio Insights предоставляет возможность приема аналитических сведений о безопасности Illumio и анализа угроз в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API Illumio . Соединитель предоставляет возможность получать ежедневные и еженедельные сводные отчеты из Illumio и визуализировать их в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
IllumioInsightsSummary_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Доступ к API Illumio: доступ к API Illumio требуется для api сводки Illumio Insights.

Illumio SaaS (с помощью функций Azure)

Поддерживается:Illumio

Соединитель Illumio предоставляет возможность приема событий в Microsoft Sentinel. Соединитель предоставляет возможность приема событий аудита и потоков из контейнера AWS S3.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Illumio_Auditable_Events_CL Да Да
Illumio_Flow_Events_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные или разрешения учетной записи SQS и AWS S3: требуется AWS_SECRET, AWS_REGION_NAME, AWS_KEY, QUEUE_URL . Если вы используете контейнер s3, предоставляемый Illumio, обратитесь в службу поддержки Illumio. По запросу они предоставят вам имя контейнера AWS S3, URL-адрес AWS SQS и учетные данные AWS для доступа к ним.
  • Ключ и секрет API Illumio: ILLUMIO_API_KEY, ILLUMIO_API_SECRET требуется для книги, чтобы подключиться к SaaS PCE и получить ответы api.

Imperva Cloud WAF (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Соединитель данных Imperva Cloud WAF предоставляет возможность интеграции и приема событий Брандмауэр веб-приложений в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по интеграции с журналами. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ImpervaWAFCloud_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

Infoblox Cloud Data Connector через AMA

Поддерживается:Infoblox

Соединитель облачных данных Infoblox позволяет легко подключать данные Infoblox к Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CommonSecurityLog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Соединитель данных Infoblox через REST API

Поддерживается:Infoblox

Соединитель данных Infoblox позволяет легко подключать данные TIDE Infoblox и Dossier к Microsoft Sentinel. Подключив данные к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещений и обогащения аналитики угроз для каждого журнала.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Failed_Range_To_Ingest_CL нет нет
Infoblox_Failed_Indicators_CL нет нет
dossier_whois_CL нет нет
dossier_whitelist_CL нет нет
dossier_tld_risk_CL нет нет
dossier_threat_actor_CL нет нет
dossier_rpz_feeds_records_CL нет нет
dossier_rpz_feeds_CL нет нет
dossier_nameserver_matches_CL нет нет
dossier_nameserver_CL нет нет
dossier_malware_analysis_v3_CL нет нет
dossier_inforank_CL нет нет
dossier_infoblox_web_cat_CL нет нет
dossier_geo_CL нет нет
dossier_dns_CL нет нет
dossier_atp_threat_CL нет нет
dossier_atp_CL нет нет
dossier_ptr_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: требуется ключ API Infoblox . Дополнительные сведения об API см. в документации по справочнику по REST API

Infoblox SOC Insights Data Connector через AMA

Поддерживается:Infoblox

Соединитель данных Infoblox SOC Insights позволяет легко подключать данные Infoblox BloxOne SOC Insights с помощью Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала.

Этот соединитель данных отправляет журналы Infoblox SOC Insights CDC в рабочую область Log Analytics с помощью нового агента Azure Monitor. Дополнительные сведения о приеме с помощью нового агента Azure Monitor см. здесь. Корпорация Майкрософт рекомендует использовать этот соединитель данных.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CommonSecurityLog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Для сбора данных из виртуальных машин, отличных от Azure, они должны быть установлены и включены в Azure Arc. Подробнее
  • Общий формат событий (CEF) через AMA и Syslog через соединители данных AMA должен быть установлен. Подробнее

Соединитель данных Infoblox SOC Insights через REST API

Поддерживается:Infoblox

Соединитель данных Infoblox SOC Insights позволяет легко подключать данные Infoblox BloxOne SOC Insights с помощью Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
InfobloxInsight_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Соединитель данных InfoSecGlobal

Поддерживается:InfoSecGlobal

Используйте этот соединитель данных для интеграции с InfoSec Crypto Analytics и получения данных, отправляемых непосредственно в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
InfoSecAnalytics_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Журналы безопасности IONIX

Поддерживается:IONIX

Соединитель данных журналов безопасности IONIX отправляет журналы из системы IONIX непосредственно в Sentinel. Соединитель позволяет пользователям визуализировать свои данные, создавать оповещения и инциденты и улучшать исследования безопасности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CyberpionActionItems_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

Аудит администратора браузера Island Enterprise (опрос CCF)

Поддерживается:Island

Соединитель "Администратор острова " предоставляет возможность приема журналов аудита администратора острова в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Island_Admin_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Ключ API острова: требуется ключ API острова.

Активность пользователя браузера Island Enterprise (опрос CCF)

Поддерживается:Island

Соединитель Island предоставляет возможность приема журналов активности пользователей острова в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Island_User_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Ключ API острова: требуется ключ API острова.

Соединитель push-уведомлений Jamf Protect

Поддерживается:Jamf Software, LLC

Соединитель Jamf Protect предоставляет возможность считывать необработанные данные событий из Jamf Protect в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
jamfprotecttelemetryv2_CL Да Да
jamfprotectunifiedlogs_CL Да Да
jamfprotectalerts_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Microsoft Entra: разрешение на создание регистрации приложения в идентификаторе Microsoft Entra. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
  • Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR). Как правило, требуется роль владельца Azure RBAC или администратора доступа пользователей

Соединитель push-уведомлений системы безопасности keeper

Поддерживается безопасностью:Keeper

Соединитель Keeper Security предоставляет возможность считывать необработанные данные событий из Keeper Security в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
KeeperSecurityEventNewLogs_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Microsoft Entra: разрешение на создание регистрации приложения в идентификаторе Microsoft Entra. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
  • Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR). Как правило, требуется роль владельца Azure RBAC или администратора доступа пользователей

LastPass Enterprise — отчеты (опрос CCF)

Поддерживается:Коллективный консультации

Соединитель LastPass Enterprise предоставляет возможность журналов отчетов LastPass (аудит) в Microsoft Sentinel. Соединитель обеспечивает видимость имен входа и действий в LastPass (например, чтение и удаление паролей).

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
LastPassNativePoller_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Ключ API LastPass и CID: требуется ключ API LastPass и CID. Дополнительные сведения см. в разделе API LastPass.

Соединитель обнаружения мобильных угроз Lookout (с помощью платформы соединителя без кода) (предварительная версия)

Поддерживается:Lookout

Соединитель данных обнаружения мобильных угроз Lookout Mobile Threat предоставляет возможность приема событий, связанных с рисками безопасности мобильных устройств в Microsoft Sentinel через API мобильных рисков. Дополнительные сведения см. в документации по API. Этот соединитель помогает изучить потенциальные риски безопасности, обнаруженные на мобильных устройствах.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
LookoutMtdV2_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Luminar IOCs и утечка учетных данных (с помощью функций Azure)

Поддерживается:Cognyte Luminar

Коннектор Luminar IOCs и утекших учетных данных позволяет интегрировать данные IOC, основанные на аналитике, и записи об утечках, связанные с клиентом, которые идентифицируются Luminar.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ThreatIntelligenceIndicator Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в Azure Active Directory() и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: идентификатор клиента Luminar, секрет клиента Luminar и идентификатор учетной записи Luminar .

MailGuard 365

Поддерживается:MailGuard 365

Расширенная безопасность электронной почты MailGuard 365 для Microsoft 365. Эксклюзивный для Microsoft Marketplace, MailGuard 365 интегрирован с безопасностью Microsoft 365 (включительно. Defender) для расширенной защиты от расширенных угроз электронной почты, таких как фишинг, программ-шантажистов и сложные атаки BEC.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
MailGuard365_Threats_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

MailRisk по безопасной практике (с помощью функций Azure)

Поддерживается:Secure Practice

Соединитель данных для отправки сообщений электронной почты из MailRisk в Microsoft Sentinel Log Analytics.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
MailRiskEmails_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные API. Также требуется пара ключей API Secure Practice, которая создается в параметрах на портале администрирования. Если вы потеряли секрет API, можно создать новую пару ключей (ПРЕДУПРЕЖДЕНИЕ: любые другие интеграции с помощью старой пары ключей перестают работать).

Microsoft 365 (ранее — Office 365)

Поддерживается корпорацией Майкрософт

Соединитель журнала действий Microsoft 365 (ранее — Office 365) предоставляет аналитические сведения о текущих действиях пользователей. Вы получите сведения об операциях, таких как скачивание файлов, запросы на доступ, изменения в событиях группы, наборе почтовых ящиков и сведения о пользователе, выполняющем действия. Подключив журналы Microsoft 365 к Microsoft Sentinel, эти данные можно использовать для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения процесса исследования. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
OfficeActivity Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Управление рисками предварительной оценки Microsoft 365

Поддерживается корпорацией Майкрософт

Microsoft 365 Insider Risk Management — это решение для обеспечения соответствия требованиям в Microsoft 365, которое помогает свести к минимуму внутренние риски, позволяя обнаруживать, исследовать и действовать на вредоносных и непреднамеренных действиях в организации. Аналитики рисков в вашей организации могут быстро выполнить соответствующие действия, чтобы убедиться, что пользователи соответствуют стандартам соответствия вашей организации.

Политики внутренних рисков позволяют выполнять следующие действия.

  • определите типы рисков, которые необходимо определить и обнаружить в организации.
  • решите, какие действия следует предпринять в ответ, включая эскалацию случаев в Microsoft Advanced eDiscovery при необходимости.

Это решение создает оповещения, которые могут видеть клиенты Office в решении "Управление рисками предварительной оценки" в Центре соответствия требованиям Microsoft 365. Дополнительные сведения об управлении внутренними рисками.

Эти оповещения можно импортировать в Microsoft Sentinel с помощью этого соединителя, что позволяет просматривать, исследовать и реагировать на них в более широком контексте угроз организации. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityAlert Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Журналы событий безопасности контроллеров домена Майкрософт Active-Directory

Поддерживается:Community

[Вариант 3 и 4] С помощью агента Azure Monitor можно передавать часть или все журналы событий безопасности контроллеров домена с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityEvent Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Для сбора данных из виртуальных машин, отличных от Azure, рекомендуется использовать Azure Arc. Подробнее
  • Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.

Microsoft Dataverse

Поддерживается корпорацией Майкрософт

Microsoft Dataverse — это масштабируемая и безопасная платформа данных, которая позволяет организациям хранить и управлять данными, используемыми бизнес-приложениями. Соединитель данных Microsoft Dataverse предоставляет возможность приема журналов действий Dataverse и Dynamics 365 CRM из журнала аудита Microsoft Purview в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
DataverseActivity Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
  • Аудит Micorosft Purview: необходимо активировать аудит Microsoft Purview (стандартный или премиум).
  • Production Dataverse: ведение журнала действий доступно только для рабочих сред. Другие типы, такие как песочница, не поддерживают ведение журнала действий.
  • Параметры аудита dataverse: параметры аудита должны быть настроены как глобально, так и на уровне сущности или таблицы. Дополнительные сведения см. в разделе "Параметры аудита Dataverse".

Microsoft Defender для облачных приложений

Поддерживается корпорацией Майкрософт

Подключаясь к Microsoft Defender для облака приложениям, вы получите представление о облачных приложениях, получите сложную аналитику для выявления и борьбы с киберугрозами и управления способом перемещения данных.

