Configurare connettori dati federati in Microsoft Sentinel Data Lake

Questo articolo illustra come configurare i connettori dati federati per abilitare l'esecuzione di query su origini dati esterne dal data lake di Microsoft Sentinel. È possibile eseguire la federazione con Azure Databricks, Azure Data Lake Storage (ADLS) Gen 2 e Microsoft Fabric.

Prerequisiti

Prima di configurare la federazione dei dati, assicurarsi di soddisfare i requisiti seguenti:

Onboarding del data lake di Sentinel: è necessario eseguire l'onboarding del tenant nel data lake di Sentinel. Per altre informazioni, vedere Eseguire l'onboarding nel data lake di Microsoft Sentinel.
Accessibilità pubblica: l'origine esterna deve essere accessibile pubblicamente. Gli endpoint privati non sono attualmente supportati.
Entità servizio: è richiesta un'entità servizio con le autorizzazioni appropriate per l'origine dati a cui ci si vuole connettere per le origini di Azure Databricks e Azure Data Lake Storage Gen2. Per altre informazioni, vedere Registrazioni dell'app Microsoft Entra ID.
Azure Key Vault: È necessario un Azure Key Vault configurato con il segreto client del principal del servizio. L'identità dell'applicazione Microsoft Sentinel necessita di autorizzazioni assegnate al Key Vault. Per altre informazioni sulla configurazione degli insiemi di credenziali delle chiavi di Azure, vedere Azure Key Vaults.
Autorizzazioni di Microsoft Sentinel: autorizzazionidi dati (gestione) per le tabelle di sistema per configurare un connettore di federazione dei dati. Per altre informazioni, vedere Ruoli e autorizzazioni nella piattaforma Microsoft Sentinel.

Creare un principale servizio

Per la federazione di Azure Databricks e ADLS Gen 2, è necessaria un'entità servizio con credenziali di accesso archiviate in Azure Key Vault. È possibile usare un'entità servizio esistente o seguire questa procedura per creare una nuova entità servizio.

Creare una registrazione dell'applicazione Microsoft Entra ID:
1. Nel portale di Azure passare a Microsoft Entra ID>App registrations.
2. Seleziona Nuova registrazione.
3. Immettere un nome per l'applicazione.
4. Lasciare vuoto l'URI di reindirizzamento (non necessario per questo scenario).
5. Selezionare Registrazione.
Creare un segreto del client:
1. Nella registrazione dell'app passare a Certificati e segreti.
2. Selezionare Nuova chiave segreta del client.
3. Immettere una descrizione e selezionare un periodo di scadenza.
4. Seleziona Aggiungi.
5. Copiare immediatamente il valore del segreto client da usare nella sezione successiva. Non è possibile recuperare questo valore dopo aver lasciato la pagina.
Prendere nota dei dettagli dell'applicazione:
- ID client dell'applicazione
- ID dell'oggetto.
- ID della directory (tenant)

Per altre informazioni sulla creazione di entità servizio, vedere Registrazioni dell'app Microsoft Entra ID.

Creare un Azure Key Vault e archiviare le credenziali.

È possibile usare un insieme di credenziali delle chiavi di Azure esistente e seguire questa procedura per configurare l'accesso a Key Vault oppure creare un nuovo insieme di credenziali delle chiavi seguendo questa procedura:

Creare un Key Vault di Azure:
1. Nel portale di Azure, crea un nuovo Azure Key Vault.
2. Usare il modello di autorizzazione di controllo degli accessi in base al ruolo di Azure (scelta consigliata ).
3. Abilitare l'eliminazione temporanea e le impostazioni di protezione dalla pulizia per il Key Vault.
4. Prendere nota dell'URI di Key Vault dopo la creazione.
Configurare l'accesso a Key Vault:
1. Assegnare il ruolo Utente dei segreti di Key Vault all'identità gestita della piattaforma di Microsoft Sentinel. L'identità è preceduta da msg-resources-.
2. Se si utilizzano criteri di accesso per Key Vault anziché il controllo degli accessi in base al ruolo di Azure, fornire le autorizzazioni per Get e List per le operazioni di gestione dei segreti.
Archiviare il segreto client in Key Vault:
1. Nel tuo Key Vault, vai su Segreti>Genera/Importa.
2. Creare un nuovo segreto contenente il segreto client dell'entità servizio.
3. Prendere nota del nome del segreto. Viene usato quando si configura l'istanza del connettore di federazione dei dati.

