Liitettyjen tietoyhdistimien määrittäminen Microsoft Sentinel Data Lakessa

Tässä artikkelissa kerrotaan, miten voit määrittää liitettyjä tietoyhdistimiä, jotta ulkoisia tietolähteitä voidaan kysellä Microsoft Sentinel Data Lake -tallennustilasta. Voit yhdistää Azure Databricksillä, Azure Data Lake Storage (ADLS) Gen 2:lla ja Microsoft Fabricilla.

Ennakkovaatimukset

Ennen kuin määrität tietojen yhdistämistä, varmista, että täytät seuraavat vaatimukset:

Sentinel Data Lake -käyttöönotto: vuokraajasi on siirrettävä data lake -Sentinel. Katso lisätietoja artikkelista Microsoft Sentinel Data Lakeen perehdytys.
Julkinen helppokäyttötoiminto: Ulkoisen lähteen on oltava julkisesti käytettävissä. Yksityisiä päätepisteitä ei tällä hetkellä tueta.
Palvelun päänimi: Azure Databricksille ja Azure Data Lake Storage Gen2 lähteille vaaditaan palvelun päänimi, jolla on asianmukaiset käyttöoikeudet tietolähteeseen, johon haluat muodostaa yhteyden. Lisätietoja on kohdassa Microsoft Entra ID sovelluksen rekisteröinnit.
Azure Key Vault: Tarvitaan Azure Key Vault, joka on määritetty palvelun päänimen asiakassalaisuuden avulla. Microsoft Sentinel sovelluksen käyttäjätiedot tarvitsevat key vaultiin määritetyt käyttöoikeudet. Lisätietoja avainsäilöjen Azure määrittämisestä on Azure Key Vaults -kohdassa.
Microsoft Sentinel käyttöoikeudet: Järjestelmätaulukoiden tietojen (hallinta) oikeudet tietoliittimen määrittämiseksi. Lisätietoja on artikkelissa Microsoft Sentinel ympäristön roolit ja käyttöoikeudet.

Palvelun päänimen luominen

Tarvitset Azure Databricks- ja ADLS Gen 2 -liittoutumista varten palvelun päänimen, jolla on Azure Key Vault tallennetut käyttöoikeudet. Voit käyttää olemassa olevaa palvelun päänimeä tai luoda uuden palvelun päänimen seuraavien ohjeiden avulla.

Luo Microsoft Entra ID sovelluksen rekisteröinti:
1. Siirry Azure-portaali kohtaan Microsoft Entra ID>Sovelluksen rekisteröinnit.
2. Valitse Uusi rekisteröinti.
3. Anna sovelluksen nimi.
4. Jätä uudelleenohjauksen URI tyhjäksi (tätä ei tarvita tässä skenaariossa).
5. Valitse Rekisteröi.
Asiakassalaisuuden luominen:
1. Siirry sovelluksen rekisteröinnissä kohtaan Varmenteet & salaisuuksia.
2. Valitse Uusi asiakassalaisuus.
3. Kirjoita kuvaus ja valitse vanhentumisaika.
4. Valitse Lisää.
5. Kopioi asiakkaan salasanan arvo heti käytettäväksi seuraavassa osiossa. Et voi noutaa tätä arvoa poistuttuasi sivulta.
Huomioi sovelluksen tiedot:
- Sovelluksen (asiakkaan) tunnus
- Objektitunnus
- Hakemiston (vuokraajan) tunnus

Lisätietoja palvelujen päänimien luomisesta on kohdassa Microsoft Entra ID sovellusrekisteröinnit.

Luo Azure Key Vault ja tallenna tunnistetiedot

Voit käyttää aiemmin luotua Azure Key Vault ja määrittää Key Vault käyttöoikeuden tai luoda uuden Key Vault seuraavien ohjeiden avulla:

Luo Azure Key Vault:
1. Luo Azure-portaali uusi Azure Key Vault.
2. Käytä roolipohjaista Azure käyttöoikeusmallia (suositus).
3. Ota käyttöön pehmeä poisto ja poista avainsäilön suojausasetukset.
4. Huomaa Key Vault URI luonnin jälkeen.
Määritä Key Vault käyttöoikeudet:
1. Määritä Key Vault Secrets -käyttäjärooli Microsoft Sentinel käyttöympäristön hallituille käyttäjätietoille. Käyttäjätietojen etuliitteenä msg-resources-on .
2. Jos käytät Key Vaultien käyttöoikeuskäytäntöjä Azure roolipohjaisen käytön hallinnan sijaan, anna oikeudet Salaisen hallinnan toimintojen Nouda ja luettelo -toimintoihin.
Tallenna asiakassalaisuus Key Vault:
1. Siirry Key Vault kohtaan Salaisten koodien>luominen ja tuominen.
2. Luo uusi salaisuus, joka sisältää palvelun päänimen asiakassalaisuuden.
3. Huomaa salaisen koodin nimi. Sitä käytetään määritettäessä tietoliittimen esiintymää.

