Konfigurere forbundsdatakoblinger i Microsoft Sentinel datasjø

Denne artikkelen forklarer hvordan du konfigurerer forbundsdatakoblinger for å aktivere spørring av eksterne datakilder fra Microsoft Sentinel datasjø. Du kan samle Azure Databricks, Azure Data Lake Storage (ADLS) Gen 2 og Microsoft Fabric.

Forutsetninger

Før du konfigurerer dataforbund, må du sørge for at du oppfyller følgende krav:

Sentinel data lake onboarding: Leieren må være koblet til Sentinel datasjøen. Hvis du vil ha mer informasjon, kan du se Onboard for å Microsoft Sentinel datasjøen.
Offentlig tilgjengelighet: Den eksterne kilden må være offentlig tilgjengelig. Private endepunkter støttes for øyeblikket ikke.
Tjenestekontohaver: En tjenestekontohaver med riktige tillatelser i datakilden du vil koble til, kreves for Azure Databricks og Azure Data Lake Storage Gen2 kilder. Hvis du vil ha mer informasjon, kan du se Microsoft Entra ID appregistreringer.
Azure Key Vault: En Azure Key Vault konfigurert med klienthemmeligheten for tjenestekontohaver kreves. Programidentiteten for Microsoft Sentinel trenger tillatelser tilordnet nøkkelhvelvet. Hvis du vil ha mer informasjon om hvordan du konfigurerer Azure Key vaults, kan du se Azure Key Vaults.
Microsoft Sentinel tillatelser: Datatillatelser (behandle) på systemtabeller for å konfigurere en dataforbundskobling. Hvis du vil ha mer informasjon, kan du se Roller og tillatelser på Microsoft Sentinel-plattformen.

Opprett en tjenestekontohaver

For Azure Databricks- og ADLS Gen 2-forbund trenger du en tjenestekontohaver med tilgangslegitimasjon lagret i Azure Key Vault. Du kan bruke en eksisterende tjenestekontohaver eller bruke følgende fremgangsmåte for å opprette en ny tjenestekontohaver.

Opprett en Microsoft Entra ID programregistrering:
1. Gå til Microsoft Entra ID>App-registreringer i Azure Portal.
2. Velg Ny registrering.
3. Skriv inn et navn for programmet.
4. La omadresserings-URI-en være tom (ikke nødvendig for dette scenarioet).
5. Velg Registrer.
Opprett en klienthemmelighet:
1. Gå til Sertifikater & hemmeligheter i appregistreringen.
2. Velg Ny klienthemmelighet.
3. Skriv inn en beskrivelse, og velg en utløpsperiode.
4. Velg Legg til.
5. Kopier klienthemmelighetsverdien umiddelbart for bruk i neste del. Du kan ikke hente denne verdien etter at du har forlatt siden.
Legg merke til programdetaljene:
- Program-ID (klient)
- Objekt-ID
- Katalog-ID (leier)

Hvis du vil ha mer informasjon om hvordan du oppretter tjenestekontohavere, kan du se Microsoft Entra ID appregistreringer.

Opprette en Azure Key Vault og lagre legitimasjon

Du kan bruke en eksisterende Azure Key Vault og følge fremgangsmåten nedenfor for å konfigurere Key Vault tilgang, eller opprette en ny Key Vault ved hjelp av følgende fremgangsmåte:

Opprette en Azure Key Vault:
1. Opprett en ny Azure Key Vault i Azure Portal.
2. Bruk Azure rollebasert tilgangskontroll (anbefalt) tillatelsesmodell.
3. Aktiver innstillinger for myk sletting og tømming av beskyttelse for nøkkelhvelvet.
4. Legg merke til Key Vault URI etter oppretting.
Konfigurer Key Vault tilgang:
1. Tilordne rollen Key Vault Secrets User til Microsoft Sentinel plattformens administrerte identitet. Identiteten er prefikset med msg-resources-.
2. Hvis du bruker tilgangspolicyer for Key Vaults i stedet for Azure rollebasert tilgangskontroll, gir du tillatelsene for Hent og List for Secret Management Operations.
Lagre klienthemmeligheten i Key Vault:
1. Gå til Generer/importer hemmeligheter> i Key Vault.
2. Opprett en ny hemmelighet som inneholder tjenestekontohaverens klienthemmelighet.
3. Legg merke til det hemmelige navnet. Den brukes når du konfigurerer dataforbundskoblingsforekomsten.