  • Определение теневых ИТ-облачных приложений в сети.
  • Управление и ограничение доступа на основе условий и контекста сеанса.
  • Используйте встроенные или пользовательские политики для совместного использования данных и предотвращения потери данных.
  • Определение использования с высоким риском и получение оповещений для необычных действий пользователей с помощью аналитики поведения Майкрософт и возможностей обнаружения аномалий, включая действия программы-шантажисты, невозможное путешествие, подозрительные правила пересылки электронной почты и массовую загрузку файлов.
  • Массовая загрузка файлов

Развертывание сейчас >

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityAlert​ нет нет
McasShadowItReporting​ нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Microsoft Defender для конечной точки

Поддерживается корпорацией Майкрософт

Microsoft Defender для конечной точки — это платформа безопасности, которая позволяет предотвращать, обнаруживать, исследовать сложные угрозы и реагировать на них. Платформа создает предупреждения, когда в организации обнаруживаются подозрительные события безопасности. Получение в Microsoft Sentinel предупреждений, созданных в Microsoft Defender для конечной точки, чтобы можно было эффективно анализировать события безопасности. Можно создавать правила, строить панели мониторинга и разрабатывать сборники схем для немедленного реагирования. Дополнительные сведения см. в документации >по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityAlert Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Microsoft Defender для удостоверений

Поддерживается корпорацией Майкрософт

Подключите Microsoft Defender для удостоверений, чтобы получить представление о событиях и аналитике пользователей. Microsoft Defender для удостоверений определяет, обнаруживает и помогает исследовать расширенные угрозы, скомпрометированные удостоверения и вредоносные действия, направленные на вашу организацию. Microsoft Defender для удостоверений позволяет аналитикам SecOp и специалистам по безопасности обнаруживать расширенные атаки в гибридных средах:

  • Мониторинг пользователей, поведения сущностей и действий с помощью аналитики на основе обучения
  • Защита удостоверений пользователей и учетных данных, хранящихся в Active Directory
  • Выявление и исследование подозрительных действий пользователей и расширенных атак в цепочке убийств
  • Предоставление четкой информации об инциденте на простой временной шкале для быстрого выполнения

Попробуйте сейчас >

Развертывание сейчас >

Дополнительные сведения см. в документации >по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityAlert Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Microsoft Defender для Интернета вещей

Поддерживается корпорацией Майкрософт

Получите аналитические сведения о безопасности в Интернете вещей, подключив оповещения Microsoft Defender для Интернета вещей в Microsoft Sentinel. Вы можете получить встроенные метрики и данные оповещений, включая тренды для оповещений, топ оповещений и разбивку оповещений по степени серьезности. Вы также можете получить сведения о рекомендациях, предоставленных центрам Интернета вещей, включая топ рекомендаций и рекомендации по степени серьезности. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityAlert Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Microsoft Defender для Office 365 (предварительная версия)

Поддерживается корпорацией Майкрософт

Microsoft Defender для Office 365 защищает вашу организацию от вредоносных угроз, связанных с сообщениями электронной почты, ссылками (URL-адресами) и средствами совместной работы. При приеме оповещений Microsoft Defender для Office 365 в Microsoft Sentinel вы можете включить сведения об угрозах на основе электронной почты и URL-адресов в более широкий анализ рисков и сценарии реагирования на сборку соответствующим образом.

Будут импортированы следующие типы оповещений.

  • Обнаружен потенциально вредоносный URL-адрес
  • Сообщения электронной почты, содержащие вредоносные программы, удалены после доставки
  • Сообщения электронной почты, содержащие фишинговые URL-адреса, удаленные после доставки
  • Электронная почта, сообщаемая пользователем как вредоносная программа или фишинг
  • Обнаруженные шаблоны отправки подозрительных сообщений электронной почты
  • Пользователь, ограниченный от отправки электронной почты

Эти оповещения можно увидеть клиентами Office в Центре безопасности и соответствия требованиям Office**.

Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityAlert Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Аналитика угроз в Microsoft Defender

Поддерживается корпорацией Майкрософт

Microsoft Sentinel предоставляет возможность импорта аналитики угроз, созданной корпорацией Майкрософт, для включения мониторинга, оповещения и охоты. Используйте этот соединитель данных для импорта индикаторов компрометации (IOCs) из Аналитика угроз Microsoft Defender (MDTI) в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов и т. д.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ThreatIntelligenceIndicator Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Microsoft Defender XDR

Поддерживается корпорацией Майкрософт

XDR в Microsoft Defender — это единый, встроенный, предварительно и после брейщовый набор защиты предприятия, который защищает конечную точку, удостоверение, электронную почту и приложения и помогает обнаруживать, предотвращать, исследовать и автоматически реагировать на сложные угрозы.

Набор XDR в Microsoft Defender включает:

  • Microsoft Defender для Endpoint
  • Microsoft Defender для идентификации
  • Microsoft Defender для Office 365
  • Управление угрозами и уязвимостями
  • Microsoft Defender для облачных приложений

Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityIncident Да Да
SecurityAlert Да Да
DeviceEvents Да Да
EmailEvents Да Да
IdentityLogonEvents Да Да
CloudAppEvents Да Да
AlertEvidence Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Идентификатор Microsoft Entra

Поддерживается корпорацией Майкрософт

Получите аналитические сведения об идентификаторе Microsoft Entra, подключив журналы аудита и входа в Microsoft Sentinel для сбора аналитических сведений о сценариях идентификатора Microsoft Entra ID. Журналы входа предоставляют сведения об использовании приложений, политиках условного доступа, а также об устаревшем способе проверки подлинности. Вы можете получить сведения об использовании самостоятельного сброса пароля (SSPR), действиях управления идентификаторами Microsoft Entra, таких как пользователь, группа, роль, управление приложениями с помощью таблицы журналов аудита. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SigninLogs Да Да
AuditLogs Да Да
AADNonInteractiveUserSignInLogs Да Да
AADServicePrincipalSignInLogs Да Да
AADManagedIdentitySignInLogs Да Да
AADProvisioningLogs Да Да
ADFSSignInLogs Да Да
AADUserRiskEvents Да Да
AADRiskyUsers Да Да
NetworkAccessTraffic Да Да
AADRiskyServicePrincipals Да Да
AADServicePrincipalRiskEvents Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Ресурсы идентификатора Microsoft Entra

Поддерживается корпорацией Майкрософт

Соединитель данных ресурсов идентификатора записи предоставляет более подробные сведения о данных о действиях, дополняя сведения о ресурсах. Данные из этого соединителя используются для создания графов рисков данных в Purview. Если вы включили эти графы, деактивация этого соединителя не позволит создавать графы. Узнайте о графе риска данных.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера

Поддержка правила сбора данных: В настоящее время не поддерживается

Защита идентификаторов Microsoft Entra

Поддерживается корпорацией Майкрософт

Защита идентификации Microsoft Entra предоставляет консолидированное представление о пользователях риска, событиях рисках и уязвимостях с возможностью немедленного устранения рисков и настройке политик для автоматического исправления будущих событий. Эта служба создана на основе опыта корпорации Майкрософт в области защиты идентификации пользователей и работает чрезвычайно точно, получая сведения о более чем 13 миллиардах входов в день. Интеграция оповещений Microsoft Защита идентификации Microsoft Entra с Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения исследования. Дополнительные сведения см. в документации по Microsoft Sentinel.

Получение идентификатора Microsoft Entra ID Premium P1/P2

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityAlert Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Журналы аудита администратора Microsoft Exchange по журналам событий

Поддерживается:Community

[Вариант 1] С помощью агента Azure Monitor можно передавать все события аудита Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. Это используется книгами безопасности Microsoft Exchange для предоставления аналитических сведений о безопасности локальной среды Exchange.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Event Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Для сбора данных из виртуальных машин, отличных от Azure, рекомендуется использовать Azure Arc. Подробнее
  • Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.

Журналы прокси-сервера HTTP Microsoft Exchange

Поддерживается:Community

[Вариант 7] С помощью агента Azure Monitor можно передавать журналы HTTP-прокси и журналы событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование. Подробнее

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ExchangeHttpProxy_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Azure Log Analytics будет нерекомендуем: Azure Log Analytics будет не рекомендуется собирать данные из виртуальных машин, отличных от Azure, Azure Arc рекомендуется. Подробнее
  • Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.

Журналы и события Microsoft Exchange

Поддерживается:Community

[Вариант 2] С помощью агента Azure Monitor можно передавать все журналы событий Безопасности и приложений Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Это подключение позволяет создавать пользовательские оповещения и улучшать исследование.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Event Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Azure Log Analytics будет нерекомендуем: Azure Log Analytics будет не рекомендуется собирать данные из виртуальных машин, отличных от Azure, Azure Arc рекомендуется. Подробнее
  • Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.

Журналы отслеживания сообщений Microsoft Exchange

Поддерживается:Community

[Вариант 6] С помощью агента Azure Monitor можно передавать все сообщения Exchange с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Эти журналы можно использовать для отслеживания потока сообщений в среде Exchange. Этот соединитель данных основан на варианте 6 вики-сайта Безопасности Microsoft Exchange.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
MessageTrackingLog_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Azure Log Analytics будет нерекомендуем: Azure Log Analytics будет не рекомендуется собирать данные из виртуальных машин, отличных от Azure, Azure Arc рекомендуется. Подробнее
  • Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.

Microsoft Power Automate

Поддерживается корпорацией Майкрософт

Power Automate — это служба Майкрософт, которая помогает пользователям создавать автоматизированные рабочие процессы между приложениями и службами для синхронизации файлов, получения уведомлений, сбора данных и т. д. Она упрощает автоматизацию задач, повышает эффективность, уменьшая ручную, повторяющуюся задачу и повышая производительность. Соединитель данных Power Automate предоставляет возможность приема журналов действий Power Automate из журнала аудита Microsoft Purview в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
PowerAutomateActivity Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
  • Аудит Micorosft Purview: необходимо активировать аудит Microsoft Purview (стандартный или премиум).

Действие администратора Microsoft Power Platform

Поддерживается корпорацией Майкрософт

Microsoft Power Platform — это набор с низким кодом или без кода, который позволяет разработчикам граждан и профессиональным разработчикам оптимизировать бизнес-процессы, позволяя создавать пользовательские приложения, автоматизацию рабочих процессов и анализ данных с минимальным кодом. Соединитель данных администратора Power Platform предоставляет возможность приема журналов действий администратора Power Platform из журнала аудита Microsoft Purview в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
PowerPlatformAdminActivity Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения клиента: "Администратор безопасности" или "Глобальный администратор" в клиенте рабочей области.
  • Аудит Micorosft Purview: необходимо активировать аудит Microsoft Purview (стандартный или премиум).

Microsoft PowerBI

Поддерживается корпорацией Майкрософт

Microsoft PowerBI — это коллекция программных служб, приложений и соединителей, которые работают вместе, чтобы превратить несвязанные источники данных в последовательные, визуально иммерсивные и интерактивные аналитические сведения. Данные могут быть электронной таблицей Excel, коллекцией облачных и локальных гибридных хранилищ данных или хранилищем данных другого типа. Этот соединитель позволяет передавать журналы аудита PowerBI в Microsoft Sentinel, позволяя отслеживать действия пользователей в среде PowerBI. Вы можете фильтровать данные аудита по диапазону дат, пользователю, панели мониторинга, отчету, набору данных и типу действия.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
PowerBIActivity Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Microsoft Project

Поддерживается:Microsoft

Microsoft Project (MSP) — это программное обеспечение для управления проектами. В зависимости от плана Microsoft Project позволяет планировать проекты, назначать задачи, управлять ресурсами, создавать отчеты и многое другое. Этот соединитель позволяет передавать журналы аудита Проекта Azure в Microsoft Sentinel, чтобы отслеживать действия проекта.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ProjectActivity Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Microsoft Purview

Поддерживается корпорацией Майкрософт

Подключитесь к Microsoft Purview, чтобы включить обогащение конфиденциальности данных Microsoft Sentinel. Журналы классификации данных и меток конфиденциальности из сканирований Microsoft Purview можно получать и визуализировать с помощью книг, аналитических правил и т. д. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
PurviewDataSensitivityLogs Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Microsoft Purview Information Protection

Поддерживается корпорацией Майкрософт

Microsoft Purview Information Protection помогает обнаруживать, классифицировать, защищать конфиденциальные данные и управлять ими, независимо от места расположения или перемещения. С помощью этих возможностей вы можете узнать данные, определить элементы, которые чувствительны и получить представление о том, как они используются для более эффективной защиты данных. Метки конфиденциальности — это базовая возможность, которая обеспечивает действия защиты, применение шифрования, ограничений доступа и визуальных пометок. Интеграция журналов Защита информации Microsoft Purview с Microsoft Sentinel для просмотра панелей мониторинга, создания пользовательских оповещений и улучшения исследования. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
MicrosoftPurviewInformationProtection Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Аудит Mimecast

Поддерживается:Mimecast

Соединитель данных для Аудита Mimecast обеспечивает клиентам возможность видеть события безопасности, связанные с событиями аудита и аутентификации в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения о действиях пользователей, помочь в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель, : аудит

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Audit_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.

Аудит Mimecast и проверка подлинности (с помощью функций Azure)

Поддерживается:Mimecast

Коннектор данных для Mimecast Audit & Authentication обеспечивает клиентам возможность видеть события безопасности, связанные с событиями аудита и проверки подлинности в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения о действиях пользователей, помочь в корреляции инцидентов и сократить время реагирования на расследование в сочетании с пользовательскими возможностями оповещений.
Продукты Mimecast, включенные в соединитель: аудит и проверка подлинности

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
MimecastAudit_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации:
  • mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast
  • mimecastPassword: пароль для выделенного пользователя администратора Mimecast
  • mimecastAppId: идентификатор приложения API mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast
  • mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast
  • mimecastBaseURL: URL-адрес базового API Mimecast

Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование | Службы | Интеграция API и платформы.

Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
  • Приложение функций. Для использования этого соединителя необходимо зарегистрировать приложение Azure.
  1. Идентификатор приложения
  2. Идентификатор арендатора
  3. Идентификатор клиента
  4. Секрет клиента

Обучение осведомленности Mimecast

Поддерживается:Mimecast

Соединитель данных для Mimecast Awareness Training предоставляет клиентам видимость событий безопасности, связанных с технологиями проверки целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений.
Продукты Mimecast, включенные в соединитель, :

  • Сведения о производительности
  • Сведения о безопасной оценке
  • Данные пользователя
  • Сведения о списке наблюдения

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Awareness_Performance_Details_CL нет нет
Awareness_SafeScore_Details_CL нет нет
Awareness_User_Data_CL нет нет
Awareness_Watchlist_Details_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.

Интегрированная среда Mimecast Cloud

Поддерживается:Mimecast

Соединитель данных для Mimecast Cloud Integrated предоставляет клиентам видимость событий безопасности, связанных с технологиями облачной интегрированной проверки в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Cloud_Integrated_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.

Mimecast Intelligence для Майкрософт — Microsoft Sentinel (с помощью функций Azure)

Поддерживается:Mimecast

Соединитель данных для Mimecast Intelligence для Майкрософт предоставляет региональную аналитику угроз, курированную с помощью технологий проверки электронной почты Mimecast с предварительно созданными панелями мониторинга, чтобы аналитики могли просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на расследование.
Необходимые продукты и функции Mimecast:

  • Безопасный шлюз электронной почты Mimecast
  • Аналитика угроз Mimecast

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ThreatIntelligenceIndicator Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации:
  • mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast
  • mimecastPassword: пароль для выделенного пользователя администратора Mimecast
  • mimecastAppId: идентификатор приложения API mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast
  • mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast
  • mimecastBaseURL: URL-адрес базового API Mimecast

Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование | Службы | Интеграция API и платформы.

Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
  • Приложение функций. Для использования этого соединителя необходимо зарегистрировать приложение Azure.
  1. Идентификатор приложения
  2. Идентификатор арендатора
  3. Идентификатор клиента
  4. Секрет клиента

Безопасный шлюз электронной почты Mimecast

Поддерживается:Mimecast

Соединитель данных для Шлюза безопасной электронной почты Mimecast позволяет легко собирать лог-файлы из Шлюза безопасной электронной почты, чтобы получать аналитическую информацию и отслеживать активность пользователей в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Необходимые продукты и функции Mimecast:

  • Облачный шлюз Mimecast
  • Предотвращение утечки данных Mimecast

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Seg_Cg_CL нет нет
Seg_Dlp_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.

Безопасный шлюз электронной почты Mimecast (с помощью функций Azure)

Поддерживается:Mimecast

Соединитель данных для Шлюза безопасной электронной почты Mimecast позволяет легко собирать лог-файлы из Шлюза безопасной электронной почты, чтобы получать аналитическую информацию и отслеживать активность пользователей в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений. Необходимые продукты и функции Mimecast:

  • Безопасный шлюз электронной почты Mimecast
  • Предотвращение утечки данных Mimecast

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
MimecastSIEM_CL нет нет
MimecastDLP_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные API Mimecast. Для настройки интеграции необходимо иметь следующие фрагменты информации:
  • mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast
  • mimecastPassword: пароль для выделенного пользователя администратора Mimecast
  • mimecastAppId: идентификатор приложения API mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast
  • mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast
  • mimecastBaseURL: URL-адрес базового API Mimecast

Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование | Службы | Интеграция API и платформы.

Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

  • Группа ресурсов. Необходимо создать группу ресурсов с подпиской, которую вы собираетесь использовать.
  • Приложение функций. Для использования этого соединителя необходимо зарегистрировать приложение Azure.
  1. Идентификатор приложения
  2. Идентификатор арендатора
  3. Идентификатор клиента
  4. Секрет клиента

Mimecast Targeted Threat Protection

Поддерживается:Mimecast

Соединитель данных для Mimecast Targeted Threat Protection предоставляет клиентам видимость событий безопасности, связанных с технологиями проверки целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений.
Продукты Mimecast, включенные в соединитель, :

  • Защита URL-адреса
  • Защита олицетворения
  • Защита вложений

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Ttp_Url_CL нет нет
Ttp_Attachment_CL нет нет
Ttp_Impersonation_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API. Дополнительные сведения об API см. в справочнике по REST API.

Mimecast Targeted Threat Protection (с использованием Azure Functions)

Поддерживается:Mimecast

Соединитель данных для Mimecast Targeted Threat Protection предоставляет клиентам видимость событий безопасности, связанных с технологиями проверки целевой защиты от угроз в Microsoft Sentinel. Соединитель данных предоставляет предварительно созданные панели мониторинга, позволяющие аналитикам просматривать аналитические сведения об угрозах на основе электронной почты, помочь в корреляции инцидентов и сократить время реагирования на исследования, а также пользовательские возможности оповещений.
Продукты Mimecast, включенные в соединитель, :

  • Защита URL-адреса
  • Защита олицетворения
  • Защита вложений

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
MimecastTTPUrl_CL нет нет
MimecastTTPAttachment_CL нет нет
MimecastTTPImpersonation_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API. Для настройки интеграции вам потребуется следующее:
  • mimecastEmail: адрес электронной почты выделенного пользователя администратора Mimecast
  • mimecastPassword: пароль для выделенного пользователя администратора Mimecast
  • mimecastAppId: идентификатор приложения API mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAppKey: ключ приложения API для приложения Mimecast Microsoft Sentinel, зарегистрированного в Mimecast
  • mimecastAccessKey: ключ доступа для выделенного пользователя администратора Mimecast
  • mimecastSecretKey: секретный ключ для выделенного пользователя администратора Mimecast
  • mimecastBaseURL: URL-адрес базового API Mimecast

Идентификатор приложения Mimecast, ключ приложения, а также ключ доступа и секретные ключи для выделенного пользователя администратора Mimecast можно получить с помощью консоли администрирования Mimecast: администрирование | Службы | Интеграция API и платформы.

Базовый URL-адрес API Mimecast для каждого региона описан здесь: https://integrations.mimecast.com/documentation/api-overview/global-base-urls/

MISP2Sentinel

Поддерживается:Community

Это решение устанавливает соединитель MISP2Sentinel, который позволяет автоматически отправлять индикаторы угроз из MISP в Microsoft Sentinel через REST API отправки индикаторов. После установки решения настройте и включите этот соединитель данных, следуя инструкциям в представлении решения "Управление".

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ThreatIntelligenceIndicator Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Журналы MongoDB Atlas

Поддерживается:MongoDB

Коннектор MongoDBAtlas Logs предоставляет возможность загружать логи базы данных MongoDB Atlas в Microsoft Sentinel через API администрирования MongoDB Atlas. Обратитесь к документации API для получения дополнительной информации. Коннектор предоставляет возможность получать различные сообщения логов базы данных для указанных хостов и проекта.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
MDBALogTable_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: требуется идентификатор клиента учетной записи службы MongoDB Atlas и секрет клиента . Дополнительные сведения см. в статье о создании учетной записи службы

MuleSoft Cloudhub (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Соединитель данных MuleSoft Cloudhub предоставляет возможность получения журналов из приложений Cloudhub с помощью API Cloudhub и дополнительных событий в Microsoft Sentinel через REST API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
MuleSoft_Cloudhub_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: MuleSoftEnvId, MuleSoftAppName, MuleSoftUsername и MuleSoftPassword необходимы для вызова API.

Защита NC

Поддерживается:archTIS

NC Protect Data Connector (archtis.com) предоставляет возможность приема журналов и событий пользователя в Microsoft Sentinel. Соединитель обеспечивает видимость журналов действий и событий защиты пользователей в Microsoft Sentinel для улучшения возможностей мониторинга и исследования.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
NCProtectUAL_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

Оповещения и события Netskope

Поддерживается:Netskope

Оповещения и события безопасности Netskope

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
NetskopeAlerts_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • URL-адрес организации Netskope: соединитель данных Netskope требует предоставления URL-адреса организации. Url-адрес организации можно найти, войдите на портал Netskope.
  • Ключ API Netskope: соединитель данных Netskope требует предоставления допустимого ключа API. Вы можете создать его, следуя документации По Netskope.

Соединитель данных Netskope

Поддерживается:Netskope

Соединитель данных Netskope предоставляет следующие возможности:

  1. NetskopeToAzureStorage:
  • Получение данных о оповещениях и событиях Netskope из Netskope и приема в хранилище Azure. 2. StorageToSentinel:
  • Получите данные о оповещениях и событиях Netskope из хранилища Azure и приема в настраиваемую таблицу журналов в рабочей области Log Analytics. 3. WebTxMetrics:
  • Получите данные WebTxMetrics из Netskope и приема в настраиваемую таблицу журналов в рабочей области Log Analytics.

Дополнительные сведения о REST API см. в следующих документациях:

  1. Документация по API Netskope:

https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/ 2. Документация по хранилищу Azure: /azure/storage/common/storage-introduction 3. Документация по Microsoft Log Analytics: /azure/azure-monitor/logs/log-analytics-overview

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
alertscompromisedcredentialdata_CL нет нет
alertsctepdata_CL нет нет
alertsdlpdata_CL нет нет
alertsmalsitedata_CL нет нет
alertsmalwaredata_CL нет нет
alertspolicydata_CL нет нет
alertsquarantinedata_CL нет нет
alertsremediationdata_CL нет нет
alertssecurityassessmentdata_CL нет нет
alertsubadata_CL нет нет
eventsapplicationdata_CL нет нет
eventsauditdata_CL нет нет
eventsconnectiondata_CL нет нет
eventsincidentdata_CL нет нет
eventsnetworkdata_CL нет нет
eventspagedata_CL нет нет
Netskope_WebTx_metrics_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в Azure Active Directory() и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: требуется клиент Netskope и токен API Netskope . Дополнительные сведения об API см. в документации по справочнику по REST API

Соединитель данных веб-транзакций Netskope

Поддерживается:Netskope

Соединитель данных Netskope Web Transactions предоставляет функциональные возможности образа Docker для извлечения данных Netskope Web Transactions из google pubsublite, обработки данных и приема обработанных данных в Log Analytics. В рамках этого соединителя данных две таблицы будут сформированы в Log Analytics, одна для данных веб-транзакций и другая для ошибок, возникающих во время выполнения.

Дополнительные сведения о веб-транзакциях см. в следующей документации:

  1. Документация по Netskope Web Transactions:

https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
NetskopeWebtxData_CL нет нет
NetskopeWebtxErrors_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в идентификаторе Microsoft Entra и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Compute. Требуется разрешение на чтение и запись виртуальных машин Azure. Дополнительные сведения см. в статье о виртуальных машинах Azure.
  • Учетные данные и разрешения transactionEvents: требуется клиент Netskope и токен API Netskope. Дополнительные сведения см. в разделе "События транзакций".
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.

Группы безопасности сети

Поддерживается корпорацией Майкрософт

Группы безопасности сети Azure (NSG) позволяют фильтровать сетевой трафик в ресурсы Azure и из нее в виртуальной сети Azure. Группа безопасности сети включает правила, разрешающие или запрещающие трафик в подсеть виртуальной сети, сетевой интерфейс или оба.

При включении ведения журнала для NSG можно собрать следующие типы данных журнала ресурсов:

  • Событие: Записи регистрируются, для которых правила NSG применяются к виртуальным машинам на основе MAC-адреса.
  • Счетчик правил: Содержит записи для того, сколько раз применяется каждое правило NSG для запрета или разрешения трафика. Состояние этих правил регистрируется каждые 300 секунд.

Этот соединитель позволяет передавать журналы NSG диагностика в Microsoft Sentinel, что позволяет непрерывно отслеживать действия во всех экземплярах. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
AzureDiagnostics нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

NordPass

Поддерживается:NordPass

Интеграция NordPass с Microsoft Sentinel SIEM через API позволяет автоматически передавать данные журнала действий из NordPass в Microsoft Sentinel и получать аналитические сведения в режиме реального времени, такие как действие элемента, все попытки входа и уведомления системы безопасности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
NordPassEventLogs_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Убедитесь, что группа ресурсов и рабочая область Log Analytics созданы и расположены в том же регионе, чтобы можно было развернуть функции Azure.
  • Добавьте Microsoft Sentinel в созданную рабочую область Log Analytics.
  • Создайте URL-адрес и маркер API Microsoft Sentinel в панели администрирования NordPass, чтобы завершить интеграцию функций Azure. Обратите внимание, что для этого вам потребуется учетная запись NordPass Enterprise.
  • Важно: Этот соединитель использует Функции Azure для получения журналов действий из NordPass в Microsoft Sentinel. Это может привести к дополнительным затратам на прием данных. Дополнительные сведения см. на странице цен на Функции Azure.

