Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Kun olet perehdytät Microsoft Sentinel työtilaan, aloita tietojen käsittely Microsoft Sentinel tietoyhdistimien avulla. Microsoft Sentinel sisältää useita valmia Microsoft-palveluiden liittimiä, jotka integroituvat reaaliaikaisesti. Microsoft Defender XDR on esimerkiksi palvelun liitin, joka integroi Office 365, Microsoft Entra ID, Microsoft Defender for Identity ja Microsoft Defender for Cloud Apps.
Sisäänrakennetut liittimet mahdollistavat yhteyden laajempaan suojausekosysteemiin muille kuin Microsoft-tuotteille. Käytä esimerkiksi Syslog-, Common Event Format (CEF) - tai REST-ohjelmointirajapintoja tietolähteiden yhdistämiseen Microsoft Sentinel.
Huomautus
Lisätietoja ominaisuuksien saatavuudesta Yhdysvaltain valtionhallinnon pilvipalveluissa on kohdassa Microsoft Sentinel taulukot Pilvipalvelun ominaisuuksien käytettävyydestä Yhdysvaltain valtionhallinnon asiakkaille.
Tärkeää
Vuoden 2024 ilmoituksen mukaan 14.9.2026 jälkeen vanhaa HTTP Data Collector -ohjelmointirajapintaa ei enää tueta. Tietolähteiden, mukautettujen integroinnit tai HTTP Data Collector -ohjelmointirajapintaa käyttävien yhdistimien tulee siirtyä tuettuun vaihtoehtoon mahdollisten käsittelykatkosten välttämiseksi tämän päivämäärän jälkeen.
Jos käytät tällä hetkellä HTTP Data Collector -ohjelmointirajapintaa, suosittelemme, että alat suunnitella siirtymistä Logs Ingestion -ohjelmointirajapintaan tai Codeless Connector Frameworkiin (CCF) keskeytymättömien tietojen käsittelyn, luotettavuuden, skaalattavuuden ja pitkän aikavälin tuen varmistamiseksi.
Microsoft Sentinel Data Lake -tallennustilan tietojen hallintaan liittyvät seikat
Yhteensopivuuden ja tiedonhallinnan suunnittelussa on otettava huomioon seuraavat seikat:
GDPR ja tietojen säilyttäminen
- Vuokraajan järjestelmänvalvojat voivat käyttää GDPR-oikeuksiaan analytiikkatason Tyhjennä-ominaisuuden avulla. Tämä ei vaikuta Data Lake -tasoon.
- Tiettyjä tietueita ei voi poistaa Sentinel Data Lake -tallennustilasta. Data Lake säilyttää tietyn säilytysajan tiedot, vaikka tiedot poistetaan lähteestä tai analytiikkatasolta.
Purview-integrointi. Purview-asetusten muutoksilla ei ole vaikutusta Sentinel Data Lake -tallennustilaan tallennettuihin tietoihin.
Tallennussijainti Sentinel Data Lake -tallennussijainnit ovat vuokraajan järjestelmänvalvojan valitsemia, ja ne voivat erota lähdepalvelujen ensisijaisesta tallennussijainnista.
Tärkeää
31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.
Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.
Ratkaisujen tarjoamia tietoliittimiä
Microsoft Sentinel ratkaisut tarjoavat pakattua suojaussisältöä, kuten tietoliittimiä, työkirjoja, analytiikkasääntöjä, toistokirjoja ja paljon muuta. Kun otat käyttöön ratkaisun, jossa on tietoyhdistin, saat tietoyhdistimen ja siihen liittyvän sisällön samassa käyttöönotossa.
Microsoft Sentinel Tietoliittimet -sivulla luetellaan asennetut tai käytössä olevat tietoliittimet.
Jos haluat lisätä uusia tietoliittimiä, asenna tietoyhdistimeen liittyvä ratkaisu sisältökeskuksesta. Lisätietoja on seuraavissa artikkeleissa:
- Microsoft Sentinel-tietoyhdistimen etsiminen
- Tietoja sisällön ja ratkaisujen Microsoft Sentinel
- Microsoft Sentinel käyttövalmiin sisällön löytäminen ja hallinta
- Microsoft Sentinel sisältökeskuksen luettelo
- ASIM(Advanced Security Information Model) -pohjaiset toimialueratkaisut Microsoft Sentinel
Mukautettujen liittimien luominen
Jos et pysty yhdistämään tietolähdettä Microsoft Sentinel käyttämällä olemassa olevia ratkaisuja, harkitse oman tietolähdeliittimen luomista. Esimerkiksi monet suojausratkaisut tarjoavat joukon ohjelmointirajapintoja lokitiedostojen ja muiden suojaustietojen noutamista varten tuotteestaan tai palvelustaan. Nämä ohjelmointirajapinnat muodostavat yhteyden Microsoft Sentinel jollakin seuraavista menetelmistä:
- Tietolähteen ohjelmointirajapinnat on määritetty koodittomalla liitinkehyksellä.
- Tietoyhdistin käyttää Log Ingestion -ohjelmointirajapintaa Azure Monitoriin osana Azure Function- tai Logic App -sovellusta.
Voit myös luoda mukautetun liittimen valvonta-agentin Azure suoraan tai Logstash-toiminnolla. Lisätietoja on artikkelissa Mukautettujen liittimien Microsoft Sentinel luominen.
Agenttipohjainen integrointi tietoyhdistimille
Microsoft Sentinel voivat käyttää Azure Monitor -palvelun tarjoamia agentteja (joihin Microsoft Sentinel perustuvat) kerätäkseen tietoja mistä tahansa tietolähteestä, joka voi suorittaa reaaliaikaisen lokin virtauttamisen. Esimerkiksi useimmat paikalliset tietolähteet muodostavat yhteyden agenttipohjaisella integroinnilla.
