Konfigurera federerade dataanslutningar i Microsoft Sentinel datasjö

Den här artikeln beskriver hur du konfigurerar federerade dataanslutningar för att aktivera frågor mot externa datakällor från Microsoft Sentinel Data Lake. Du kan federera med Azure Databricks, Azure Data Lake Storage (ADLS) Gen 2 och Microsoft Fabric.

Förhandskrav

Kontrollera att du uppfyller följande krav innan du konfigurerar datafederation:

  • Sentinel data lake onboarding: Din klientorganisation måste vara registrerad i Sentinel datasjön. Mer information finns i Publicera för att Microsoft Sentinel datasjö.

  • Offentlig tillgänglighet: Den externa källan måste vara offentligt tillgänglig. Privata slutpunkter stöds inte för närvarande.

  • Tjänstens huvudnamn: Ett huvudnamn för tjänsten med lämpliga behörigheter i den datakälla som du vill ansluta till krävs för Azure Databricks och Azure Data Lake Storage Gen2 källor. Mer information finns i Microsoft Entra ID appregistreringar.

  • Azure Key Vault: En Azure Key Vault som konfigurerats med klienthemligheten för tjänstens huvudnamn krävs. Den Microsoft Sentinel programidentiteten behöver behörigheter som tilldelats till nyckelvalvet. Mer information om hur du konfigurerar Azure Nyckelvalv finns i Azure Key Vaults.

  • Microsoft Sentinel behörigheter: Databehörigheter (hantera) för systemtabeller för att konfigurera en datafederationsanslutning. Mer information finns i Roller och behörigheter på Microsoft Sentinel-plattformen.

Skapa ett huvudnamn för tjänsten

För Azure Databricks- och ADLS Gen 2-federation behöver du ett huvudnamn för tjänsten med autentiseringsuppgifter som lagras i Azure Key Vault. Du kan använda ett befintligt huvudnamn för tjänsten eller använda följande steg för att skapa ett nytt huvudnamn för tjänsten.

  1. Skapa en Microsoft Entra ID programregistrering:

    1. I Azure Portal går du till Microsoft Entra ID>Appregistreringar.
    2. Välj Ny registrering.
    3. Ange ett namn för programmet.
    4. Lämna omdirigerings-URI:n tom (krävs inte för det här scenariot).
    5. Välj Registrera.

  2. Skapa en klienthemlighet:

    1. I appregistreringen går du till Certifikat & hemligheter.
    2. Välj Ny klienthemlighet.
    3. Ange en beskrivning och välj en förfalloperiod.
    4. Välj Lägg till.
    5. Kopiera klienthemlighetsvärdet omedelbart för användning i nästa avsnitt. Du kan inte hämta det här värdet när du har lämnat sidan.

  3. Observera programinformationen:

    • Program-ID (klient)
    • Objekt-ID
    • Katalog-ID (klientorganisation)

Mer information om hur du skapar tjänstens huvudnamn finns i Microsoft Entra ID appregistreringar.

Skapa en Azure Key Vault och lagra autentiseringsuppgifter

Du kan använda en befintlig Azure Key Vault och följa stegen nedan för att konfigurera Key Vault åtkomst, eller skapa en ny Key Vault med hjälp av följande steg:

  1. Skapa en Azure Key Vault:

    1. Skapa en ny Azure Key Vault i Azure Portal.
    2. Använd behörighetsmodellen Azure rollbaserad åtkomstkontroll (rekommenderas).
    3. Aktivera inställningar för mjuk borttagning och rensningsskydd för nyckelvalvet.
    4. Observera Key Vault URI när du har skapat den.

  2. Konfigurera Key Vault åtkomst:

    1. Tilldela användarrollen Key Vault hemligheter till Microsoft Sentinel-plattformens hanterade identitet. Identiteten har prefixet msg-resources-.
    2. Om du använder åtkomstprinciper för Key Vaults i stället för Azure rollbaserad åtkomstkontroll anger du behörigheterna för Hämta och Lista för hemliga hanteringsåtgärder.