Обсидиановый разъём для обмена данными

Поддерживается:Obsidian Security

Разъём Obsidian Datasharing предоставляет возможность считывать исходные события из Obsidian Datasharing в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ObsidianActivity_CL нет нет
ObsidianThreat_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Microsoft Entra: разрешение на создание регистрации приложения в идентификаторе Microsoft Entra. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
  • Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR). Как правило, требуется роль владельца Azure RBAC или администратора доступа пользователей

Единый вход Okta

Поддерживается корпорацией Майкрософт

Соединитель данных "Единый вход" Okta Single Sign-On (SSO) предоставляет возможность приема журналов аудита и событий из API журнала Okta Sysem в Microsoft Sentinel. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework и использует API системного журнала Okta для получения событий. Соединитель поддерживает преобразования времени приема данных на основе DCR, которые анализируют полученные данные событий безопасности в настраиваемые столбцы, чтобы запросы не должны повторно анализировать их, что приводит к повышению производительности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
OktaSSO нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

Единый Sign-On Okta (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Соединитель единого входа Okta предоставляет возможность приема журналов аудита и событий из API Okta в Microsoft Sentinel. Соединитель обеспечивает видимость этих типов журналов в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Okta_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Маркер API Okta: требуется маркер API Okta. Дополнительные сведения об API системного журнала Okta см. в документации.

Onapsis Defense: интеграция несоответственного обнаружения угроз SAP и Intel с Microsoft Sentinel

Поддерживается:Onapsis

Предоставление команд безопасности с глубокой видимостью уникальных эксплойтов, нулевого дня и действий субъектов угроз; подозрительное поведение пользователя или программы предварительной оценки; скачивание конфиденциальных данных; нарушения системы безопасности; и многое другое - все обогащены экспертами SAP в Onapsis.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Onapsis_Defend_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Microsoft Entra: разрешение на создание регистрации приложения в идентификаторе Microsoft Entra. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
  • Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правилах сбора данных. Обычно требуется роль владельца Azure RBAC или администратора доступа пользователей.

Платформа IAM OneLogin (с помощью платформы соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных OneLogin предоставляет возможность приема распространенных событий Платформы OneLogin IAM в Microsoft Sentinel через REST API с помощью API событий OneLogin и API пользователей OneLogin. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
OneLoginEventsV2_CL Да Да
OneLoginUsersV2_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Учетные данные API OneLogin IAM. Чтобы создать учетные данные API, перейдите по ссылке документа, предоставленной здесь, щелкните здесь. Убедитесь, что у владельца учетной записи или администратора есть тип учетной записи, чтобы создать учетные данные API. После создания учетных данных API вы получите идентификатор клиента и секрет клиента.

OneTrust

Поддерживается:OneTrust, LLC

Соединитель OneTrust для Microsoft Sentinel предоставляет возможность почти в реальном времени видеть, где конфиденциальные данные были обнаружены или обработаны в Google Cloud и других поддерживаемых OneTrust источниках данных.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
OneTrustMetadataV3_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Microsoft Entra: разрешение на создание регистрации приложения в идентификаторе Microsoft Entra. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
  • Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR). Как правило, требуется роль владельца Azure RBAC или администратора доступа пользователей

Соединитель данных Open Systems

Поддерживается:Open Systems

API журналов Open Systems Microsoft Sentinel Connector предоставляет возможность приема журналов Open Systems в Microsoft Sentinel с помощью API журналов Open Systems.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
OpenSystemsZtnaLogs_CL нет нет
OpenSystemsFirewallLogs_CL нет нет
OpenSystemsAuthenticationLogs_CL нет нет
OpenSystemsProxyLogs_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Требуются приложения контейнеров Azure, контроллеры домена и контроллеры домена: разрешения для развертывания приложений контейнеров Azure, управляемых сред, правил сбора данных (DCR) и конечных точек сбора данных (DCEs). Обычно это рассматривается с помощью роли "Участник" в подписке или группе ресурсов.
  • Разрешения назначения ролей: разрешения на создание назначений ролей (специально "Издатель метрик мониторинга" на контроллерах домена) требуются для развертывания пользователя или субъекта-службы.
  • Необходимые учетные данные для шаблона ARM: во время развертывания необходимо указать: конечную точку API журналов систем и строку подключения, а также учетные данные субъекта-службы (идентификатор клиента, секрет клиента, объект или идентификатор субъекта).
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Пользовательские предварительные требования при необходимости удаляются в противном случае этот таможенный тег: описание любых пользовательских предварительных требований

Инфраструктура Oracle Cloud (с помощью платформы соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных Oracle Cloud Infrastructure (OCI) предоставляет возможность приема журналов OCI из OCI Stream в Microsoft Sentinel с помощью REST API потоковой передачи OCI.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
OCI_LogsV2_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Доступ к API потоковой передачи OCI: требуется доступ к API потоковой передачи OCI через ключи подписывания API.

Оповещения системы безопасности Orca

Поддерживается:Orca Security

Соединитель оповещений системы безопасности Orca позволяет легко экспортировать журналы оповещений в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
OrcaAlerts_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Palo Alto Cortex XDR

Поддерживается корпорацией Майкрософт

Соединитель данных Palo Alto Cortex XDR позволяет прием журналов из API XDR Palo Alto Cortex в Microsoft Sentinel. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework. Он использует API XDR Palo Alto Cortex XDR для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не нуждались в повторном анализе, что приводит к повышению производительности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
PaloAltoCortexXDR_Incidents_CL Да Да
PaloAltoCortexXDR_Endpoints_CL Да Да
PaloAltoCortexXDR_Audit_Management_CL Да Да
PaloAltoCortexXDR_Audit_Agent_CL Да Да
PaloAltoCortexXDR_Alerts_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Palo Alto Cortex Xpanse (с помощью codeless Connector Framework)

Поддерживается корпорацией Майкрософт

Соединитель данных Palo Alto Cortex Xpanse возвращает данные оповещений в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CortexXpanseAlerts_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Palo Alto Prisma Cloud CSPM (через codeless Connector Framework)

Поддерживается корпорацией Майкрософт

Соединитель данных Palo Alto Prisma Cloud CSPM позволяет подключаться к экземпляру Palo Alto Prisma Cloud CSPM и приему оповещений () и журналам аудита (https://pan.dev/prisma-cloud/api/cspm/alerts/https://pan.dev/prisma-cloud/api/cspm/audit-logs/) в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
PaloAltoPrismaCloudAlertV2_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Palo Alto Prisma Cloud CWPP (с помощью REST API)

Поддерживается корпорацией Майкрософт

Соединитель данных Palo Alto Prisma Cloud CWPP позволяет подключаться к экземпляру Palo Alto Prisma Cloud CWPP и приему оповещений в Microsoft Sentinel. Соединитель данных основан на платформе соединителя Без кода Microsoft Sentinel и использует API Prisma Cloud для получения событий безопасности и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные события безопасности в настраиваемые столбцы, чтобы запросы не должны повторно анализировать их, что приводит к повышению производительности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
PrismaCloudCompute_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Ключ API PrismaCloudCompute: требуется имя пользователя и пароль API Palo Alto Prisma Cloud CWPP Monitor. Дополнительные сведения см. в разделе API SIEM PrismaCloudCompute.

Pathlock Inc.: Обнаружение и реагирование угроз для SAP

Поддерживается:Pathlock Inc.

Интеграция Pathlock Threat Detection and Response (TD&R) с Microsoft Sentinel Solution для SAP обеспечивает единую видимость событий безопасности SAP в реальном времени, позволяя организациям обнаруживать и реагировать на угрозы во всех SAP-ландшафтах. Эта готовая интеграция позволяет Центрам Операционной Безопасности (SOC) сопоставлять оповещения SAP с телеметрией на уровне всего предприятия, создавая оперативную информацию, связывающую ИТ-безопасность с бизнес-процессами.

Разъём Pathlock специально разработан для SAP и по умолчанию пересылает только события, связанные с безопасностью, минимизируя объём данных и шум, при этом сохраняя гибкость для передачи всех источников журналов при необходимости. Каждое событие обогащается контекстом бизнес-процессов, позволяя Microsoft Sentinel Solution for SAP analytics отличать операционные паттерны от реальных угроз и расставлять приоритеты на действительно важном.

Такой подход, основанный на точности, помогает командам безопасности значительно сократить количество ложных срабатываний, сосредоточить расследования и ускорить среднее время обнаружения (MTTD ) и среднее время реагирования (MTTR). Библиотека Pathlock состоит из более чем 1500 специфических для SAP сигнатур обнаружения в 70+ источниках журналов, решение выявляет сложные поведения атак, слабости конфигурации и аномалии доступа.

Объединяя бизнес-контекстную аналитику с продвинутой аналитикой, Pathlock позволяет предприятиям повышать точность обнаружения, оптимизировать действия реагирования и поддерживать непрерывный контроль в своих SAP-средах — без добавления сложности или избыточных уровней мониторинга.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ABAPAuditLog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Microsoft Entra: разрешение на создание регистрации приложения в идентификаторе Microsoft Entra. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
  • Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правилах сбора данных. Обычно требуется роль владельца Azure RBAC или администратора доступа пользователей.

Журналы действий Периметра 81

Поддерживается:Периметр 81

Соединитель журналов действий Периметра 81 позволяет легко подключать журналы действий Периметра 81 с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Perimeter81_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Устройства с люминофором

Поддерживается:Ловоинк.

Соединитель устройств Изфоруса предоставляет возможность приема журналов данных устройства в Microsoft Sentinel с помощью REST API для фосфора. Соединитель обеспечивает видимость устройств, зарегистрированных в Фосфоре. Этот соединитель данных извлекает сведения о устройствах вместе с соответствующими оповещениями.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Phosphorus_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Учетные данные и разрешения REST API: требуется ключ API Для фосфора . Убедитесь, что ключ API, связанный с пользователем, имеет разрешения на управление параметрами.

Следуйте этим инструкциям, чтобы включить разрешения "Управление параметрами".

  1. Войдите в приложение «Фосфор»
  2. Перейдите в раздел "Параметры" —> "Группы"
  3. Выбор группы пользователя интеграции является частью
  4. Перейдите к разделу "Действия продукта" —> переключите разрешение "Управление параметрами".

Ping One (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Этот соединитель использует журналы действий аудита из платформы PingOne Identity в Microsoft Sentinel с помощью платформы соединителя без кода.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
PingOne_AuditActivitiesV2_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Соединитель данных Prancer

Поддерживается интеграцией:Prancer PenSuiteAI

Соединитель данных Prancer предоставляет возможность приема данных Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] и PAC для обработки с помощью Microsoft Sentinel. Дополнительные сведения см. в документации Prancer .

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
prancer_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Включите настраиваемые предварительные требования, если для подключения требуется - в противном случае удалите таможни: описание любого пользовательского предварительного требования

Аналитика угроз Microsoft Defender уровня "Премиум"

Поддерживается корпорацией Майкрософт

Microsoft Sentinel предоставляет возможность импорта аналитики угроз, созданной корпорацией Майкрософт, для включения мониторинга, оповещения и охоты. Используйте этот соединитель данных для импорта индикаторов компрометации (IOCs) из premium Аналитика угроз Microsoft Defender (MDTI) в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов и т. д. Примечание. Это платный соединитель. Чтобы использовать и прием данных из него, приобретите номер SKU "ДОСТУП к API MDTI" из Центра партнеров.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ThreatIntelligenceIndicator Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Проверка безопасности электронной почты по запросу (с помощью платформы соединителей без кода)

Поддерживается:Proofpoint, Inc.

Соединитель данных Proofpoint On Demand Email Security обеспечивает получение данных Proofpoint on Demand Email Protection, позволяет пользователям проверять прослеживаемость сообщений, проводить мониторинг активности электронной почты, угроз и кражи данных злоумышленниками и злонамеренными инсайдерами. Коннектор предоставляет возможность просматривать события в вашей организации на ускоренной основе и получать файлы журналов событий с почасовым интервалом для недавних действий.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ProofpointPODMailLog_CL Да Да
ProofpointPODMessage_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Учетные данные и разрешения API Websocket: ProofpointClusterID и ProofpointToken необходимы. Дополнительные сведения см. в разделе API.

