Konfigurer dataconnectors i organisationsnetværket i Microsoft Sentinel datasø

I denne artikel forklares det, hvordan du konfigurerer dataconnectors i organisationsnetværket for at aktivere forespørgsler om eksterne datakilder fra Microsoft Sentinel datasø. Du kan oprette organisationsnetværk med Azure Databricks, Azure Data Lake Storage (ADLS) Gen 2 og Microsoft Fabric.

Forudsætninger

Før du konfigurerer dataforbundet, skal du sikre, at du opfylder følgende krav:

  • Sentinel onboarding af datasø: Din lejer skal være onboardet til den Sentinel datasø. Du kan få flere oplysninger under Onboard to Microsoft Sentinel data lake.

  • Offentlig tilgængelighed: Den eksterne kilde skal være offentligt tilgængelig. Private slutpunkter understøttes ikke i øjeblikket.

  • Tjenesteprincipal: Der kræves en tjenesteprincipal med de relevante tilladelser i den datakilde, du vil oprette forbindelse til, for Azure Databricks og Azure Data Lake Storage Gen2 kilder. Du kan få flere oplysninger under Microsoft Entra ID appregistreringer.

  • Azure Key Vault: Der kræves en Azure Key Vault, der er konfigureret med tjenesteprincipalens klienthemmelighed. Den Microsoft Sentinel programidentitet skal have tildelt tilladelser til key vault. Du kan få flere oplysninger om konfiguration af Azure Key vaults i Azure Key Vaults.

  • Microsoft Sentinel tilladelser: Data (administrere) tilladelser til systemtabeller til konfiguration af en dataforbundet connector. Du kan få flere oplysninger under Roller og tilladelser på platformen Microsoft Sentinel.

Opret en tjenesteprincipal

For Azure Databricks og ADLS Gen 2-sammenslutning skal du have en tjenesteprincipal med adgangsoplysninger gemt i Azure Key Vault. Du kan bruge en eksisterende tjenesteprincipal eller benytte følgende fremgangsmåde til at oprette en ny tjenesteprincipal.

  1. Opret en Microsoft Entra ID programregistrering:

    1. Gå til Microsoft Entra ID>Appregistreringer i Azure Portal.
    2. Vælg Ny registrering.
    3. Angiv et navn til programmet.
    4. Lad omdirigerings-URI'en være tom (kræves ikke til dette scenarie).
    5. Vælg Registrer.

  2. Opret en klienthemmelighed:

    1. I din appregistrering skal du gå til Certifikater & hemmeligheder.
    2. Vælg Ny klienthemmelighed.
    3. Angiv en beskrivelse, og vælg en udløbsperiode.
    4. Vælg Tilføj.
    5. Kopiér værdien for klienthemmeligheden med det samme til brug i næste afsnit. Du kan ikke hente denne værdi, når du har forladt siden.

  3. Bemærk programdetaljerne:

    • Program-id (klient)
    • Objekt-id
    • Mappe-id (lejer)

Du kan få flere oplysninger om oprettelse af tjenesteprincipaler under Microsoft Entra ID appregistreringer.

Opret et Azure Key Vault, og gem legitimationsoplysninger

Du kan bruge en eksisterende Azure Key Vault og følge nedenstående trin for at konfigurere Key Vault adgang eller oprette en ny Key Vault ved hjælp af følgende trin:

  1. Opret en Azure Key Vault:

    1. Opret en ny Azure Key Vault i Azure Portal.
    2. Brug Azure rollebaseret adgangskontrol (anbefales) tilladelsesmodel.
    3. Aktivér indstillinger for blød sletning og tømning af beskyttelse for key vault.
    4. Bemærk Key Vault URI'en efter oprettelsen.

  2. Konfigurer Key Vault adgang:

    1. Tildel rollen Key Vault Secrets User til Microsoft Sentinel platform's administrerede identitet. Identiteten har et præfiks med msg-resources-.
    2. Hvis du bruger adgangspolitikker for Key Vaults i stedet for Azure rollebaseret adgangskontrol, skal du angive tilladelserne Hent og Liste for Handlinger til administration af hemmelighed.