  3. Lagra klienthemligheten i Key Vault:

    1. I Key Vault går du tillGenerera/importerahemligheter>.
    2. Skapa en ny hemlighet som innehåller tjänstens huvudnamns klienthemlighet.
    3. Anteckna det hemliga namnet. Den används när du konfigurerar datafederationsanslutningsinstansen.

Mer information om hur du konfigurerar Azure Nyckelvalv finns i Azure Key Vaults.

Federerade dataanslutningar

Federerade anslutningsappar hanteras på sidan Dataanslutningar i Microsoft Sentinel på Defender-portalen.

  1. Gå till Microsoft Sentinel>Konfigurationsdataanslutningsprogram>.

  2. Under Datafederation väljer du Katalog för att visa tillgängliga federerade anslutningsappar.

    Katalogsidan visar:

    • Tillgängliga typer av federationsanslutningsappar
    • Antal konfigurerade instanser för varje anslutningsapp
    • Information om utgivare och support

    Skärmbild som visar datafederationskatalogen med tillgängliga anslutningsappar.

  3. Välj sidan Mina anslutningsappar om du vill visa alla konfigurerade anslutningsinstanser. Sidan visar klientorganisationens datafederationsanslutningsinstanser tillsammans med deras visningsnamn, version, status och supportleverantör.

  4. Välj varje instans om du vill visa information, redigera konfigurationer eller ta bort instansen.

Skärmbild som visar sidan Mina anslutningsappar med konfigurerade federationsinstanser.

Skapa en anslutningsinstans

Processen för att skapa en anslutningsinstans varierar beroende på den externa datakälla som du ansluter till. Följ anvisningarna för din specifika typ av datakälla.

Skapa en Instans av Microsoft Fabric-anslutningsappen

Innan du konfigurerar fabric-anslutningsinstansen måste du konfigurera behörigheter i Microsoft Fabric-miljön så att Microsoft Sentinel kan komma åt data.

  • Konfigurera administratörsinställningarna i Microsoft Fabric så att klientorganisationen är aktiverad för extern datadelning. Mer information finns i Skapa en extern dataresurs

  • Konfigurera administratörsinställningarna i Microsoft Fabric så att inställningen är aktiverad för Tjänstens huvudnamn kan anropa offentliga API:er för Infrastruktur. Mer information finns i Tjänstens huvudnamn kan anropa offentliga API:er för Infrastrukturresurser

  • Lägg till Sentinel plattformsidentitet, prefixet med msg-resources- som arbetsytemedlem på Lakehouse som du vill federera tabeller från. Mer information finns i Ge åtkomst till arbetsytor.

  1. På sidan Datafederationskatalog> väljer du raden Microsoft Fabric.

  2. Välj Anslut en anslutningsapp på sidopanelen.

  3. Ange följande information:

    Fält Beskrivning
    Instansnamn Ett eget namn för den här anslutningsinstansen. Det här instansnamnet läggs till i tabellerna som representeras i sjön från den här instansen.
    Arbetsyte-ID för infrastruktur ID för arbetsytan Infrastruktur som ska federeras. När du navigerar till arbetsytan Infrastruktur eller Lakehouse finns arbetsytans ID i URL:en efter /groups/
    Lakehouse tabell-ID ID för tabellen Fabric Lakehouse som ska federeras. När du navigerar till Fabric Lakehouse visas lakehouse-ID:t i URL:en efter /lakehouses/.

  4. Välj Nästa.

    Skärmbild av formuläret för Anslutningsinformation för Microsoft Fabric.

  5. Välj de tabeller som du vill federera.

  6. Välj Nästa.

  7. Granska konfigurationen av federationsmål.

  8. Välj Anslut för att skapa anslutningsinstansen.

Obs!

Filerna i måldatakällan måste vara i deltaparquet-format för att läsas från den Sentinel datasjön.

Verifiera tabeller från din anslutningsinstans

När du har skapat en anslutningsinstans kontrollerar du att tabellerna som du federerade är tillgängliga i Microsoft Sentinel.

