Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Når du har logget Microsoft Sentinel inn i arbeidsområdet, kan du bruke datakoblinger til å begynne å ta inn dataene i Microsoft Sentinel. Microsoft Sentinel leveres med mange ut av boksen koblinger for Microsoft-tjenester, som integreres i sanntid. Koblingen Microsoft Defender XDR er for eksempel en tjeneste-til-tjeneste-kobling som integrerer data fra Office 365, Microsoft Entra ID, Microsoft Defender for identitet og Microsoft Defender for Cloud Apps.
Innebygde koblinger gjør det mulig å koble til det bredere sikkerhetsøkosystemet for produkter som ikke er fra Microsoft. Bruk for eksempel Syslog, Common Event Format (CEF) eller REST API-er til å koble datakildene med Microsoft Sentinel.
Obs!
Hvis du vil ha informasjon om funksjonstilgjengelighet i US Government-skyer, kan du se Microsoft Sentinel tabeller i skyfunksjonstilgjengelighet for US Government-kunder.
Viktig
I henhold til 2024-kunngjøringen, etter 14. september 2026, støttes ikke lenger den eldre HTTP Data Collector API-en. Datakilder, egendefinerte integreringer eller koblinger som bruker HTTP Data Collector API bør gå over til et støttet alternativ for å unngå potensielle inntaksavbrudd etter denne datoen.
Hvis du for øyeblikket bruker HTTP Data Collector-API-en, anbefaler vi at du begynner å planlegge overføringen til Logs Ingestion API eller Codeless Connector Framework (CCF) for å sikre uavbrutt datainntak, forbedret pålitelighet, skalerbarhet og langsiktig støtte.
Vurderinger for databehandling for Microsoft Sentinel datasjøen
Følgende hensyn må tas med i planleggingen av samsvar og databehandling:
GDPR og dataoppbevaring
- Leieradministratorer kan utøve GDPR-rettigheter ved hjelp av tømmingsfunksjonen for analysenivået. Dette påvirker ikke datainnsjønivået.
- Bestemte poster kan ikke slettes fra Sentinel datasjøen. Datasjøen beholder inntatte data for den definerte oppbevaringsperioden, selv om dataene slettes ved kilden eller i analysenivået.
Purview-integrering. Endringer i purview-innstillingene påvirker ikke data som er lagret i Sentinel datasjøen.
Lagringsplassering Sentinel lagringsplasseringer for datasjøen velges av leieradministratoren og kan være forskjellig fra den primære lagringsplasseringen for kildetjenestene.
Viktig
Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.
Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.
Datakoblinger som følger med løsninger
Microsoft Sentinel løsninger gir pakket sikkerhetsinnhold, inkludert datakoblinger, arbeidsbøker, analyseregler, strategibøker og mer. Når du distribuerer en løsning med en datakobling, får du datakoblingen sammen med relatert innhold i samme distribusjon.
Siden Microsoft Sentinel datakoblinger viser de installerte eller i bruk-datakoblingene.
Hvis du vil legge til flere datakoblinger, installerer du løsningen som er knyttet til datakoblingen fra innholdshuben. Hvis du vil ha mer informasjon, kan du se følgende artikler:
- Finne Microsoft Sentinel-datakoblingen
- Om Microsoft Sentinel innhold og løsninger
- Oppdag og administrer Microsoft Sentinel forhåndsdefinert innhold
- Microsoft Sentinel innholdshubkatalog
- ASIM-baserte domeneløsninger (Advanced Security Information Model) for Microsoft Sentinel
Opprette egendefinerte koblinger
Hvis du ikke kan koble datakilden til Microsoft Sentinel ved hjelp av noen av de eksisterende løsningene som er tilgjengelige, kan du vurdere å opprette din egen datakildekobling. Mange sikkerhetsløsninger gir for eksempel et sett med API-er for å hente loggfiler og andre sikkerhetsdata fra produktet eller tjenesten. Disse API-ene kobler til Microsoft Sentinel med én av følgende metoder:
- API-ene for datakilden er konfigurert med Codeless Connector Framework.
- Datakoblingen bruker Log Ingestion-API-en for Azure Monitor som en del av en Azure-funksjon eller Logic App.
Du kan også bruke Azure Monitor Agent direkte eller Logstash til å opprette den egendefinerte koblingen. Hvis du vil ha mer informasjon, kan du se Ressurser for å opprette Microsoft Sentinel egendefinerte koblinger.
Agentbasert integrering for datakoblinger
Microsoft Sentinel kan bruke agenter som leveres av Azure Monitor-tjenesten (som Microsoft Sentinel er basert på) til å samle inn data fra alle datakilder som kan utføre sanntidsloggstrømming. De fleste lokale datakilder kobler seg for eksempel til ved hjelp av agentbasert integrasjon.