Hvis du vil ha mer informasjon om hvordan du konfigurerer Azure Key vaults, kan du se Azure Key Vaults.

Organisasjonsbaserte datakoblinger

Samlede koblinger administreres på Datakoblinger-siden i Microsoft Sentinel på Defender-portalen.

Gå til Microsoft Sentinel>Configuration>Data-koblinger.
Velg Katalog under Dataforbund for å vise tilgjengelige koblinger i forbund.

Katalogsiden vises:
- Tilgjengelige koblingstyper for forbund
- Antall konfigurerte forekomster for hver kobling
- Informasjon om utgiver og støtte
Velg Mine koblinger-siden for å vise alle konfigurerte koblingsforekomster. Siden viser forekomstene av leierens dataforbundskobling sammen med visningsnavn, versjon, status og støtteleverandør.
Velg hver forekomst for å vise detaljer, redigere konfigurasjoner eller slette forekomsten.

Opprette en koblingsforekomst

Prosessen for å opprette en koblingsforekomst varierer basert på den eksterne datakilden du kobler til. Følg instruksjonene for den bestemte datakildetypen.

Opprette en Microsoft Fabric-koblingsforekomst

Før du konfigurerer Fabric-tilkoblingsforekomsten, må du konfigurere tillatelser i Microsoft Fabric-miljøet slik at Microsoft Sentinel får tilgang til dataene.

Konfigurer administratorinnstillingene i Microsoft Fabric slik at leieren er aktivert for ekstern datadeling. Hvis du vil ha mer informasjon, kan du se Opprette en ekstern datadeling
Konfigurer administratorinnstillingene i Microsoft Fabric slik at innstillingen er aktivert for tjenestekontohavere kan kalle fabric offentlige API-er. Hvis du vil ha mer informasjon, kan du se Tjenestekontohavere kan kalle Fabric offentlige API-er
Legg til Sentinel plattformidentitet, prefikset med msg-resources- som et arbeidsområdemedlem på Lakehouse som du vil samle tabeller fra. Hvis du vil ha mer informasjon, kan du se Gi tilgang til arbeidsområder.

Velg Microsoft Fabric-raden pådataforbundskatalogen>.
Velg Koble til en kobling i sidepanelet.

Angi følgende informasjon:

Felt	Beskrivelse
Forekomstnavn	Et egendefinert navn for denne koblingsforekomsten. Dette forekomstnavnet legges til i tabellene som representeres i innsjøen fra denne forekomsten.
ID for fabric-arbeidsområde	ID-en til Fabric-arbeidsområdet som skal samles. Når du navigerer til Fabric-arbeidsområdet eller Lakehouse, er arbeidsområde-ID-en i nettadressen etter `/groups/`
Tabell-ID for Lakehouse	ID-en til Fabric Lakehouse-bordet for å samle seg. Når du navigerer til Fabric Lakehouse, vises Lakehouse-ID-en i nettadressen etter `/lakehouses/`.

Velg Neste.
Velg tabellene du vil samle.
Velg Neste.
Se gjennom målkonfigurasjonen for forbund.
Velg Koble til for å opprette tilkoblingsforekomsten.

Obs!

Filene i måldatakilden må være i deltaparquet-format for å kunne leses fra Sentinel datasjøen.

Opprette en ADLS Gen 2-koblingsforekomst

Klargjør lagringskontoen før du oppretter koblingen:

Hvis du oppretter en ny lagringskonto, må du kontrollere at innstillingen for hierarkiske navneområder er aktivert.
Tilordne rollen Dataleser for lagringsblob til tjenestekontohaveren du opprettet tidligere. Hvis du vil ha mer informasjon om hvordan du gir tilgang gjennom Azure Portal, kan du se Tilordne Azure roller ved hjelp av Azure Portal - Azure RBAC.
Velg Azure Data Lake Storage pådataforbundskatalogsiden>.
Velg Koble til en kobling.