  3. Gem klienthemmeligheden i Key Vault:

    1. I din Key Vault skal du gå tilGenerer/importérhemmeligheder>.
    2. Opret en ny hemmelighed, der indeholder tjenesteprincipalens klienthemmelighed.
    3. Bemærk navnet på hemmeligheden. Det bruges, når du konfigurerer forekomsten af dataforbundet connector.

Du kan få flere oplysninger om konfiguration af Azure Key vaults i Azure Key Vaults.

Dataconnectors i organisationsnetværket

Sammenkædede connectors administreres på siden Dataconnectors i Microsoft Sentinel på Defender-portalen.

  1. Naviger til Microsoft Sentinel>Konfiguration>Data-connectors.

  2. Under Dataforbundet skal du vælge Katalog for at få vist de tilgængelige connectorer i organisationsnetværket.

    Katalogsiden viser:

    • Tilgængelige connectortyper for samling
    • Antal konfigurerede forekomster for hver connector
    • Oplysninger om Udgiver og support

    Skærmbillede, der viser kataloget over dataforbundne data med tilgængelige connectors.

  3. Vælg siden Mine forbindelser for at få vist alle konfigurerede connectorforekomster. På siden vises forekomster af din lejers dataforbundne connector sammen med deres viste navn, version, status og supportudbyder.

  4. Vælg hver forekomst for at få vist detaljer, redigere konfigurationer eller slette forekomsten.

Skærmbillede, der viser siden Mine connectors med konfigurerede forekomster af sammenslutning.

Opret en connectorforekomst

Processen til oprettelse af en forbindelsesforekomst varierer afhængigt af den eksterne datakilde, du opretter forbindelse til. Følg vejledningen for din specifikke datakildetype.

Opret en Forekomst af Microsoft Fabric-connector

Før du konfigurerer forekomsten af Fabric-connectoren, skal du konfigurere tilladelser i Microsoft Fabric-miljøet for at give Microsoft Sentinel adgang til dataene.

  • Konfigurer administratorindstillingerne i Microsoft Fabric, så lejeren er aktiveret til deling af eksterne data. Du kan få flere oplysninger under Opret et eksternt datashare

  • Konfigurer administratorindstillingerne i Microsoft Fabric, så indstillingen er aktiveret for tjenesteprincipaler, kan kalde fabric offentlige API'er. Du kan få flere oplysninger under Tjenesteprincipaler kan kalde fabric-offentlige API'er

  • Tilføj den Sentinel platformidentitet med msg-resources- præfikset som medlem af arbejdsområdet i det Lakehouse, hvorfra du vil sammenkæde tabeller. Du kan få flere oplysninger under Giv adgang til arbejdsområder.

  1. På siden Data federation>Catalog skal du vælge rækken Microsoft Fabric .

  2. Vælg Forbind en forbindelse i sidepanelet.

  3. Angiv følgende oplysninger:

    Feltet Beskrivelse
    Navn på forekomst Et fuldt navn til denne connectorforekomst. Dette forekomstnavn føjes til de tabeller, der er repræsenteret i søen fra denne forekomst.
    Fabric-arbejdsområde-id Id for det Fabric-arbejdsområde, der skal sammenkædes. Når du navigerer til Fabric-arbejdsområdet eller Lakehouse, er arbejdsområde-id'et i URL-adressen efter /groups/
    Lakehouse-tabel-id Id for tabellen Fabric Lakehouse, der skal sammenkædes. Når du navigerer til Fabric lakehouse, vises lakehouse-id'et i URL-adressen efter /lakehouses/.

  4. Vælg Næste.

    Skærmbillede af formularen med forbindelsesoplysninger for Microsoft Fabric.

  5. Vælg de tabeller, du vil sammenkæde.

  6. Vælg Næste.

  7. Gennemse konfigurationen af destinationen for organisationsnetværket.

  8. Vælg Opret forbindelse for at oprette forbindelsesforekomsten.

Bemærk!

Filerne i destinationsdatakilden skal være i delta-parquet-format for at kunne læses fra Sentinel datasø.

Bekræft tabeller fra din connectorforekomst

Når du har oprettet en forbindelsesforekomst, skal du kontrollere, at de tabeller, du sammenkædede, er tilgængelige i Microsoft Sentinel.