Avsnittene nedenfor beskriver de ulike typene Microsoft Sentinel agentbaserte datakoblinger. Hvis du vil konfigurere tilkoblinger ved hjelp av agentbaserte mekanismer, følger du trinnene i hver Microsoft Sentinel datakoblingsside.
Syslog og Common Event Format (CEF)
Du kan strømme hendelser fra Linux-baserte Syslog-støtteenheter til Microsoft Sentinel ved hjelp av Azure Monitor Agent (AMA). Loggformater varierer, men mange kilder støtter CEF-basert formatering. Agenten installeres enten direkte på enheten, eller på en dedikert Linux-basert logg forwarder, avhengig av enhetstypen. AMA mottar vanlige Syslog- eller CEF-hendelsesmeldinger fra Syslog daemon over UDP. Syslog-daemon videresender hendelser til agenten internt, og kommuniserer via TCP eller UDS (Unix Domain Sockets), avhengig av versjonen. AMA overfører deretter disse hendelsene til det Microsoft Sentinel arbeidsområdet.
Her er en enkel flyt som viser hvordan Microsoft Sentinel strømmer Syslog-data.
- Enhetens innebygde Syslog-daemon samler inn lokale hendelser for de angitte typene, og videresender hendelsene lokalt til agenten.
- Agenten strømmer hendelsene til Log Analytics-arbeidsområdet.
- Etter vellykket konfigurasjon vises Syslog-meldinger i Log Analytics Syslog-tabellen og CEF-meldinger i CommonSecurityLog-tabellen .
Hvis du vil ha mer informasjon, kan du se Syslog og Common Event Format (CEF) via AMA-koblinger for Microsoft Sentinel.
Egendefinerte logger
For noen datakilder kan du samle inn logger som filer på Windows eller Linux datamaskiner ved hjelp av log analytics-agenten for egendefinert logginnsamling.
Hvis du vil koble til ved hjelp av den egendefinerte logginnsamlingsagenten log analytics, følger du trinnene i hver Microsoft Sentinel datakoblingsside. Når konfigurasjonen er fullført, vises dataene i egendefinerte tabeller.
Hvis du vil ha mer informasjon, kan du se Egendefinerte logger via AMA-datakobling – Konfigurere datainntak til å Microsoft Sentinel fra bestemte programmer.
Tjeneste-til-tjeneste-integrering for datakoblinger
Microsoft Sentinel bruker Azure foundation til å tilby forhåndsdefinert tjeneste-til-tjeneste-støtte for Microsoft-tjenester og Amazon Web Services.
Hvis du vil ha mer informasjon, kan du se følgende artikler:
- Koble Microsoft Sentinel til Azure-, Windows-, Microsoft- og Amazon-tjenester
- Finne Microsoft Sentinel-datakoblingen
Støtte for datakobling
Både Microsoft og andre organisasjoner redigerer Microsoft Sentinel datakoblinger. Hver datakobling har én av følgende støttetyper som er oppført på datakoblingssiden i Microsoft Sentinel.
| Støttetype | Beskrivelse |
|---|---|
| Microsoft-støttet | Gjelder for:
Partnere eller fellesskapet støtter datakoblinger som er forfattet av andre parter enn Microsoft. |
| Partner-støttet | Gjelder for datakoblinger som er forfattet av andre parter enn Microsoft. Partnerselskapet tilbyr støtte eller vedlikehold for disse datakoblingene. Partnerselskapet kan være en uavhengig programvareleverandør, en administrert tjenesteleverandør (MSP/MSSP), systemintegrator (SI) eller en organisasjon som har kontaktinformasjon på Microsoft Sentinel-siden for denne datakoblingen. Hvis du vil ha problemer med en partnerstøttet datakobling, kontakter du den angitte kundestøttekontakten for datakoblingen. |
| Fellesskapsstøttet | Gjelder for datakoblinger forfattet av Microsoft- eller partnerutviklere som ikke har oppførte kontakter for støtte og vedlikehold av datakoblinger på datakoblingssiden i Microsoft Sentinel. For spørsmål eller problemer med disse datakoblingene kan du arkivere et problem i Microsoft Sentinel GitHub-fellesskapet. |
Hvis du vil ha mer informasjon, kan du se Finne støtte for en datakobling.
Neste trinn
Hvis du vil ha mer informasjon om datakoblinger, kan du se følgende artikler.
- Koble datakildene til Microsoft Sentinel ved hjelp av datakoblinger
- Finne Microsoft Sentinel-datakoblingen
- Ressurser for å opprette Microsoft Sentinel egendefinerte koblinger
Hvis du vil ha en grunnleggende infrastruktur som kodereferanse (IaC) til Bicep, Azure Resource Manager og Terraform for å distribuere datakoblinger i Microsoft Sentinel, kan du se Microsoft Sentinel IAC-referanse for datakoblinger.