  1. Gå till Microsoft Sentinel > konfigurationstabeller>.

  2. Filtrera efter typ federerad för att se alla federerade tabeller.

  3. Sök efter namnet på anslutningsappens instans.

  4. Tabeller från din anslutningsinstans visas med namnet följt av _instance name. Om ditt dataanslutningsinstansnamn till exempel var GlobalHRData och tabellen hette hrlogsvisas tabellnamnet som hrlogs_GlobalHRData.

  5. Välj en tabell i listan för att öppna informationspanelen.

  6. Välj fliken Översikt för att se tabelltyp och federationsprovider.

  7. Välj fliken Datakälla för att se dataprovidern för anslutningsinstansen och källprodukten för tabellen. Om du väljer namnet på anslutningsappens instans kommer du till den instansen i Mina anslutningsappar i Data connectors.

  8. Välj fliken Schema för att se tabellschemat.

  9. På fliken Schema väljer du Uppdatera för att uppdatera tabellschemat som är associerat med den federerade tabellen.

Skärmbild som visar schemat för federerad tabell.

Hantera anslutningsinstanser

Så här ändrar eller tar du bort en anslutningsinstans:

  1. Gå till sidan Datafederation>Mina anslutningsappar.
  2. Välj den anslutningsinstans som du vill hantera.
  3. I informationspanelen använder du de tillgängliga alternativen för att:
    • Redigera anslutningsinställningar
    • Lägga till eller ta bort federerade tabeller
    • Ta bort anslutningsinstansen

Obs!

Microsoft Fabric-anslutningsinstanser stöder inte redigering. Du kan skapa en ny federerad anslutning för att lägga till fler tabeller, eller så kan du ta bort infrastrukturresursanslutningsinstansen och återskapa den med samma instansnamn och en annan uppsättning tabeller valda.

Skärmbild som visar sidan Mina anslutningsappar.

Felsökning

Anslutningen misslyckas

  • Kontrollera att den Sentinel plattformshanterade identiteten som föregås av msg-resources- har rätt behörigheter för Azure Key Vault.

  • Om anslutningskällan är Azure Databricks eller Azure Data Lake Storage Gen2 kontrollerar du att den Key Vault hemligheten innehåller rätt klienthemlighet för tjänstens huvudnamn.

  • Key Vault nätverk måste anges till Tillåt offentlig åtkomst från alla nätverk under anslutningskonfigurationen, vilket är standardkonfigurationen för Key Vault. Den kan ändras när anslutningsappen har skapats eller redigerats.

  • Bekräfta att den externa datakällan är offentligt tillgänglig.

  • Kontrollera att tjänstens huvudnamn har rätt behörigheter för måldatakällan för Azure Databricks och ADLS.

  • Om måldatakällan är Infrastruktur kontrollerar du att den prefixerade identiteten msg-resources- för Microsoft Sentinel har beviljats behörighet som arbetsytemedlem.

  • Kontrollera att du inte har fler än 100 anslutningsinstanser.

Obs!

ADLS och Azure Databricks använder en anslutningsinstans per federerad anslutning. Infrastrukturresurser kan använda fler instanser per federerad anslutning. För Infrastrukturresurser räknas varje lakehouse-schema i din federerade anslutning mot gränsen på 100 instanser.

Tabeller visas inte

  • Kontrollera att tjänstens huvudnamn har läsbehörighet till måltabellerna för ADLS och Azure Databricks och att tjänstens huvudnamn finns i samma klientorganisation som dessa datakällor.

  • För Databricks ser du till att du beviljar både den inbyggda behörighetsinställningen dataläsare plus behörigheten Externt användningsschema till tjänstens huvudnamn.

  • För ADLS Gen 2 bekräftar du att rollen Storage Blob Data Reader har tilldelats tjänstens huvudnamn.

Problem med frågeprestanda

  • Överväg storleken på data som efterfrågas från externa källor.

  • Optimera frågor för att filtrera data tidigt.

  • Kontrollera nätverksanslutningen mellan Sentinel och den externa källan.

Nästa steg

  • Last updated on