Проверка безопасности электронной почты по запросу (с помощью платформы соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных Proofpoint On Demand Email Security обеспечивает получение данных Proofpoint on Demand Email Protection, позволяет пользователям проверять прослеживаемость сообщений, проводить мониторинг активности электронной почты, угроз и кражи данных злоумышленниками и злонамеренными инсайдерами. Коннектор предоставляет возможность просматривать события в вашей организации на ускоренной основе и получать файлы журналов событий с почасовым интервалом для недавних действий.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ProofpointPODMailLog_CL Да Да
ProofpointPODMessage_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Учетные данные и разрешения API Websocket: ProofpointClusterID и ProofpointToken необходимы. Дополнительные сведения см. в разделе API.

Proofpoint TAP (с помощью платформы соединителей без кода)

Поддерживается:Proofpoint, Inc.

Соединитель Proofpoint Targeted Attack Protection (TAP) предоставляет возможность приема журналов и событий Proofpoint TAP в Microsoft Sentinel. Соединитель обеспечивает видимость событий Message и Click в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ProofPointTAPMessagesDeliveredV2_CL Да Да
ProofPointTAPMessagesBlockedV2_CL Да Да
ProofPointTAPClicksPermittedV2_CL Да Да
ProofPointTAPClicksBlockedV2_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Ключ API Proofpoint TAP: субъект-служба API Proofpoint TAP и секрет требуются для доступа к API SIEM Для проверки подлинности. Дополнительные сведения см. в разделе API Proofpoint SIEM.

Proofpoint TAP (с помощью платформы соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель Proofpoint Targeted Attack Protection (TAP) предоставляет возможность приема журналов и событий Proofpoint TAP в Microsoft Sentinel. Соединитель обеспечивает видимость событий Message и Click в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ProofPointTAPMessagesDeliveredV2_CL Да Да
ProofPointTAPMessagesBlockedV2_CL Да Да
ProofPointTAPClicksPermittedV2_CL Да Да
ProofPointTAPClicksBlockedV2_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Ключ API Proofpoint TAP: субъект-служба API Proofpoint TAP и секрет требуются для доступа к API SIEM Для проверки подлинности. Дополнительные сведения см. в разделе API Proofpoint SIEM.

QscoutAppEventsConnector

Поддерживается:Quokka

Прием событий приложения Qscout в Microsoft Sentinel

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
QscoutAppEvents_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Идентификатор организации Qscout: API требует идентификатор организации в Qscout.
  • Ключ API организации Qscout: API требует ключа API организации в Qscout.

Qualys VM KnowledgeBase (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Коннектор KnowledgeBase (KB) Qualys Управление уязвимостями (VM) предоставляет возможность получения последних данных об уязвимостях из Qualys KB в Microsoft Sentinel.

Эти данные могут использоваться для корреляции и обогащения выявленных уязвимостей, обнаруженных соединителем данных Qualys Vulnerability Management (VM).

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
QualysKB_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Ключ API Qualys: требуется имя пользователя и пароль API виртуальных машин Qualys. Дополнительные сведения см. в разделе API виртуальных машин Qualys.

Управление уязвимостями Qualys (с помощью платформы соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных Qualys Vulnerability Management (VM) предоставляет возможность приема данных обнаружения узлов уязвимостей в Microsoft Sentinel через API Qualys. Соединитель обеспечивает видимость данных об обнаружении узлов из проверок вольверности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
QualysHostDetectionV3_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Доступ к API и роли. Убедитесь, что пользователь виртуальной машины Qualys имеет роль читателя или более поздней версии. Если роль — читатель, убедитесь, что для учетной записи включен доступ к API. Роль аудитора не поддерживается для доступа к API. Дополнительные сведения см. в документе api обнаружения узлов виртуальных машин Qualys и сравнения ролей пользователей .

Radiflow iSID через AMA

Поддерживается:Radiflow

iSID обеспечивает неразрушительный мониторинг распределенных сетей ICS для изменений в топологии и поведении, используя несколько пакетов безопасности, каждый из которых предлагает уникальную возможность, относящуюся к конкретному типу сетевой активности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
RadiflowEvent нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Отчеты об управлении уязвимостями платформы Rapid7 Insights (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Соединитель данных отчета об отчете виртуальной машины Rapid7 Insights предоставляет возможность приема отчетов сканирования и данных уязвимостей в Microsoft Sentinel с помощью REST API из платформы Rapid7 Insights (управляемой в облаке). Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
NexposeInsightVMCloud_assets_CL нет нет
NexposeInsightVMCloud_vulnerabilities_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные REST API: InsightsVMAPIKey требуется для REST API. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных

Разъём RSA ID Plus Admin Logs

Поддерживается группойподдержки:RSA

RSA ID Plus AdminLogs Connector предоставляет возможность вводить события аудита облачных консолей администратора в Microsoft Sentinel с помощью API Cloud Admin.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
RSAIDPlus_AdminLogs_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Проверка подлинности API RSA ID Plus: для доступа к API администрирования требуется допустимый маркер JWT в кодировке Base64URL, подписанный ключом API устаревшего администрирования клиента.

Соединитель облачных данных Rubrik Security (с помощью функций Azure)

Поддерживается:Rubrik

Соединитель облачных данных Rubrik Security позволяет группам по операциям безопасности интегрировать аналитические сведения из служб наблюдения за данными Rubrik в Microsoft Sentinel. Эти аналитические сведения включают идентификацию аномального поведения файловой системы, связанного с программ-шантажистов и массовым удалением, оценку радиуса взрыва атаки программы-шантажистов и операторов конфиденциальных данных, чтобы определить приоритеты и быстрее исследовать потенциальные инциденты.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Rubrik_Anomaly_Data_CL Да Да
Rubrik_Ransomware_Data_CL Да Да
Rubrik_ThreatHunt_Data_CL Да Да
Rubrik_Events_Data_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.

Безопасность SaaS

Поддерживается безопасностью:Valence

Подключает платформу безопасности SaaS Valence Azure Log Analytics через интерфейс REST API

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ValenceAlert_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

SailPoint IdentityNow (с использованием Azure Functions)

Поддерживается:SailPoint

Подключаемый модуль данных SailPoint IdentityNow предоставляет возможность обработки событий поиска [SailPoint IdentityNow] в Microsoft Sentinel через REST API. Соединитель предоставляет клиентам возможность извлекать сведения аудита из своего клиента IdentityNow. Он предназначен для того, чтобы упростить перенос пользовательской активности и мероприятий по управлению IdentityNow в Microsoft Sentinel для улучшения аналитики вашего решения для мониторинга инцидентов безопасности и событий.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SailPointIDN_Events_CL Да Да
SailPointIDN_Triggers_CL нет нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные проверки подлинности API SailPoint IdentityNow: для проверки подлинности требуются учетные данные TENANT_ID, CLIENT_ID и CLIENT_SECRET.

Cloud Salesforce Service Cloud (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных Salesforce Service Cloud предоставляет возможность приема сведений о рабочих событиях Salesforce в Microsoft Sentinel через REST API. Соединитель предоставляет возможность просматривать события в организации на ускоренной основе, получать файлы журналов событий почасового увеличения для последних действий.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SalesforceServiceCloudV2_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Доступ к облачному API Salesforce: требуется доступ к облачному API Службы Salesforce через подключенное приложение.

Samsung Knox Asset Intelligence

Поддерживается:Samsung Electronics Co., Ltd.

Samsung Knox Asset Intelligence Data Connector позволяет централизировать события и журналы мобильной безопасности для просмотра настраиваемых аналитических сведений с помощью шаблона книги и выявления инцидентов на основе шаблонов правил аналитики.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Samsung_Knox_Audit_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

SAP BTP

Поддерживается корпорацией Майкрософт

Платформа SAP Business Technology Platform (SAP BTP) объединяет управление данными, аналитику, искусственный интеллект, разработку приложений, автоматизацию и интеграцию в одной единой среде.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SAPBTPAuditLog_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Идентификатор клиента и секрет клиента для API получения аудита: включение доступа к API в BTP.

Sap Enterprise Threat Detection, cloud edition

Поддерживается:SAP

Соединитель данных SAP Enterprise Threat Detection, cloud edition (ETD) позволяет прием оповещений системы безопасности из ETD в Microsoft Sentinel, поддерживая кросс-корреляцию, оповещения и поиск угроз.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SAPETDAlerts_CL Да Да
SAPETDInvestigations_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Идентификатор клиента и секрет клиента для API извлечения ETD: включение доступа к API в ETD.

SAP LogServ (RISE), частный выпуск S/4HANA Cloud

Поддерживается:SAP

SAP LogServ — это служба SAP Enterprise Cloud Services (ECS), предназначенная для сбора, хранения, пересылки и доступа к журналам. LogServ центрирует журналы из всех систем, приложений и служб ECS, используемых зарегистрированным клиентом.
Основные функции:
Почти коллекция журналов в режиме реального времени: возможность интегрироваться в Microsoft Sentinel в качестве решения SIEM.
LogServ дополняет существующий мониторинг угроз и обнаружение угроз на уровне приложений SAP в Microsoft Sentinel с типами журналов, принадлежащими SAP ECS в качестве поставщика системы. К ним относятся такие журналы: журнал аудита безопасности SAP (AS ABAP), база данных HANA, AS JAVA, ICM, веб-диспетчер SAP, SAP Cloud Connector, OS, шлюз SAP, 3-сторонная база данных, сеть, DNS, прокси-сервер, брандмауэр

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SAPLogServ_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Microsoft Entra: разрешение на создание регистрации приложения в идентификаторе Microsoft Entra. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
  • Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правилах сбора данных. Обычно требуется роль владельца Azure RBAC или администратора доступа пользователей.

SAP S/4HANA Cloud Public Edition

Поддерживается:SAP

Соединитель данных SAP S/4HANA Cloud Public Edition (GROW with SAP) позволяет вводить лог аудита безопасности SAP в Microsoft Sentinel Solution for SAP, поддерживая перекрестную корреляцию, оповещения и поиск угроз. Ищете альтернативные механизмы проверки подлинности? См. здесь.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ABAPAuditLog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Идентификатор клиента и секрет клиента для API получения аудита: включение доступа к API в BTP.

Решение SecurityBridge для SAP

Поддерживается:SecurityBridge

SecurityBridge повышает безопасность SAP, интегрируя их с Microsoft Sentinel, обеспечивая мониторинг и обнаружение угроз в режиме реального времени в средах SAP. Эта интеграция позволяет центрам безопасности (SOCS) консолидировать события безопасности SAP с другими данными организации, предоставляя унифицированное представление о ландшафте угроз. Использование аналитики с поддержкой искусственного интеллекта и Microsoft Security Copilot, SecurityBridge определяет сложные шаблоны атак и уязвимости в приложениях SAP, включая сканирование кода ABAP и оценки конфигурации. Решение поддерживает масштабируемые развертывания в сложных ландшафтах SAP, локальных, в облаке или гибридных средах. Благодаря преодолению разрыва между ИТ-специалистами и группами безопасности SAP SecurityBridge позволяет организациям заранее обнаруживать, исследовать и реагировать на угрозы, повышая общую безопасность.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ABAPAuditLog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Microsoft Entra: разрешение на создание регистрации приложения в идентификаторе Microsoft Entra. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
  • Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правилах сбора данных. Обычно требуется роль владельца Azure RBAC или администратора доступа пользователей.

SentinelOne

Поддерживается корпорацией Майкрософт

Соединитель данных SentinelOne позволяет прием журналов из API SentinelOne в Microsoft Sentininel. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework. Он использует API SentinelOne для получения журналов и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, чтобы запросы не должны повторно анализировать их, что приводит к повышению производительности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SentinelOneActivities_CL Да Да
SentinelOneAgents_CL Да Да
SentinelOneGroups_CL Да Да
SentinelOneThreats_CL Да Да
SentinelOneAlerts_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

SentinelOne (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Соединитель данных SentinelOne предоставляет возможность приема распространенных объектов сервера SentinelOne , таких как угрозы, агенты, приложения, действия, политики, группы и другие события в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API: https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SentinelOne_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: требуется SentinelOneAPIToken . Дополнительные сведения об API см. в https://<SOneInstanceDomain>.sentinelone.net/api-doc/overviewдокументации.