Per altre informazioni sulla configurazione degli insiemi di credenziali delle chiavi di Azure, vedere Azure Key Vaults.

Connettori dati federati

I connettori federati vengono gestiti nella pagina Connettori dati di Microsoft Sentinel nel portale di Defender.

Vai a Microsoft Sentinel>Configurazione>Connettori dati.
In Federazione dei dati selezionare Catalogo per visualizzare i connettori federati disponibili.

Viene visualizzata la pagina del catalogo:
- Tipi di connettore federativo disponibili
- Numero di istanze configurate per ogni connettore
- Informazioni sull'editore e sul supporto
Selezionare La pagina Connettori personali per visualizzare tutte le istanze del connettore configurate. La pagina elenca le istanze del connettore di federazione dei dati del tenant insieme al nome visuale, alla versione, allo stato e al fornitore di supporto.
Selezionare ogni istanza per visualizzare i dettagli, modificare le configurazioni o eliminare l'istanza.

Creare un'istanza del connettore

Il processo di creazione di un'istanza del connettore varia in base all'origine dati esterna a cui ci si connette. Seguire le istruzioni per il tipo specifico di origine dati.

Creare un'istanza del connettore di Microsoft Fabric

Prima di configurare l'istanza di Fabric Connector, è necessario configurare le autorizzazioni all'interno dell'ambiente Microsoft Fabric per consentire a Microsoft Sentinel di accedere ai dati.

Configurare le impostazioni di amministratore in Microsoft Fabric in modo che il tenant sia abilitato per la condivisione dei dati esterni. Per altre informazioni, vedere Creare una condivisione dati esterna
Configurare le impostazioni di amministratore in Microsoft Fabric in modo che l'impostazione sia abilitata per gli oggetti servizio possano chiamare le API pubbliche di Fabric. Per ulteriori informazioni, consultare Principali della piattaforma di servizio che possono chiamare API pubbliche di Fabric
Aggiungere l'identità della piattaforma Sentinel, preceduta da msg-resources-, come membro dell'area di lavoro nella Lakehouse da cui si desidera eseguire la federazione delle tabelle. Per altre informazioni, vedere Concedere l'accesso alle aree di lavoro.

Nella pagina Data federation>Catalog selezionare la riga Microsoft Fabric .
Nel pannello laterale selezionare Connetti un connettore.

Immetti le informazioni seguenti:

Campo	Descrizione
Nome dell'istanza	Nome amichevole per questa istanza del connettore. Questo nome di istanza viene aggiunto alle tabelle rappresentate nel lago da questa istanza.
ID area di lavoro Fabric	ID dell'area di lavoro Fabric da federare. Quando si naviga all'area di lavoro "Fabric" o alla "Lakehouse", l'ID dell'area di lavoro appare nell'URL dopo `/groups/`
ID tabella Lakehouse	ID della tabella Fabric Lakehouse da federare. Quando si accede a Fabric lakehouse, l'ID del lakehouse viene visualizzato nell'URL dopo `/lakehouses/`.

Seleziona Avanti.
Seleziona le tabelle da federare.
Seleziona Avanti.
Esaminare la configurazione del target di federazione.
Selezionare Connetti per creare l'istanza di connessione.

Annotazioni

I file nella tua origine dati di destinazione devono essere in formato Delta Parquet per essere letti dal data lake Sentinel.

Creare un'istanza del connettore ADLS Gen 2

Prima di creare il connettore, preparare l'account di archiviazione:

Se si sta creando un nuovo account di archiviazione, assicurarsi che l'impostazione Spazi dei nomi gerarchici sia abilitata.
Assegnare il ruolo Lettore dati BLOB di archiviazione all'entità servizio creata in precedenza. Per ulteriori informazioni sulla concessione dell'accesso tramite il portale di Azure, vedere Assegnare ruoli di Azure utilizzando il portale di Azure - Controllo degli accessi in base al ruolo (RBAC) di Azure.
Nella pagina Data federation>Catalog selezionare Azure Data Lake Storage.
Selezionare Connetti un connettore.