Konfigurer følgende navn og tilkoblingsdetaljer:

Felt	Beskrivelse
Forekomstnavn	Et egendefinert navn for denne koblingsforekomsten. Forekomstnavnet legges til tabellnavnene i innsjøen.
Program-ID (klient)	GUID for tjenestekontohaveren med tilgang til Key Vault og måldatakilden.
Azure Key Vault URI	URI for Key Vault som inneholder godkjenningshemmeligheten for tjenestekontohaveren.
Hemmelig navn	Navnet på hemmeligheten i Key Vault som inneholder klienthemmeligheten til tjenestekontohaveren
Azure Data Lake Storage URL-adresse	URL-adressen til ADLS Gen 2-endepunktet (må være offentlig tilgjengelig)

Velg Neste for å fortsette.
Velg tabellene du vil samle fra ADLS Gen 2-lagringskontoen.
Bla gjennom de tilgjengelige tabellene i ADLS Gen 2-lagringsplassen.
Velg minst én tabell å samle.
Velg Neste for å fortsette.
Når du har valgt tabellene, kan du se gjennom konfigurasjonsinnstillingene.
Velg Koble til for å opprette koblingsforekomsten.
Hvis du må gjøre endringer, velger du Tilbake for å gå tilbake til tidligere trinn.

Velg Koble til for å fullføre oppsettet for ADLS Gen 2-koblingsforekomsten. Veiviseren lukkes, og forekomstantallet for Azure Data Lake Storage Gen2 øker.

Opprette en Azure Databricks-koblingsforekomst

Før du oppretter koblingen, må du konfigurere tilgang i Databricks-miljøet på følgende måte:

Velg katalogen du vil koble til fra Microsoft Sentinel datasjøen, i Azure Databricks.
Velg tannhjulikonet for katalogen, og velg Metastore.
Angi Ekstern datatilgang til Aktivert på detaljersiden for metalageret.
Velg Tillatelser i katalogen du er i forbund med, og velg deretter Gi.
Søk etter tjenestekontohaveren du opprettet tidligere.
Gi tjenestekontohaveren rettigheten for dataleseren forhåndsinnstilt, og velg tillatelsen Eksternt bruksskjema , og velg Bekreft.
Velg kontoen din øverst til høyre på Azure Databricks-skjermen, og velg Innstillinger.
Velg Behandle-knappen ved siden av Tjenestekontohavere under Identitet og tilgang.
Velg Legg til tjenestekontohaver
Bruk boksen Tjenestekontohaver til å velge en eksisterende hovedstol.
Velg tjenestekontohaveren du opprettet tidligere, og velg Legg til.

Opprett koblingsforekomsten

Velg raden Azure Databricks på dataforbundskatalogen>.
Velg Koble til en kobling i sidepanelet.

Skriv inn følgende detaljer:

Felt	Beskrivelse
Forekomstnavn	Et egendefinert navn for denne koblingsforekomsten
Hoved-ID	GUID for tjenestekontohaver med Key Vault tilgang
Azure Key Vault URI	URI for Key Vault som inneholder godkjenningshemmeligheten
Hemmelig navn	Navnet på hemmeligheten i Key Vault som inneholder databricks-tilkoblingsinformasjonen
Nettadresse for Databricks	NETTADRESSEn til Azure Databricks-forekomsten (må være offentlig tilgjengelig)
Katalognavn	Navnet på katalogen i Azure Databricks å samle
Skjemanavn	Navnet på skjemaet i Azure Databricks å samle

Velg Neste.
Velg tabellene du vil samle fra Azure Databricks-forekomsten.
Velg Neste for å fortsette.
Se gjennom konfigurasjonsinnstillingene.
Velg Koble til for å opprette koblingsforekomsten.
Hvis du må gjøre endringer, velger du Tilbake for å gå tilbake til tidligere trinn.

Når du har valgt Koble til, lukkes veiviseren, og forekomstantallet for Databricks øker.

Bekreft tabeller fra koblingsforekomsten

Når du har opprettet en koblingsforekomst, kontrollerer du at tabellene du har samlet, er tilgjengelige i Microsoft Sentinel.