Серафическая веб-безопасность

Поддерживается:Seraphic Security

Соединитель данных Seraphic Web Security предоставляет возможность приема событий и оповещений Seraphic Web Security в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SeraphicWebSecurity_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

Консоль администрирования Silverfort

Поддерживается:Silverfort

Решение соединителя консоли администрирования Silverfort ITDR позволяет прием событий Silverfort и вход в Microsoft Sentinel. Silverfort предоставляет события на основе системного журнала и ведение журнала с помощью общего формата событий (CEF). Перенаправляя данные CEF консоли администрирования Silverfort ITDR в Microsoft Sentinel, вы можете воспользоваться преимуществами поиска Sentinels и корреляции, оповещения и обогащения аналитики угроз в данных Silverfort. Обратитесь к Silverfort или обратитесь к документации Silverfort для получения дополнительных сведений.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CommonSecurityLog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

SlackAudit (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных SlackAudit предоставляет возможность приема журналов аудита Slack в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SlackAuditV2_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • UserName, SlackAudit API Key и Action Type: Чтобы создать маркер доступа, создайте новое приложение в Slack, а затем добавьте необходимые области и настройте URL-адрес перенаправления. Подробные инструкции по созданию маркера доступа, имени пользователя и ограничения имени действия см. в этой ссылке.

Snowflake (через платформу соединителей без кода)

Поддерживается корпорацией Майкрософт

Соединитель данных Snowflake предоставляет возможность приема журналов журнала входа Snowflake, журналов журнала запросов, User-Grant журналов,Role-Grant журналов, журналов загрузки, журналов журнала загрузки, журналов журналов обновления материализованного представления, журналов обновлений ролей, журналов таблиц, журналов хранилища таблиц, пользователей входит в Microsoft Sentinel с помощью API SQL Snowflake. Дополнительные сведения см. в документации по API SQL Snowflake .

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SnowflakeLogin_CL Да Да
SnowflakeQuery_CL Да Да
SnowflakeUserGrant_CL Да Да
SnowflakeRoleGrant_CL Да Да
SnowflakeLoad_CL Да Да
SnowflakeMaterializedView_CL Да Да
SnowflakeRoles_CL Да Да
SnowflakeTables_CL Да Да
SnowflakeTableStorageMetrics_CL Да Да
SnowflakeUsers_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Соединитель данных аудита платформы SOC Prime Platform

Поддерживается:SOC Prime

Соединитель данных журналов аудита SOC Prime позволяет прием журналов из API премьер-платформы SOC в Microsoft Sentinel. Соединитель данных построен на платформе Microsoft Sentinel Codeless Connector Framework. Он использует API премьер-платформы SOC для получения журналов аудита платформы SOC Prime и поддерживает преобразования времени приема на основе DCR, которые анализируют полученные данные безопасности в настраиваемую таблицу, что приводит к повышению производительности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SOCPrimeAuditLogs_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Соединитель данных Sonrai

Поддерживается:N/A

Используйте этот соединитель данных для интеграции с Sonrai Security и получения билетов Sonrai, отправленных непосредственно в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Sonrai_Tickets_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Sophos Cloud Optix

Поддерживается:Sophos

Соединитель Sophos Cloud Optix позволяет легко подключать журналы Sophos Cloud Optix с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. Это дает вам больше сведений о состоянии облачной безопасности и соответствия требованиям вашей организации и улучшает возможности операций облачной безопасности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SophosCloudOptix_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Sophos Endpoint Protection (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Соединитель данных Sophos Endpoint Protection предоставляет возможность приема событий Sophos в Microsoft Sentinel. Дополнительные сведения см. в документации по центру администрирования Sophos.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SophosEP_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: требуется маркер API . Дополнительные сведения см. в разделе "Маркер API"

Sophos Endpoint Protection (с помощью REST API)

Поддерживается корпорацией Майкрософт

Соединитель данных Sophos Endpoint Protection предоставляет возможность приема событий Sophos и оповещений Sophos в Microsoft Sentinel. Дополнительные сведения см. в документации по центру администрирования Sophos.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SophosEPEvents_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Доступ к API Sophos Endpoint Protection: требуется доступ к API Sophos Endpoint Protection через субъект-службу.

Интегрированный обмен киберзащиты Symantec

Поддерживается корпорацией Майкрософт

Соединитель Symantec ICDx позволяет легко подключать журналы решений безопасности Symantec с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SymantecICDx_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Системный журнал через AMA

Поддерживается корпорацией Майкрософт

Системный журнал Syslog — это протокол ведения журнала событий, который обычно используется в Linux. Приложения отправляют сообщения, которые могут храниться на локальном компьютере или передаваться в сборщик системного журнала. Если агент для Linux установлен, он настраивает локальный демон syslog для отправки журналов агенту. Агент затем отправляет сообщение в рабочее пространство.

Подробнее>

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Syslog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Талон Инсайты

Поддерживается:Talon Security

Соединитель журналов безопасности Talon позволяет легко подключать события Talon и журналы аудита с помощью Microsoft Sentinel, просматривать панели мониторинга, создавать пользовательские оповещения и улучшать исследование.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Talon_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Соединитель данных Scout Team Cymru (с помощью функций Azure)

Поддерживается:Team Cymru

Соединитель данных TeamCymruScout позволяет пользователям передавать IP-адрес Группы Cymru Scout, данные об использовании домена и учетной записи в Microsoft Sentinel для обогащения.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Cymru_Scout_Domain_Data_CL нет нет
Cymru_Scout_IP_Data_Foundation_CL нет нет
Cymru_Scout_IP_Data_Details_CL нет нет
Cymru_Scout_IP_Data_Communications_CL нет нет
Cymru_Scout_IP_Data_PDNS_CL нет нет
Cymru_Scout_IP_Data_Fingerprints_CL нет нет
Cymru_Scout_IP_Data_OpenPorts_CL нет нет
Cymru_Scout_IP_Data_x509_CL нет нет
Cymru_Scout_IP_Data_Summary_Details_CL нет нет
Cymru_Scout_IP_Data_Summary_PDNS_CL нет нет
Cymru_Scout_IP_Data_Summary_OpenPorts_CL нет нет
Cymru_Scout_IP_Data_Summary_Certs_CL нет нет
Cymru_Scout_IP_Data_Summary_Fingerprints_CL нет нет
Cymru_Scout_Account_Usage_Data_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Разрешение на назначение роли зарегистрированным приложению: требуется разрешение на назначение роли зарегистрированным приложению в идентификаторе Microsoft Entra.
  • Учетные данные и разрешения команды Cymru Scout: требуется учетная запись Группы Cymru Scout (имя пользователя, пароль).

Десять удостоверений

Поддерживается:Tenable

Соединитель для проверки подлинности удостоверений позволяет использовать индикаторы воздействия, индикаторы атак и журналов отслеживания данных в Microsoft Sentinel.Различные рабочие книги и средства анализа данных позволяют более легко управлять журналами и отслеживать среду Active Directory. Шаблоны аналитики позволяют автоматизировать ответы в отношении различных событий, воздействия и атак.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Доступ к конфигурации TenableIE: разрешения на настройку подсистемы оповещений системного журнала

Управление десятью уязвимостями (с помощью функций Azure)

Поддерживается:Tenable

Соединитель данных TVM предоставляет возможность приема ресурсов, уязвимостей, соответствия требованиям и уязвимостей WAS в Microsoft Sentinel с помощью REST API TVM. Дополнительные сведения см. в документации по API. Соединитель предоставляет возможность получать данные, которые помогают изучить потенциальные риски безопасности, получить представление о вычислительных ресурсах, диагностировать проблемы конфигурации и многое другое

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Tenable_VM_Asset_CL Да Да
Tenable_VM_Vuln_CL Да Да
Tenable_VM_Compliance_CL Да Да
Tenable_WAS_Asset_CL Да Да
Tenable_WAS_Vuln_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API. Для доступа к Тенеблируемому REST API требуется как TenableAccessKey , так и TenableSecretKey . Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.

Microsoft Defender на основе клиента для облака

Поддерживается корпорацией Майкрософт

Microsoft Defender для облака — это средство управления безопасностью, с помощью которого можно обнаруживать угрозы в Azure, гибридных и многооблачных рабочих нагрузках и быстро реагировать на них. Этот соединитель позволяет передавать оповещения безопасности MDC из Microsoft 365 Defender в Microsoft Sentinel, чтобы использовать преимущества корреляции XDR, соединяющие точки между облачными ресурсами, устройствами и удостоверениями, а также просматривать данные в книгах, запросах и анализе инцидентов и реагировании на них. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityAlert Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Проект TheHive — TheHive (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Соединитель данных TheHive предоставляет возможность приема распространенных событий TheHive в Microsoft Sentinel через веб-перехватчики. TheHive может уведомлять внешнюю систему событий изменения (создание регистра, обновление оповещений, назначение задач) в режиме реального времени. При изменении в TheHive запрос HTTPS POST со сведениями о событии отправляется в URL-адрес соединителя данных обратного вызова. Дополнительные сведения см. в документации по веб-перехватчикам . Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
TheHive_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения веб-перехватчиков: TheHiveBearerToken, URL-адрес обратного вызова необходим для работы веб-перехватчиков. Дополнительные сведения о настройке веб-перехватчиков см. в документации.

Теом

Поддерживается:Theom

Соединитель данныхOm позволяет организациям подключать среду Theom к Microsoft Sentinel. Это решение позволяет пользователям получать оповещения о рисках безопасности данных, создавать и дополнять инциденты, проверять статистику и запускать сборники схем SOAR в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
TheomAlerts_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Аналитика угроз — TAXII

Поддерживается корпорацией Майкрософт

Microsoft Sentinel интегрируется с источниками данных TAXII 2.0 и 2.1, чтобы обеспечить мониторинг, оповещение и поиск с помощью аналитики угроз. Используйте этот соединитель для отправки поддерживаемых типов объектов STIX с серверов TAXII в Microsoft Sentinel. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов. Дополнительные сведения см. в документации >по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ThreatIntelligenceIndicator Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Платформы аналитики угроз

Поддерживается корпорацией Майкрософт

Microsoft Sentinel интегрируется с источниками данных Microsoft Graph Security API, чтобы обеспечить мониторинг, оповещение и охоту за угрозами с помощью аналитики угроз. Используйте этот соединитель для отправки индикаторов угроз в Microsoft Sentinel из платформы анализа угроз (TIP), например Threat Connect, Palo Alto Networks MindMeld, MISP, или других интегрированных приложений. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса и хэши файлов. Дополнительные сведения см. в документации >по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ThreatIntelligenceIndicator Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

API отправки аналитики угроз (предварительная версия)

Поддерживается корпорацией Майкрософт

Microsoft Sentinel предлагает API плоскости данных для привлечения аналитики угроз из платформы аналитики угроз (TIP), например Threat Connect, Palo Alto Networks MineMeld, MISP или других интегрированных приложений. Индикаторы угроз могут включать IP-адреса, домены, URL-адреса, хэши файлов и адреса электронной почты. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ThreatIntelligenceIndicator Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Соединитель безопасности передачи (с помощью функций Azure)

Поддерживается:Передача безопасности

Соединитель данных [Передача безопасности] предоставляет возможность приема распространенных событий API безопасности передачи в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
TransmitSecurityActivity_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Идентификатор клиента REST API: Требуется Идентификатор клиента TransmitSecurityClientID . Дополнительные сведения об API см. в https://developer.transmitsecurity.com/документации.
  • Секрет клиента REST API: требуется ПередачаSecurityClientSecret . Дополнительные сведения об API см. в https://developer.transmitsecurity.com/документации.

Trend Vision One (использование функций Azure)

Поддерживается:Trend Micro

Соединитель Trend Vision One позволяет легко подключать данные оповещений Workbench с помощью Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследований. Это дает вам больше сведений о сетях и системах вашей организации и улучшает возможности операций безопасности.

Соединитель Trend Vision One поддерживается в Microsoft Sentinel в следующих регионах: Восточная Австралия, Юго-Восточная Австралия, Южная Бразилия, Центральная Канада, Восточная Индия, Центральная Индия, Центральная Часть США, Восточная часть США, Восточная ЧАСТЬ США 2, Восточная Франция, Центральная Корея, Северная Европа, Северная Европа, Восточная Африка, Северная Африка, Южная Африка, Южная Часть США, Юго-Восточная Азия, Центральная Швеция, Северная Швейцария, Северная ОАЭ, Южная Великобритания, Западная Европа, Западная часть США, Западная часть США 2, Западная часть США 3.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
TrendMicro_XDR_WORKBENCH_CL нет нет
TrendMicro_XDR_RCA_Task_CL нет нет
TrendMicro_XDR_RCA_Result_CL нет нет
TrendMicro_XDR_OAT_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Маркер API Для распознавания трендов: требуется маркер API для распознавания трендов. Дополнительные сведения об API Trend Vision One см. в документации.