Lisätietoja avainsäilöjen Azure määrittämisestä on Azure Key Vaults -kohdassa.

Liitetyt tietoliittimet

Liitettyjä liittimiä hallitaan Microsoft Sentinel Data Connectors -sivulla Defender-portaalissa.

Siirry kohtaan Microsoft Sentinel>MääritysTietoliittimet>.
Valitse Tiedot-liittoutumisessaLuettelo käytettävissä olevien liitettyjen liittimien tarkastelemiseksi.

Luettelosivu näyttää seuraavat:
- Käytettävissä olevat liittoutumisen liitintyypit
- Määritettyjen esiintymien määrä kullekin liittimelle
- Julkaisijan ja tuen tiedot
Valitse Omat liittimet -sivu , jos haluat tarkastella kaikkia määritettyjä liitinesiintymiä. Sivulla on lueteltu vuokraajan tietojen yhdistämisliittimen esiintymät sekä niiden näyttönimi, versio, tila ja tukipalvelu.
Valitse kukin esiintymä, jos haluat tarkastella tietoja, muokata määrityksiä tai poistaa esiintymän.

Liittimen esiintymän luominen

Liittimen esiintymän luontiprosessi vaihtelee ulkoisen tietolähteen mukaan, johon olet muodostamassa yhteyttä. Noudata tietolähdetyypin ohjeita.

Microsoft Fabric -yhdistimen esiintymän luominen

Ennen Kuin määrität Fabric-yhdistimen esiintymän, sinun on määritettävä käyttöoikeudet Microsoft Fabric -ympäristössä, jotta Microsoft Sentinel voivat käyttää tietoja.

Määritä Microsoft Fabricin järjestelmänvalvojan asetukset niin, että vuokraaja on otettu käyttöön ulkoisten tietojen jakamista varten. Lisätietoja on artikkelissa Ulkoisen dataresurssin luominen.
Määritä Microsoft Fabricin järjestelmänvalvojan asetukset niin, että palvelun päänimet voivat kutsua Fabricin julkisia ohjelmointirajapintoja. Lisätietoja on kohdassa Palvelun päänimet voivat kutsua Fabricin julkisia ohjelmointirajapintoja
Lisää Sentinel ympäristön käyttäjätiedot, joiden etuliitteenä msg-resources- on Työtilan jäsen Lakehousessa, josta haluat liittää taulukoita. Lisätietoja on kohdassa Työtilojen käyttöoikeuksien antaminen.

Valitse Tietoliitosluettelo-sivulla>Microsoft Fabric -rivi.
Valitse sivupaneelista Yhdistä liitin.

Anna seuraavat tiedot:

Kenttä	Kuvaus
Esiintymän nimi	Tämän liittimen esiintymän kutsumanimi. Tämä esiintymän nimi liitetään järvessä tässä esiintymässä esitettyihin taulukoihin.
Fabric-työtilan tunnus	Liitettävän Fabric-työtilan tunnus. Kun siirryt Fabric-työtilaan tai Lakehouseen, työtilan tunnus näkyy URL-osoitteessa `/groups/`
Lakehouse-taulukon tunnus	Fabric Lakehouse -taulukon tunnus. Kun siirryt Fabric Lakehouseen, lakehouse-tunnus näkyy URL-osoitteessa kohteen jälkeen `/lakehouses/`.

Valitse Seuraava.
Valitse taulukot, jotka haluat liittää.
Valitse Seuraava.
Tarkista liittoutumisen kohdemääritys.
Luo yhteysesiintymä valitsemalla Yhdistä .

Huomautus

Kohdetietolähteen tiedostojen on oltava deltaparquet-muodossa, jotta ne voidaan lukea Sentinel Data Lake -tallennustilasta.

ADLS Gen 2 -yhdistimen esiintymän luominen

Valmistele tallennustilisi ennen liittimen luomista:

Jos olet luomassa uutta tallennustiliä, varmista, että Hierarkkiset nimitilat - asetus on käytössä.
Määritä säilön blob-tietojen lukija -rooli aiemmin luomallesi palvelun päänimelle. Lisätietoja käyttöoikeuksien myöntämisestä Azure-portaali kautta on kohdassa Azure roolien määrittäminen Azure-portaali – Azure RBAC:n avulla.
Valitse Tietoliitosluettelo-sivulla>Azure Data Lake Storage.
Valitse Yhdistä liitin.