  1. Gå til Microsoft Sentinel > konfigurationstabeller>.

  2. Filtrer efter type i organisationsnetværket for at få vist alle organisationsnetværkstabeller.

  3. Søg efter navnet på forekomsten af connectoren.

  4. Tabeller fra connectorforekomsten vises med deres navn efterfulgt af _instance name. Hvis navnet på forekomsten af din dataconnector f.eks. var GlobalHRData , og tabellen blev kaldt hrlogs, vises tabelnavnet som hrlogs_GlobalHRData.

  5. Vælg en tabel på listen for at åbne detaljepanelet.

  6. Vælg fanen Oversigt for at se tabeltypen og udbyderen af organisationsnetværket.

  7. Vælg fanen Datakilde for at se dataprovideren og kildeproduktet for tabellen for connectorforekomsten. Når du vælger navnet på connectorforekomsten, kommer du til den pågældende forekomst i Mine forbindelser i Dataconnectorer.

  8. Vælg fanen Skema for at se tabelskemaet.

  9. Under fanen Skema skal du vælge Opdater for at opdatere det tabelskema, der er knyttet til den sammenkædede tabel.

Skærmbillede, der viser tabelskemaet i organisationsnetværket.

Administrer connectorforekomster

Sådan redigerer eller sletter du en connectorforekomst:

  1. Gå tilsiden Mine connectors til Dataforbundet>.
  2. Vælg den connectorforekomst, du vil administrere.
  3. I detaljepanelet skal du bruge de tilgængelige indstillinger til at:
    • Rediger forbindelsesindstillinger
    • Tilføj eller fjern tabeller i organisationsnetværket
    • Slet connectorforekomsten

Bemærk!

Microsoft Fabric-forbindelsesforekomster understøtter ikke redigering. Du kan oprette en ny forbindelse i organisationsnetværket for at tilføje flere tabeller, eller du kan slette Fabric-forbindelsesforekomsten og genoprette den med det samme forekomstnavn og et andet sæt valgte tabeller.

Skærmbillede, der viser siden Mine forbindelser.

Fejlfinding

Forbindelsen mislykkes

  • Kontrollér, at den administrerede identitet, der er præfikset msg-resources- for Sentinel platform, har de korrekte tilladelser til Azure Key Vault.

  • Hvis din forbindelseskilde er Azure Databricks eller Azure Data Lake Storage Gen2, skal du sikre, at den Key Vault hemmelighed indeholder den korrekte klienthemmelighed for din tjenesteprincipal.

  • Det Key Vault netværk skal være angivet til Tillad offentlig adgang fra alle netværk under connectorkonfigurationen, som er standardkonfigurationen for Key Vault. Den kan ændres efter oprettelse eller redigering af connectoren.

  • Bekræft, at den eksterne datakilde er offentligt tilgængelig.

  • Kontrollér, at tjenesteprincipalen har de relevante tilladelser til destinationsdatakilden for Azure Databricks og ADLS.

  • Hvis destinationsdatakilden er Fabric, skal du kontrollere, at den msg-resources- præfikserede identitet for Microsoft Sentinel blev tildelt tilladelse som medlem af arbejdsområdet.

  • Kontrollér for at sikre, at du ikke har mere end 100 forbindelsesforekomster.

Bemærk!

ADLS og Azure Databricks bruger én forbindelsesforekomst pr. organisationsnetværksforbindelse. Fabric kan bruge flere forekomster pr. forbindelse i organisationsnetværket. For Fabric tælles hvert lakehouse-skema i din organisationsnetværksforbindelse med i forhold til grænsen på 100 forekomster.

Tabeller vises ikke

  • Kontrollér, at tjenesteprincipalen har læseadgang til destinationstabellerne for ADLS og Azure Databricks, og at tjenesteprincipalen er i samme lejer som disse datakilder.

  • For Databricks skal du sikre, at du har tildelt både den indbyggede forudindstillede forudindstilling for datalæser plus tilladelsen Eksternt brug skema til tjenesteprincipalen.

  • For ADLS Gen 2 skal du bekræfte, at rollen LagerblobDatalæser er tildelt tjenesteprincipalen.

Problemer med forespørgselsydeevne

  • Overvej størrelsen af de data, der forespørges fra eksterne kilder.

  • Optimer forespørgsler for at filtrere data tidligt.

  • Kontrollér netværksforbindelsen mellem Sentinel og den eksterne kilde.

Næste trin

  • Last updated on