Безопасность Tropico — оповещения

Поддерживается безопасностью:TROPICO

Прием оповещений системы безопасности от платформы безопасности Tropico в формате поиска безопасности OCSF.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
{{graphQueriesTableName}} нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Безопасность Tropico — события

Поддерживается безопасностью:TROPICO

Прием событий безопасности из платформы безопасности Tropico в формате поиска безопасности OCSF.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
{{graphQueriesTableName}} нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Безопасность Тропико — инциденты

Поддерживается безопасностью:TROPICO

Прием инцидентов сеанса злоумышленника из платформы безопасности Tropico.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
{{graphQueriesTableName}} нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Соединитель push-уведомлений Varonis Purview

Поддерживается:Varonis

Соединитель Varonis Purview предоставляет возможность синхронизации ресурсов из Varonis с Microsoft Purview.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
varonisresources_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Microsoft Entra: разрешение на создание регистрации приложения в идентификаторе Microsoft Entra. Как правило, требуется роль разработчика приложений идентификатора записи или более поздней версии.
  • Microsoft Azure: разрешение на назначение роли издателя метрик мониторинга в правиле сбора данных (DCR). Как правило, требуется роль владельца Azure RBAC или администратора доступа пользователей

Varonis SaaS

Поддерживается:Varonis

Varonis SaaS предоставляет возможность приема оповещений Varonis в Microsoft Sentinel.

Varonis определяет глубинную видимость данных, возможности классификации и автоматическое исправление для доступа к данным. Varonis создает одно приоритетное представление риска для ваших данных, поэтому вы можете упреждающим и систематически устранять риск от внутренних угроз и кибератак.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
VaronisAlerts_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.

Vectra XDR (с помощью функций Azure)

Поддерживается поддержкой:Vectra

Соединитель Vectra XDR предоставляет возможность приема обнаружения Vectra, аудита, оценки сущностей, блокировки, работоспособности и сущностей в Microsoft Sentinel через REST API Vectra. Обратитесь к документации API: https://support.vectra.ai/s/article/KB-VS-1666 для получения дополнительной информации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Detections_Data_CL Да Да
Audits_Data_CL Да Да
Entity_Scoring_Data_CL Да Да
Lockdown_Data_CL Да Да
Health_Data_CL Да Да
Entities_Data_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: идентификатор клиента Vectra и секрет клиента требуются для сбора данных работоспособности, оценки сущностей, обнаружения, блокировки и аудита. Дополнительные сведения об API см. в https://support.vectra.ai/s/article/KB-VS-1666документации.

Соединитель данных Veeam (с помощью функций Azure)

Поддерживается:Veeam Software

Veeam Data Connector позволяет вводить телеметрию Veeam из нескольких пользовательских таблиц в Microsoft Sentinel.

Соединитель поддерживает интеграцию с платформами Veeam Backup & Replication, Veeam ONE и Coveware для обеспечения комплексного мониторинга и аналитики безопасности. Данные собираются через Azure Functions и хранятся в пользовательских таблицах Log Analytics с выделенными правилами сбора данных (DCR) и конечными точками сбора данных (Data Collection Endpoints, DCE).

Пользовательские таблицы включали:

  • VeeamMalwareEvents_CL: события обнаружения вредоносных программ из Veeam Backup и репликации
  • VeeamSecurityComplianceAnalyzer_CL. Результаты анализатора безопасности и соответствия требованиям, собранные из компонентов инфраструктуры резервного копирования Veeam
  • VeeamAuthorizationEvents_CL: события авторизации и проверки подлинности
  • VeeamOneTriggeredAlarms_CL. Активация предупреждений с серверов Veeam ONE
  • VeeamCovewareFindings_CL: результаты безопасности решения Coveware
  • VeeamSessions_CL: сеансы Veeam

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
VeeamMalwareEvents_CL Да Да
VeeamSecurityComplianceAnalyzer_CL Да Да
VeeamOneTriggeredAlarms_CL Да Да
VeeamAuthorizationEvents_CL Да Да
VeeamCovewareFindings_CL Да Да
VeeamSessions_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Доступ к инфраструктуре Veeam: требуется доступ к REST API резервного копирования и репликации Veeam ONE. Сюда входят соответствующие учетные данные проверки подлинности и сетевое подключение.

VirtualMetric DataStream для Microsoft Sentinel

Поддерживается:VirtualMetric

Соединитель VirtualMetric DataStream развертывает правила сбора данных для приема данных телеметрии безопасности в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CommonSecurityLog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Регистрация приложений или управляемое удостоверение Azure. Для проверки подлинности и отправки журналов в Microsoft Sentinel требуется удостоверение идентификатора записи. Вы можете выбрать создание регистрации приложений с идентификатором клиента и секретом клиента или с помощью управляемого удостоверения Azure для повышения безопасности без управления учетными данными.
  • Назначение роли группы ресурсов: выбранное удостоверение (регистрация приложений или управляемое удостоверение) должно быть назначено группе ресурсов, содержащей конечную точку сбора данных со следующими ролями: издатель метрик мониторинга (для приема журналов) и средство чтения мониторинга (для чтения конфигурации потока).

VirtualMetric DataStream для озера данных Microsoft Sentinel

Поддерживается:VirtualMetric

Соединитель VirtualMetric DataStream развертывает правила сбора данных для приема данных телеметрии безопасности в озере данных Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CommonSecurityLog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Регистрация приложений или управляемое удостоверение Azure. Для проверки подлинности и отправки журналов в озеро данных Microsoft Sentinel требуется удостоверение идентификатора записи. Вы можете выбрать создание регистрации приложений с идентификатором клиента и секретом клиента или с помощью управляемого удостоверения Azure для повышения безопасности без управления учетными данными.
  • Назначение роли группы ресурсов: выбранное удостоверение (регистрация приложений или управляемое удостоверение) должно быть назначено группе ресурсов, содержащей конечную точку сбора данных со следующими ролями: издатель метрик мониторинга (для приема журналов) и средство чтения мониторинга (для чтения конфигурации потока).

Прокси-сервер директора виртуальной метрики

Поддерживается:VirtualMetric

Прокси-сервер виртуального директора развертывает приложение-функцию Azure для безопасного моста VirtualMetric DataStream со службами Azure, включая Microsoft Sentinel, Azure Data Explorer и службу хранилища Azure.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CommonSecurityLog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Приложение-функция Azure: для размещения прокси-сервера директора необходимо развернуть приложение-функцию Azure. Требуется разрешение на чтение, запись и удаление ресурсов Microsoft.Web/sites в группе ресурсов для создания приложения-функции и управления ими.
  • Конфигурация VirtualMetric DataStream: для подключения к прокси-серверу директора требуется VirtualMetric DataStream, настроенная с учетными данными проверки подлинности. Прокси-сервер директора выступает в качестве безопасного моста между VirtualMetric DataStream и службами Azure.
  • Целевые службы Azure: настройте целевые службы Azure, такие как конечные точки сбора данных Microsoft Sentinel, кластеры Azure Data Explorer или учетные записи хранения Azure, в которых прокси-сервер директора перенаправит данные.

VMRayThreatIntelligence (с помощью функций Azure)

Поддерживается:VMRay

VMRayThreatIntelligence connector автоматически генерирует и передаёт разведданные угрозы для всех отправлений в VMRay, улучшая обнаружение угроз и реагирование на инциденты в Sentinel. Такая бесшовная интеграция даёт командам возможность проактивно реагировать на возникающие угрозы.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ThreatIntelligenceIndicator Да нет

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Подписка Azure: подписка Azure с ролью владельца требуется для регистрации приложения в Azure Active Directory() и назначения роли участника приложению в группе ресурсов.
  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения REST API: требуется ключ API VMRay .

Облако VMware Carbon Black Cloud (с помощью функций Azure)

Поддерживается:Microsoft

Соединитель VMware Carbon Black Cloud предоставляет возможность приема данных углеродного черного цвета в Microsoft Sentinel. Соединитель обеспечивает видимость журналов аудита, уведомлений и событий в Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения возможностей мониторинга и исследования.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CarbonBlackEvents_CL нет нет
CarbonBlackNotifications_CL нет нет
CarbonBlackAuditLogs_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Ключи API VMware Carbon Black: необходимы ключи API черного углерода и (или) API уровня SIEM. Дополнительные сведения об API углеродного черного цвета см. в документации.
  • Для журналов аудита и событий требуется идентификатор API уровня доступа углеродного черного цвета и ключ.
  • Для оповещений уведомлений требуется идентификатор API уровня доступа углеродного черного siEM и ключ.
  • Учетные данные и разрешения REST API Amazon S3: идентификатор ключа доступа AWS, секретный ключ доступаAWS, имя контейнера AWS S3, имя папки в контейнере AWS S3 требуются для REST API Amazon S3.

VMware Carbon Black Cloud через AWS S3

Поддерживается:Microsoft

VMware Carbon Black Cloud через соединитель данных AWS S3 предоставляет возможность приема списков наблюдения, оповещений, событий проверки подлинности и конечных точек через AWS S3 и потоковую передачу их в нормализованные таблицы ASIM. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CarbonBlack_Alerts_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Среда. У вас должны быть следующие ресурсы AWS, определенные и настроенные: S3, Простая служба очередей (SQS), роли ИАМ и политики разрешений
  • Среда. Для создания контейнеров AWS S3 необходимо иметь учетную запись черного углерода и необходимые разрешения. Дополнительные сведения см. в документации по пересылке данных углеродного черного цвета

События Windows DNS через AMA

Поддерживается корпорацией Майкрософт

Соединитель журналов DNS Windows позволяет легко фильтровать и передавать все журналы аналитики с DNS-серверов Windows в рабочую область Microsoft Sentinel с помощью агента мониторинга Azure (AMA). Наличие этих данных в Microsoft Sentinel помогает выявлять проблемы и угрозы безопасности, такие как:

  • Попытка разрешить вредоносные доменные имена.
  • Устаревшие записи ресурсов.
  • Часто запрашиваются доменные имена и разговорные DNS-клиенты.
  • Атаки, выполняемые на DNS-сервере.

Вы можете получить следующие сведения о DNS-серверах Windows из Microsoft Sentinel:

  • Все журналы, централизованные в одном месте.
  • Загрузка запроса на DNS-серверы.
  • Динамические сбои регистрации DNS.

События WINDOWS DNS поддерживаются расширенной информационной моделью SIEM (ASIM) и передают данные в таблицу ASimDnsActivityLogs. Подробнее.

Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ASimDnsActivityLogs Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Брандмауэр Windows

Поддерживается корпорацией Майкрософт

Брандмауэр Windows — это приложение Microsoft Windows, которое фильтрует сведения, поступающие в систему из Интернета, и блокирует потенциально опасные программы. Программное обеспечение блокирует передачу большинства программ через брандмауэр. Пользователи просто добавляют программу в список разрешенных программ, чтобы разрешить ему взаимодействовать через брандмауэр. При использовании общедоступной сети брандмауэр Windows также может защитить систему, блокируя все незапрошенные попытки подключения к компьютеру. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера

Поддержка правила сбора данных: В настоящее время не поддерживается

События брандмауэра Windows через AMA

Поддерживается корпорацией Майкрософт

Брандмауэр Windows — это приложение Microsoft Windows, которое фильтрует сведения, поступающие в систему из Интернета, и блокирует потенциально опасные программы. Программное обеспечение брандмауэра блокирует взаимодействие большинства программ через брандмауэр. Для потоковой передачи журналов приложений брандмауэра Windows, собранных с компьютеров, используйте агент Azure Monitor (AMA) для потоковой передачи этих журналов в рабочую область Microsoft Sentinel.

Для сбора журналов необходимо связать настроенную конечную точку сбора данных (DCE). Для этого соединителя DCE автоматически создается в том же регионе, что и рабочая область. Если вы уже используете DCE, хранящийся в том же регионе, можно изменить созданный по умолчанию DCE и использовать существующий через API. Контроллеры домена могут находиться в ресурсах с префиксом SentinelDCE в имени ресурса.