Määritä seuraavat nimen ja yhteyden tiedot:

Kenttä	Kuvaus
Esiintymän nimi	Tämän liittimen esiintymän kutsumanimi. Esiintymän nimi liitetään järven taulukoiden nimiin.
Sovelluksen (asiakkaan) tunnus	Palvelun päänimen GUID-tunnus, jolla on käyttöoikeus Key Vault ja kohdetietolähteeseen.
Azure Key Vault URI	sen Key Vault URI, joka sisältää palvelun päänimen todennussalaisuuden.
Salaisen koodin nimi	Palvelun päänimen asiakassalaisuuden sisältävän Key Vault salaisen koodin nimi
Azure Data Lake Storage URL-osoite	ADLS Gen 2 -päätepisteen URL-osoite (on oltava julkisesti käytettävissä)

Jatka valitsemalla Seuraava .
Valitse taulukot, jotka haluat liittää ADLS Gen 2 -tallennustililtäsi.
Selaa käytettävissä olevia taulukoita ADLS Gen 2 -tallennustilassa.
Valitse vähintään yksi liitetty taulukko.
Jatka valitsemalla Seuraava .
Kun olet valinnut taulukot, tarkista määritysasetukset.
Luo liittimen esiintymä valitsemalla Yhdistä .
Jos sinun on tehtävä muutoksia, palaa edellisiin vaiheisiin valitsemalla Takaisin .

Viimeistele ADLS Gen 2 -liittimen esiintymän määritys valitsemalla Yhdistä. Ohjattu toiminto sulkeutuu, ja Azure Data Lake Storage Gen2 esiintymien määrä kasvaa.

Azure Databricks -yhdistimen esiintymän luominen

Ennen kuin luot liittimen, määritä käyttöoikeudet Databricks-ympäristössä seuraavasti:

Valitse Azure Databricksissa luettelo, johon haluat muodostaa yhteyden Microsoft Sentinel Data Lake -tallennustilasta.
Valitse luettelon rataskuvake ja valitse Metakauppa.
Määritä metasäilön tietosivulla Ulkoisten tietojen käyttö -kohdan arvoksiKäytössä.
Valitse yhdistettämässäsi luettelossa Käyttöoikeudet ja valitse sitten Myönnä.
Hae aiemmin luomasi palvelun päänimi.
Myönnä palvelun päänimelle tietojen lukuoikeuden esiasetus, valitse Ulkoisen käytön rakenteen käyttöoikeus ja valitse Vahvista.
Valitse Azure Databricks-näytön oikeasta yläkulmasta tilisi ja valitse Sitten Asetukset.
Valitse Käyttäjätiedot ja käyttöoikeudet -kohdassa Palvelun päänimien vieressä oleva Hallinta-painike.
Valitse Lisää palvelun päänimi
Valitse olemassa oleva päänimi Palvelun päänimi -ruudun avulla.
Valitse aiemmin luomasi palvelun päänimi ja valitse Lisää.

Liittimen esiintymän luominen

Valitse Tietoliitosluettelo-sivulla>Azure Databricks-rivi.
Valitse sivupaneelista Yhdistä liitin.

Anna seuraavat tiedot:

Kenttä	Kuvaus
Esiintymän nimi	Kutsumanimi tälle liittimen esiintymälle
Päätunnus	Palvelun päänimen GUID-tunnus, jolla on Key Vault käyttöoikeus
Azure Key Vault URI	Todennussalaisuuden sisältävän Key Vault URI
Salaisen koodin nimi	Databricks-yhteystietoja sisältävän Key Vault salaisen koodin nimi
Databricksin URL-osoite	databricks Azure esiintymän URL-osoite (on oltava julkisesti käytettävissä)
Luettelon nimi	Liitettävän Databricks Azure luettelon nimi
Rakenteen nimi	Liitettävän databricks-Azure rakenteen nimi

Valitse Seuraava.
Valitse taulukot, jotka haluat liittää Azure Databricks-esiintymästä.
Jatka valitsemalla Seuraava .
Tarkista määritysasetukset.
Luo liittimen esiintymä valitsemalla Yhdistä .
Jos sinun on tehtävä muutoksia, palaa edellisiin vaiheisiin valitsemalla Takaisin .

Kun olet valinnut Yhdistä, ohjattu toiminto sulkeutuu ja Databricksin esiintymien määrä kasvaa.

Vahvista taulukoita liittimen esiintymästä

Kun olet luonut yhdistimen esiintymän, tarkista, että liittämäsi taulukot ovat käytettävissä Microsoft Sentinel.