Configurare il nome e i dettagli di connessione seguenti:

Campo	Descrizione
Nome dell'istanza	Nome amichevole per questa istanza del connettore. Il nome dell'istanza viene aggiunto ai nomi delle tabelle nel lake.
ID client dell'applicazione	GUID del principale del servizio con accesso al Key Vault e alla fonte dati di destinazione.
Azure Key Vault URI	URI del Key Vault contenente il segreto di autenticazione per il principale del servizio.
Nome segreto	Nome del segreto in Key Vault contenente il segreto client dell'entità servizio
Azure Data Lake Storage URL	URL dell'endpoint di ADLS Gen 2 (deve essere accessibile pubblicamente)

Seleziona Avanti per continuare.
Selezionare le tabelle da federare dall'account di archiviazione dell'ADLS Gen 2.
Esplorare le tabelle disponibili nell'archiviazione di ADLS Gen 2.
Selezionare almeno una tabella da federare.
Seleziona Avanti per continuare.
Dopo aver selezionato le tabelle, esaminare le impostazioni di configurazione.
Selezionare Connetti per creare l'istanza del connettore.
Se è necessario apportare modifiche, selezionare Indietro per tornare ai passaggi precedenti.

Selezionare Connetti per completare la configurazione per l'istanza del connettore ADLS Gen 2. La procedura guidata viene chiusa e il conteggio delle istanze per Azure Data Lake Storage Gen2 aumenta.

Creare un'istanza del connettore Azure Databricks

Prima di creare il connettore, configurare l'accesso nell'ambiente Databricks come indicato di seguito:

In Azure Databricks selezionare il catalogo a cui connettersi da Microsoft Sentinel Data Lake.
Selezionare l'icona a forma di ingranaggio per il catalogo e selezionare Metastore.
Nella pagina dei dettagli del metastore impostare Accesso ai dati esterni su Abilitato.
Nel catalogo con cui si sta eseguendo la federazione selezionare Autorizzazioni e quindi Concedi.
Cerca l'entità del servizio creata in precedenza.
Concedere al principale del servizio la preimpostazione di privilegi lettore dati e selezionare l'Autorizzazione per l'utilizzo esterno dello schema e selezionare Conferma.
Nella parte superiore destra della schermata di Azure Databricks selezionare l'account e selezionare Impostazioni.
In Identità e accesso selezionare il pulsante Gestisci accanto a Entità servizio.
Selezionare Aggiungi entità servizio
Usare la casella Entità servizio per selezionare un'entità esistente.
Selezionare l'entità servizio che hai creato in precedenza e selezionare Aggiungi.

Creare l'istanza del connettore

Nella pagina Data federation>Catalog selezionare la riga Azure Databricks .
Nel pannello laterale selezionare Connetti un connettore.

Immetti i dettagli seguenti:

Campo	Descrizione
Nome dell'istanza	Nome amichevole per questa istanza del connettore
ID principale	GUID dell'entità servizio con accesso a Key Vault
Azure Key Vault URI	URI del Key Vault contenente il segreto di autenticazione
Nome segreto	Nome del segreto in Key Vault contenente le informazioni di connessione di Databricks
Databricks URL	URL dell'istanza di Azure Databricks (deve essere accessibile pubblicamente)
Nome catalogo	Nome del catalogo in Azure Databricks per la federazione
Nome schema	Nome dello schema in Azure Databricks per la federazione

Seleziona Avanti.
Seleziona le tabelle che vuoi federare dall'istanza di Azure Databricks.
Seleziona Avanti per continuare.
Verificare le impostazioni di configurazione.
Selezionare Connetti per creare l'istanza del connettore.
Se è necessario apportare modifiche, selezionare Indietro per tornare ai passaggi precedenti.

Dopo aver selezionato Connetti, la procedura guidata viene chiusa e il numero di istanze per Databricks aumenta.

Verificare le tabelle dell'istanza del connettore

Dopo aver creato un'istanza del connettore, verificare che le tabelle federate siano disponibili in Microsoft Sentinel.