Дополнительные сведения см. в следующих статьях:

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера

Поддержка правила сбора данных: В настоящее время не поддерживается

События пересылки Windows

Поддерживается корпорацией Майкрософт

Вы можете передавать все журналы пересылки событий Windows (WEF) из серверов Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Azure Monitor (AMA). Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
WindowsEvent Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

События безопасности Windows через AMA

Поддерживается корпорацией Майкрософт

Вы можете выполнять потоковую передачу всех событий безопасности из виртуальных машин Windows, подключенных к рабочей области Microsoft Sentinel, с использованием агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityEvent Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

API WithSecure Elements (Функция Azure)

Поддерживается:WithSecure

WithSecure Elements — это единая облачная платформа кибербезопасности, предназначенная для снижения риска, сложности и неэффективности.

Повышение безопасности от конечных точек до облачных приложений. Вооружитесь всеми типами киберугрышных угроз, от целевых атак до программ-шантажистов нулевого дня.

WithSecure Elements объединяет мощные прогнозные, профилактические и адаптивные возможности безопасности — все управляемые и отслеживаемые через единый центр безопасности. Наша модульная структура и гибкие модели ценообразования дают вам свободу развиваться. С нашим опытом и пониманием, вы всегда будете иметь возможность - и вы никогда не будете одиноки.

Интеграция Microsoft Sentinel позволяет сопоставить данные событий безопасности из решения WithSecure Elements с данными из других источников, что позволяет получить широкий обзор всей среды и ускорить реакцию на угрозы.

При развертывании этой функции Azure в клиенте периодически опрашивать события безопасности WithSecure Elements.

Дополнительные сведения см. на нашем веб-сайте: https://www.withsecure.com

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
WsSecurityEvents_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • С учетными данными клиента APISecure Elements: необходимы учетные данные клиента. Дополнительные сведения см. в документации.

Wiz (использование функций Azure)

Поддерживается:Wiz

Соединитель Wiz позволяет легко отправлять журналы ошибок, уязвимостей и аудита Wiz в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
union isfuzzy=true (WizIssues_CL),(WizIssuesV2_CL) нет нет
union isfuzzy=true (WizVulnerabilities_CL),(WizVulnerabilitiesV2_CL) нет нет
union isfuzzy=true (WizAuditLogs_CL),(WizAuditLogsV2_CL) нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные учетной записи службы Wiz. Убедитесь, что у вас есть идентификатор клиента и секрет клиента Wiz, URL-адрес конечной точки API и URL-адрес проверки подлинности. Инструкции можно найти в документации По Wiz.

Действие пользователя Workday

Поддерживается корпорацией Майкрософт

Соединитель данных о действиях пользователя Workday предоставляет возможность приема журналов действий пользователей из API Workday в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ASimAuditEventLogs Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Доступ к API действий пользователя Workday: требуется доступ к API действий пользователя Workday через Oauth. Клиент API должен иметь область действия: система и она должна быть авторизована учетной записью с разрешениями системного аудита.

Workplace из Facebook (с использованием Azure Functions)

Поддерживается корпорацией Майкрософт

Соединитель данных Workplace предоставляет возможность приема распространенных событий Workplace в Microsoft Sentinel через веб-перехватчики. С помощью веб-перехватчиков настраиваемые приложения интеграции могут подписываться на события в Workplace и получать обновления в режиме реального времени. При изменении в Workplace запрос HTTPS POST со сведениями о событии отправляется в URL-адрес соединителя данных обратного вызова. Дополнительные сведения см. в документации по веб-перехватчикам . Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Workplace_Facebook_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения веб-перехватчиков: WorkplaceAppSecret, WorkplaceVerifyToken, URL-адрес обратного вызова необходим для работы веб-перехватчиков. Дополнительные сведения о настройке веб-перехватчиков и настройке разрешений см. в документации.

Аудит сегментов нулевых сетей

Поддерживается:Zero Networks

Соединитель данных аудита сегментов нулевых сетей предоставляет возможность приема событий аудита нулевых сетей в Microsoft Sentinel через REST API. Этот соединитель данных использует собственные возможности опроса Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ZNSegmentAuditNativePoller_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Маркер API Zero Networks: ZeroNetworksAPIToken требуется для REST API. Ознакомьтесь с руководством по API и следуйте инструкциям по получению учетных данных.

ZeroFox CTI

Поддерживается:ZeroFox

Соединители данных ZeroFox CTI предоставляют возможность приема различных оповещений аналитики кибер-угроз ZeroFox в Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ZeroFox_CTI_advanced_dark_web_CL нет нет
ZeroFox_CTI_botnet_CL нет нет
ZeroFox_CTI_breaches_CL нет нет
ZeroFox_CTI_C2_CL нет нет
ZeroFox_CTI_compromised_credentials_CL нет нет
ZeroFox_CTI_credit_cards_CL нет нет
ZeroFox_CTI_dark_web_CL нет нет
ZeroFox_CTI_discord_CL нет нет
ZeroFox_CTI_disruption_CL нет нет
ZeroFox_CTI_email_addresses_CL нет нет
ZeroFox_CTI_exploits_CL нет нет
ZeroFox_CTI_irc_CL нет нет
ZeroFox_CTI_malware_CL нет нет
ZeroFox_CTI_national_ids_CL нет нет
ZeroFox_CTI_phishing_CL нет нет
ZeroFox_CTI_phone_numbers_CL нет нет
ZeroFox_CTI_ransomware_CL нет нет
ZeroFox_CTI_telegram_CL нет нет
ZeroFox_CTI_threat_actors_CL нет нет
ZeroFox_CTI_vulnerabilities_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения API ZeroFox: имя пользователя ZeroFox, личный маркер доступа ZeroFox требуется для REST API ZeroFox CTI.

ZeroFox Enterprise — оповещения (опрос CCF)

Поддерживается:ZeroFox

Собирает оповещения из API ZeroFox.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ZeroFoxAlertPoller_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Маркер личного доступа ZeroFox (PAT) — требуется ПУТЬ к ZeroFox. Его можно получить в > данных.

Защита от угроз Zimperium Mobile

Поддерживается:Zimperium

Соединитель Zimperium Mobile Threat Defense позволяет подключать журнал угроз Zimperium с помощью Microsoft Sentinel для просмотра панелей мониторинга, создания настраиваемых оповещений и улучшения исследования. За счет этого вы получите более полное представление о ландшафте угроз для мобильных устройств своей организации и сможете более эффективно обеспечивать безопасность.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
ZimperiumThreatLog_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Масштабирование отчетов (с помощью функций Azure)

Поддерживается корпорацией Майкрософт

Соединитель данных zoom Reports предоставляет возможность приема событий Масштабирования отчетов в Microsoft Sentinel через REST API. Дополнительные сведения см. в документации по API. Соединитель позволяет получать события для оценки потенциальных рисков безопасности, мониторинга совместной работы и диагностики и устранения неполадок конфигурации.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Zoom_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

Устаревшие соединители данных Sentinel

Note

В следующей таблице перечислены устаревшие и устаревшие соединители данных. Устаревшие соединители больше не поддерживаются.

[Не рекомендуется] Журнал аудита GitHub Enterprise

Поддерживается корпорацией Майкрософт

Соединитель журнала аудита GitHub предоставляет возможность приема журналов GitHub в Microsoft Sentinel. Подключив журналы аудита GitHub к Microsoft Sentinel, эти данные можно просмотреть в книгах, использовать его для создания пользовательских оповещений и улучшения процесса исследования.

Заметка: Если вы намерены принять события подписки на GitHub в Microsoft Sentinel, обратитесь к соединителю GitHub (с помощью веб-перехватчиков) из коллекции "Соединители данных".

ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
GitHubAuditLogPolling_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Личные маркеры доступа к API GitHub: вам нужен личный маркер доступа GitHub, чтобы включить опрос для журнала аудита организации. Вы можете использовать классический маркер с областью read:org или более точного маркера с областью "Администрирование: только для чтения".
  • Тип GitHub Enterprise: этот соединитель будет работать только с GitHub Enterprise Cloud; он не будет поддерживать GitHub Enterprise Server.

[Не рекомендуется] Infoblox SOC Insights Data Connector через устаревший агент

Поддерживается:Infoblox

Соединитель данных Infoblox SOC Insights позволяет легко подключать данные Infoblox BloxOne SOC Insights с помощью Microsoft Sentinel. Подключив журналы к Microsoft Sentinel, вы можете воспользоваться преимуществами поиска и корреляции, оповещения и обогащения аналитики угроз для каждого журнала.

Этот соединитель данных отправляет журналы Infoblox SOC Insights CDC в рабочую область Log Analytics с помощью устаревшего агента Log Analytics.

Корпорация Майкрософт рекомендует установить соединитель данных Infoblox SOC Insights через соединитель AMA. Устаревший соединитель использует агент Log Analytics, который не рекомендуется использовать 31 августа 2024 г. и должен быть установлен только в том месте, где AMA не поддерживается.

Использование MMA и AMA на одном компьютере может привести к дублированию журналов и дополнительным затратам на прием. Дополнительные сведения.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
CommonSecurityLog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

[Не рекомендуется] Наблюдение

Поддерживается:Lookout

Соединитель данных Lookout предоставляет возможность приема событий Lookout в Microsoft Sentinel через API мобильных рисков. Дополнительные сведения см. в документации по API. Соединитель данных Lookout предоставляет возможность получать события, которые помогают изучить потенциальные риски безопасности и многое другое.

ПРИМЕЧАНИЕ. Этот соединитель данных устарел, рассмотрите возможность перехода на соединитель данных CCF, доступный в решении, который заменяет прием через устаревший API сборщика данных HTTP.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Lookout_CL нет нет

Поддержка правила сбора данных: В настоящее время не поддерживается

Prerequisites:

  • Разрешения Microsoft.Web/sites: требуется разрешение на чтение и запись в Функции Azure для создания приложения-функции. Дополнительные сведения см. в статье Функции Azure.
  • Учетные данные и разрешения API для мобильных рисков: EnterpriseName и ApiKey требуются для API мобильных рисков. Дополнительные сведения см. в разделе API. Проверьте все требования и следуйте инструкциям по получению учетных данных.

[Не рекомендуется] Журналы и события Microsoft Exchange

Поддерживается:Community

Не рекомендуется использовать соединители данных ESI-Opt. Вы можете передавать все события аудита Exchange, журналы IIS, журналы прокси-сервера HTTP и журналы событий безопасности с компьютеров Windows, подключенных к рабочей области Microsoft Sentinel, с помощью агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. Это используется книгами безопасности Microsoft Exchange для предоставления аналитических сведений о безопасности локальной среды Exchange.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Event Да нет
SecurityEvent Да Да
W3CIISLog Да нет
MessageTrackingLog_CL Да Да
ExchangeHttpProxy_CL Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Prerequisites:

  • Для сбора данных из виртуальных машин, отличных от Azure, рекомендуется использовать Azure Arc. Подробнее
  • Подробная документация> Подробные сведения о процедуре установки и использовании см. здесь.

События безопасности с помощью устаревшего агента

Поддерживается корпорацией Майкрософт

Вы можете выполнять потоковую передачу всех событий безопасности из виртуальных машин Windows, подключенных к рабочей области Microsoft Sentinel, с использованием агента Windows. Благодаря этому подключению вы сможете просматривать панели мониторинга, создавать настраиваемые оповещения и расширять возможности исследования. В результате вы сможете получать больше полезных сведений о сети организации и улучшать возможности обеспечения безопасности. Дополнительные сведения см. в документации по Microsoft Sentinel.

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityEvent Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Microsoft Defender на основе подписки для облака (устаревшая версия)

Поддерживается корпорацией Майкрософт

Microsoft Defender для облака — это средство управления безопасностью, с помощью которого можно обнаруживать угрозы в Azure, гибридных и многооблачных рабочих нагрузках и быстро реагировать на них. Этот соединитель позволяет выполнять потоковую передачу оповещений системы безопасности из Microsoft Defender для облака в Microsoft Sentinel, чтобы просматривать данные Defender в книгах, запрашивать их для создания оповещений, а также исследовать инциденты и реагировать на них.

Дополнительные сведения>

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
SecurityAlert Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Системный журнал с помощью устаревшего агента

Поддерживается корпорацией Майкрософт

Системный журнал Syslog — это протокол ведения журнала событий, который обычно используется в Linux. Приложения отправляют сообщения, которые могут храниться на локальном компьютере или передаваться в сборщик системного журнала. Если агент для Linux установлен, он настраивает локальный демон syslog для отправки журналов агенту. Агент затем отправляет сообщение в рабочее пространство.

Подробнее>

Таблицы Log Analytics:

Таблица Поддержка DCR Прием только озера
Syslog Да Да

Поддержка правила сбора данных:преобразование DCR в рабочей области

Дальнейшие шаги

Дополнительные сведения см. в разделе:

  • Last updated on