Siirry Microsoft Sentinel > määritystaulukoihin>.
Suodata tyypin mukaan Liitetty nähdäksesi kaikki liitetyt taulukot.
Hae liittimen esiintymän nimen mukaan.
Liitin-esiintymän taulukot luetellaan niiden nimen jälkeen _instance name. Jos tietoyhdistimen esiintymän nimi oli GlobalHRData esimerkiksi ja taulukon nimi hrlogsoli , taulukon nimi näkyy muodossa hrlogs_GlobalHRData.
Avaa tietopaneeli valitsemalla taulukko luettelosta.
Valitsemalla Yleiskatsaus-välilehden voit tarkastella taulukkotyyppiä ja liittoutumispalvelua.
Valitse Tietolähde-välilehti , niin näet liittimen esiintymän tietopalvelun ja lähdetuotteen taulukolle. Kun valitset liittimen esiintymän nimen, siirryt kyseiseen esiintymään Omat liittimet-kohdassa tietoyhdistimien sisällä.
Voit tarkastella taulukon rakennetta valitsemalla Rakenne-välilehden.
Päivitä liitettyyn taulukkoon liittyvä taulukon rakenne valitsemalla Rakenne-välilehdessäPäivitä .

Liitinesiintymien hallinta

Yhdistimen esiintymän muokkaaminen tai poistaminen:

Siirry kohtaan Tietoliittäminen>Omat liittimet -sivu.
Valitse liittimen esiintymä, jota haluat hallita.
Käytä tietopaneelissa käytettävissä olevia asetuksia seuraavien seuraavien seuraavien vaihtoehtojen kanssa:
- Yhteysasetusten muokkaaminen
- Lisää tai poista liitettyjä taulukoita
- Liittimen esiintymän poistaminen

Huomautus

Microsoft Fabric -yhteysesiintymät eivät tue muokkaamista. Voit luoda uuden liitetyn yhteyden, jos haluat lisätä taulukoita, tai voit poistaa Fabric-yhteysesiintymän ja luoda sen uudelleen samalla esiintymän nimellä ja valita eri taulukkojoukon.

Vianmääritys

Yhteyden muodostaminen epäonnistuu

Varmista, Sentinel käyttöympäristön hallituilla käyttäjätiedoilla msg-resources- on oikeat käyttöoikeudet Azure Key Vault.
Jos yhteyslähteesi on Azure Databricks tai Azure Data Lake Storage Gen2, varmista, että Key Vault salaisuus sisältää oikean asiakassalaisuuden palvelun päänimelle.
Key Vault verkkotoiminnon asetuksena on Salli julkinen käyttö kaikista verkoista yhdistimen määrityksen aikana. Tämä on Key Vault oletusmääritys. Sitä voidaan muuttaa yhdistimen luomisen tai muokkaamisen jälkeen.
Varmista, että ulkoinen tietolähde on julkisesti käytettävissä.
Tarkista, että palvelun päänimellä on tarvittavat oikeudet kohdetietolähteeseen Azure Databricksille ja ADLS:lle.
Jos kohdetietolähde on Fabric, tarkista, että msg-resources- Microsoft Sentinel etuliitteelle on myönnetty käyttöoikeus työtilan jäsenenä.
Varmista, että yhteysesiintymiä on enintään 100.

Huomautus

ADLS ja Azure Databricks käyttävät yhtä yhteysesiintymää liitettyä yhteyttä kohden. Fabric voi käyttää useampia esiintymiä liitettyä yhteyttä kohden. Fabricin kohdalla jokainen liitetyn organisaation lakehouse-rakenne lasketaan 100 esiintymän rajaan nähden.

Taulukoita ei näytetä

Varmista, että palvelun päänimellä on lukuoikeus ADLS:n ja Azure Databricksin kohdetaulukoihin, ja palvelun päänimi on samassa vuokraajassa kuin nämä tietolähteet.
Varmista, että olet myöntänyt Databricksille sekä tietojen lukijan esijoukon että ulkoisen käytön rakenteen käyttöoikeuden palvelun päänimelle.
Varmista ADLS Gen 2:ssa, että säilön Blob-tietojen lukija -rooli on määritetty palvelun päänimelle.

Kyselyn suorituskykyongelmat

Harkitse ulkoisista lähteistä kyseltävien tietojen kokoa.
Optimoi kyselyt, jotta tiedot suodatetaan aikaisessa vaiheessa.
Tarkista verkkoyhteys Sentinel ja ulkoisen lähteen välillä.

Seuraavat vaiheet

Palaute

Onko tästä sivusta apua?

Last updated on 2026-04-23

Liitettyjen tietoyhdistimien määrittäminen Microsoft Sentinel Data Lakessa

Ennakkovaatimukset

Palvelun päänimen luominen

Luo Azure Key Vault ja tallenna tunnistetiedot

Liitetyt tietoliittimet

Liittimen esiintymän luominen

Microsoft Fabric -yhdistimen esiintymän luominen

Vahvista taulukoita liittimen esiintymästä

Liitinesiintymien hallinta

Vianmääritys

Yhteyden muodostaminen epäonnistuu

Taulukoita ei näytetä

Kyselyn suorituskykyongelmat

Seuraavat vaiheet

Palaute

Lisäresursseja