Gå til Microsoft Sentinel > konfigurasjonstabeller>.
Filtrer etter type i organisasjonsforbund for å se alle tabeller i forbund.
Søk etter navnet på koblingsforekomsten.
Tabeller fra koblingsforekomsten er oppført med navnet etterfulgt av _instance name. Hvis for eksempel navnet på datakoblingsforekomsten var GlobalHRData og tabellen ble kalt hrlogs, vises tabellnavnet som hrlogs_GlobalHRData.
Velg en tabell fra listen for å åpne detaljpanelet.
Velg Oversikt-fanen for å se tabelltypen og forbundsleverandøren.
Velg Datakilde-fanen for å se dataleverandøren for tilkoblingsforekomst og kildeproduktet for tabellen. Hvis du velger navnet på koblingsforekomsten, kommer du til denne forekomsten i Mine koblinger i Datakoblinger.
Velg Skjema-fanen for å se tabellskjemaet.
Velg Oppdater på Skjema-fanen for å oppdatere tabellskjemaet som er knyttet til den forbundstabellen.

Behandle koblingsforekomster

Slik endrer eller sletter du en koblingsforekomst:

Gå tilSiden Mine koblinger for dataforbund>.
Velg koblingsforekomsten du vil administrere.
Bruk de tilgjengelige alternativene i detaljpanelet til å:
- Rediger tilkoblingsinnstillinger
- Legge til eller fjerne forbundstabeller
- Slette koblingsforekomsten

Obs!

Tilkoblingsforekomster for Microsoft Fabric støtter ikke redigering. Du kan opprette en ny forbundstilkobling for å legge til flere tabeller, eller du kan slette fabric-tilkoblingsforekomsten og gjenopprette den med samme forekomstnavn og et annet sett med tabeller valgt.

Feilsøking

Tilkoblingen mislykkes

Kontroller at den Sentinel plattformadministrerte identiteten som er prefikset medmsg-resources-, har de riktige tillatelsene på Azure Key Vault.
Hvis tilkoblingskilden er Azure Databricks eller Azure Data Lake Storage Gen2, må du kontrollere at Key Vault hemmelighet inneholder den riktige klienthemmeligheten for tjenestekontohaveren.
Det Key Vault nettverket må være satt til Tillat offentlig tilgang fra alle nettverk under tilkoblingskonfigurasjonen, som er standardkonfigurasjonen for Key Vault. Den kan endres etter at koblingen er opprettet eller redigert.
Bekreft at den eksterne datakilden er offentlig tilgjengelig.
Kontroller at tjenestekontohaveren har riktige tillatelser for måldatakilden for Azure Databricks og ADLS.
Hvis måldatakilden er Fabric, må du kontrollere at prefiksidentiteten msg-resources- for Microsoft Sentinel ble gitt tillatelse som arbeidsområdemedlem.
Kontroller at du ikke har mer enn 100 tilkoblingsforekomster.

Obs!

ADLS og Azure Databricks bruker én tilkoblingsforekomst per forbundstilkobling. Fabric kan bruke flere forekomster per forbundstilkobling. For Fabric teller hvert lakehouse-skjema i din forbundstilkobling mot grensen på 100 forekomster.

Tabeller vises ikke

Kontroller at tjenestekontohaveren har lesetilgang til måltabellene for ADLS og Azure Databricks, og at tjenestekontohaveren er i samme leier som disse datakildene.
For Databricks må du sørge for at du har gitt både det innebygde forhåndssettet for dataleserrettigheter pluss tillatelsen eksternt bruksskjema til tjenestekontohaveren.
Bekreft at rollen Storage Blob Data Reader er tilordnet tjenestekontohaveren for ADLS Gen 2.

Problemer med spørringsytelse

Vurder størrelsen på dataene som spørres fra eksterne kilder.
Optimaliser spørringer for å filtrere data tidlig.
Kontroller nettverkstilkoblingen mellom Sentinel og den eksterne kilden.

Neste trinn

Tilbakemeldinger

Var denne siden nyttig?

Last updated on 2026-04-23

Konfigurere forbundsdatakoblinger i Microsoft Sentinel datasjø

Forutsetninger

Opprett en tjenestekontohaver

Opprette en Azure Key Vault og lagre legitimasjon

Organisasjonsbaserte datakoblinger

Opprette en koblingsforekomst

Opprette en Microsoft Fabric-koblingsforekomst

Bekreft tabeller fra koblingsforekomsten

Behandle koblingsforekomster

Feilsøking

Tilkoblingen mislykkes

Tabeller vises ikke

Problemer med spørringsytelse

Neste trinn

Tilbakemeldinger

Flere ressurser