Seuraavissa osioissa kuvataan erityyppisiä Microsoft Sentinel agenttipohjaisia tietoliittimiä. Jos haluat määrittää yhteyksiä agenttipohjaisten mekanismien avulla, noudata kunkin Microsoft Sentinel tietoyhdistinsivun ohjeita.
Syslog ja yleinen tapahtumamuoto (CEF)
Voit suoratoistaa tapahtumia Linux pohjaisista Syslog-tukilaitteista Microsoft Sentinel käyttämällä Azure Monitor Agentia (AMA). Lokimuodot vaihtelevat, mutta monet lähteet tukevat CEF-pohjaista muotoilua. Laitteen tyypistä riippuen agentti asennetaan joko suoraan laitteeseen tai erilliseen Linux lokinsiirtoon. AMA vastaanottaa yksinkertaisia Syslog- tai CEF-tapahtumaviestejä Syslog-daemonista UDP:n välityksellä. Syslog-daemon välittää tapahtumat agentille sisäisesti, kommunikoiden TCP: n tai UDS: n (Unix Domain Sockets) kautta versiosta riippuen. AMA lähettää sitten nämä tapahtumat Microsoft Sentinel työtilaan.
Tässä on yksinkertainen työnkulku, joka näyttää, miten Microsoft Sentinel suoratoistaa Syslog-tietoja.
- Laitteen sisäinen Syslog-daemon kerää määritettyjen tyyppien paikallisia tapahtumia ja välittää tapahtumat paikallisesti agentille.
- Agentti suoratoistaa tapahtumat Log Analytics -työtilaan.
- Onnistuneen määrityksen jälkeen Syslog-viestit näkyvät Log Analytics Syslog - taulukossa ja CEF-sanomat CommonSecurityLog-taulukossa .
Lisätietoja on kohdassa Syslog ja Common Event Format (CEF) AMA-liittimien kautta Microsoft Sentinel.
Mukautetut lokit
Joissakin tietolähteissä voit kerätä lokeja tiedostoina Windowsissa tai Linux tietokoneissa käyttämällä Log Analyticsin mukautettua lokinkeräysagenttia.
Jos haluat muodostaa yhteyden Log Analyticsin mukautetun lokinkeräysagentin avulla, noudata kunkin Microsoft Sentinel tietoyhdistinsivun ohjeita. Onnistuneen määrityksen jälkeen tiedot näkyvät mukautetuissa taulukoissa.
Lisätietoja on artikkelissa Mukautetut lokit AMA-tietoliittimen kautta – Tietojen käsittelyn määrittäminen Microsoft Sentinel tietyistä sovelluksista.
Palvelun ja palvelun integrointi tietoyhdistimille
Microsoft Sentinel käyttää Azure-säätiötä tarjotakseen palvelun ulkopuolisen tuen Microsoft-palveluille ja Amazon Web Servicesille.
Lisätietoja on seuraavissa artikkeleissa:
- Microsoft Sentinel yhdistäminen Azure-, Windows-, Microsoft- ja Amazon-palveluihin
- Microsoft Sentinel-tietoyhdistimen etsiminen
Tietoyhdistimen tuki
Sekä Microsoftin että muiden organisaatioiden laatijat Microsoft Sentinel tietoyhdistimiä. Kullakin tietoyhdistimellä on jokin seuraavista tukityypeistä, jotka on lueteltu tietoyhdistinsivulla Microsoft Sentinel.
| Tukityyppi | Kuvaus |
|---|---|
| Microsoftin tukema | Koskee seuraavia:
Kumppanit tai yhteisö tukevat muiden tahojen kuin Microsoftin luomia tietoliittimiä. |
| Kumppanin tukema | Koskee muiden osapuolten kuin Microsoftin luomia tietoliittimiä. Kumppaniyritys tarjoaa tukea tai ylläpitoa näille tietoyhdistimille. Kumppaniyritys voi olla itsenäinen ohjelmistotoimittaja, hallittu palveluntarjoaja (MSP/MSSP), järjestelmien integroija (SI) tai mikä tahansa organisaatio, jonka yhteystiedot annetaan kyseisen tietoliittimen Microsoft Sentinel sivulla. Jos kumppanin tukemassa tietoyhdistimessä on ongelmia, ota yhteyttä määritettyyn tietoliittimen tukiyhteyshenkilöön. |
| Yhteisön tukema | Koskee Microsoftin tai kumppanikehittäjien luomia tietoliittimiä, joiden yhteyshenkilöitä ei ole listattu tietoliittimien tukea ja ylläpitoa varten Microsoft Sentinel tietoyhdistinsivulla. Jos sinulla on kysymyksiä tai ongelmia näiden tietoliittimien kanssa, voit tehdä ongelmanMicrosoft Sentinel GitHub-yhteisössä. |
Lisätietoja on ohjeaiheessa Tietoliittimen tuen etsiminen.
Seuraavat vaiheet
Lisätietoja tietoliittimistä on seuraavissa artikkeleissa.
- Tietolähteiden yhdistäminen Microsoft Sentinel tietoyhdistimien avulla
- Microsoft Sentinel-tietoyhdistimen etsiminen
- Resurssit mukautettujen liittimien Microsoft Sentinel luomiseen
Bicepin, Azure Resource Manager ja Terraformin perusinfrastruktuuri koodina (IaC) -viittaus tietoyhdistimien käyttöönottoon Microsoft Sentinel on kohdassa Microsoft Sentinel tietoyhdistimen IaC-viiteopas.