Passare a Tabelle di configurazione > di Microsoft Sentinel>.
Filtrare in base al tipo federato per visualizzare tutte le tabelle federate.
Cercare in base al nome dell'istanza del connettore.
Le tabelle dell'istanza del connettore sono elencate con il nome seguito da _instance name. Ad esempio, se il nome dell'istanza del connettore dati era GlobalHRData e la tabella era denominata hrlogs, il nome della tabella viene visualizzato come hrlogs_GlobalHRData.
Selezionare una tabella dall'elenco per aprire il pannello dei dettagli.
Selezionare la scheda Panoramica per visualizzare il tipo di tabella e il provider di federazione.
Selezionare la scheda Origine dati per visualizzare il provider di dati dell'istanza del connettore e il prodotto di origine per la tabella. La selezione del nome dell'istanza del connettore consente di accedere a quell'istanza in Connettori personali all'interno di Connettori dati.
Selezionare la scheda Schema per visualizzare lo schema della tabella.
Nella scheda Schema selezionare Aggiorna per aggiornare lo schema della tabella associato alla tabella federata.

Gestire le istanze del connettore

Per modificare o eliminare un'istanza del connettore:

Passare alla pagina Federazione dei dati>.
Selezionare l'istanza del connettore da gestire.
Nel pannello dei dettagli usare le opzioni disponibili per:
- Modificare le impostazioni di connessione
- Aggiungere o rimuovere tabelle federate
- Eliminare l'istanza del connettore

Annotazioni

Le istanze di connessione di Microsoft Fabric non supportano la modifica. È possibile creare una nuova connessione federata per aggiungere altre tabelle oppure eliminare l'istanza di connessione fabric e ricrearla con lo stesso nome di istanza e un set diverso di tabelle selezionate.

Risoluzione dei problemi

Connessione non riuscita

Verificare che l'identità gestita della piattaforma Sentinel preceduta da msg-resources- disponga delle autorizzazioni corrette per Azure Key Vault.
Se l'origine della connessione è Azure Databricks o Azure Data Lake Storage Gen2, verificare che il segreto dell'insieme di credenziali delle chiavi contenga il segreto client corretto per il principale del servizio.
La rete di Key Vault deve essere impostata su Consenti l'accesso pubblico da tutte le reti durante la configurazione del connettore, ovvero la configurazione predefinita di Key Vault. Può essere modificato dopo la creazione o la modifica del connettore.
Verificare che l'origine dati esterna sia accessibile pubblicamente.
Verificare che l'entità servizio disponga delle autorizzazioni appropriate per l'origine dati di destinazione per Azure Databricks e ADLS.
Se l'origine dati di destinazione è Fabric, verificare che all'identità con prefisso per Microsoft Sentinel sia stata concessa l'autorizzazione come membro dell'area msg-resources- di lavoro.
Verificare di non avere più di 100 istanze di connessione.

Annotazioni

ADLS e Azure Databricks usano un'istanza di connessione per ogni connessione federata. Fabric può usare più istanze per ogni connessione federata. Per Fabric, ogni schema lakehouse nella connessione federata viene conteggiato rispetto al limite di 100 istanze.

Le tabelle non vengono visualizzate

Verificare che l'entità servizio abbia accesso in lettura alle tabelle di destinazione per ADLS e Azure Databricks e che l'entità servizio si trova nello stesso tenant di queste origini dati.
Per Databricks, assicurarsi di concedere sia il set di privilegi di lettore dati predefinito che l'autorizzazione Schema utilizzo esterno per l'entità servizio.
Per ADLS Gen 2, verificare che il ruolo Lettore dati BLOB di archiviazione sia assegnato all'entità servizio.

Problemi di prestazioni delle query

Prendere in considerazione le dimensioni dei dati che si interrogano da origini esterne.
Ottimizzare le query per filtrare i dati in anticipo.
Controllare la connettività di rete tra Sentinel e l'origine esterna.

Passaggi successivi

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-01

Condividi tramite

Configurare connettori dati federati in Microsoft Sentinel Data Lake

Prerequisiti

Creare un principale servizio

Creare un Azure Key Vault e archiviare le credenziali.

Connettori dati federati

Creare un'istanza del connettore

Creare un'istanza del connettore di Microsoft Fabric

Verificare le tabelle dell'istanza del connettore

Gestire le istanze del connettore

Risoluzione dei problemi

Connessione non riuscita

Le tabelle non vengono visualizzate

Problemi di prestazioni delle query

Passaggi successivi

Commenti e suggerimenti

Risorse aggiuntive