你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
将Microsoft Sentinel载入工作区后,使用数据连接器开始将数据引入Microsoft Sentinel。 Microsoft Sentinel附带许多用于实时集成的Microsoft服务的现用连接器。 例如,Microsoft Defender XDR连接器是一种服务到服务连接器,用于集成来自Office 365、Microsoft Entra ID、Microsoft Defender for Identity 和 的数据Microsoft Defender for Cloud Apps。
内置连接器支持连接到非Microsoft产品更广泛的安全生态系统。 例如,使用 Syslog、通用事件格式 (CEF) 或 REST API 将数据源与Microsoft Sentinel连接。
注意
有关美国政府云中功能可用性的信息,请参阅美国政府客户的云功能可用性中的Microsoft Sentinel表。
重要
根据 2024 年公告,在 2026 年 9 月 14 日之后,将不再支持旧版 HTTP 数据收集器 API。 使用 HTTP 数据收集器 API 的数据源、自定义集成或连接器应转换为受支持的替代方法,以避免在此日期之后出现潜在的引入中断。
如果当前使用的是 HTTP 数据收集器 API,建议开始规划迁移到 日志引入 API 或 无代码连接器框架 (CCF) ,以确保数据引入不间断、可靠性、可伸缩性和长期支持。
Microsoft Sentinel数据湖的数据管理注意事项
合规性和数据管理规划中必须考虑以下注意事项:
GDPR 和数据保留
- 租户管理员可以使用分析层的清除功能行使 GDPR 权限。 这不会影响数据湖层。
- 无法从Sentinel数据湖中清除特定记录。 即使数据在源层或分析层中删除,Data Lake 也会在定义的保留期内保留引入的数据。
Purview 集成。 对 Purview 设置的更改对存储在Sentinel数据湖中的数据没有任何影响。
存储位置Sentinel数据湖存储位置由租户管理员选择,可能与源服务的主存储位置不同。
重要
2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel。
如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验。
随解决方案提供的数据连接器
Microsoft Sentinel解决方案提供打包的安全内容,包括数据连接器、工作簿、分析规则、playbook 等。 使用数据连接器部署解决方案时,可将数据连接器与同一部署中的相关内容一起获取。
“Microsoft Sentinel数据连接器”页列出了已安装或正在使用的数据连接器。
若要添加更多数据连接器,请从 内容中心安装与数据连接器关联的解决方案。 有关详细信息,请参阅以下文章:
- 查找Microsoft Sentinel数据连接器
- 关于Microsoft Sentinel内容和解决方案
- 发现和管理Microsoft Sentinel现装内容
- Microsoft Sentinel内容中心目录
- Microsoft Sentinel基于 ASIM) 域解决方案 (高级安全信息模型
创建自定义连接器
如果无法使用任何可用的现有解决方案将数据源连接到Microsoft Sentinel,请考虑创建自己的数据源连接器。 例如,许多安全解决方案提供一组 API,用于从其产品或服务中检索日志文件和其他安全数据。 这些 API 使用以下方法之一连接到 Microsoft Sentinel:
还可以直接使用 Azure Monitor 代理或 Logstash 创建自定义连接器。 有关详细信息,请参阅用于创建Microsoft Sentinel自定义连接器的资源。
基于代理的数据连接器集成
Microsoft Sentinel可以使用基于Microsoft Sentinel) 的 Azure Monitor 服务提供的代理 (从可以执行实时日志流式处理的任何数据源收集数据。 例如,大多数本地数据源使用基于代理的集成进行连接。
以下部分介绍基于代理的不同类型的Microsoft Sentinel数据连接器。 若要使用基于代理的机制配置连接,请按照每个Microsoft Sentinel数据连接器页中的步骤操作。
Syslog 和通用事件格式 (CEF)
可以使用 Azure Monitor 代理 (AMA) ,将基于 Linux 的 Syslog 支持设备的事件流式传输到 Microsoft Sentinel。 日志格式各不相同,但许多源支持基于 CEF 的格式设置。 根据设备类型,代理可以直接安装在设备上,也可以安装在基于Linux的专用日志转发器上。 AMA 通过 UDP 从 Syslog 守护程序接收纯 Syslog 或 CEF 事件消息。 Syslog 守护程序在内部将事件转发到代理,通过 TCP 或 UDS (Unix 域套接字) 进行通信,具体取决于版本。 然后,AMA 将这些事件传输到Microsoft Sentinel工作区。
下面是一个简单的流,演示如何Microsoft Sentinel流式传输 Syslog 数据。
- 设备的内置 Syslog 守护程序收集指定类型的本地事件,并将事件在本地转发到代理。
- 代理将事件流式传输到 Log Analytics 工作区。
- 配置成功后,Syslog 消息将显示在 Log Analytics Syslog 表中,CEF 消息显示在 CommonSecurityLog 表中。
有关详细信息,请参阅 Syslog 和通用事件格式 (CEF) 通过 AMA 连接器Microsoft Sentinel。
自定义日志
对于某些数据源,可以使用 Log Analytics 自定义日志收集代理在 Windows 或Linux计算机上以文件的形式收集日志。
若要使用 Log Analytics 自定义日志收集代理进行连接,请按照每个Microsoft Sentinel数据连接器页中的步骤进行操作。 成功配置后,数据会显示在自定义表中。
有关详细信息,请参阅通过 AMA 数据连接器自定义日志 - 配置数据引入以从特定应用程序Microsoft Sentinel。
数据连接器的服务到服务集成
Microsoft Sentinel使用 Azure 基础为Microsoft服务和 Amazon Web Services 提供现用的服务到服务支持。
有关详细信息,请参阅以下文章:
数据连接器支持
Microsoft和其他组织都创作Microsoft Sentinel数据连接器。 每个数据连接器都有Microsoft Sentinel的数据连接器页上列出的以下支持类型之一。
| 支持类型 | 说明 |
|---|---|
| Microsoft支持 | 应用于:
合作伙伴或社区支持Microsoft以外的任何一方创作的数据连接器。 |
| 合作伙伴支持 | 适用于Microsoft以外的参与方创作的数据连接器。 合作伙伴公司为这些数据连接器提供支持或维护。 合作伙伴公司可以是独立软件供应商、托管服务提供商 (MSP/MSSP) 、系统集成商 (SI) ,或者该数据连接器的Microsoft Sentinel页面上提供联系信息的任何组织。 对于合作伙伴支持的数据连接器的任何问题,请联系指定的数据连接器支持联系人。 |
| 社区支持 | 适用于由Microsoft或合作伙伴开发人员创作的数据连接器,这些开发人员在 Microsoft Sentinel 的数据连接器页上未列出数据连接器支持和维护联系人。 有关这些数据连接器的问题,可以在 gitHub 社区Microsoft Sentinel提交问题。 |
有关详细信息,请参阅 查找对数据连接器的支持。
后续步骤
有关数据连接器的详细信息,请参阅以下文章。
有关基本基础结构即代码 (IaC) Bicep、Azure 资源管理器 和 Terraform 用于在 Microsoft Sentinel 中部署数据连接器的参考,请参阅 Microsoft Sentinel 数据连接器 IaC 参考。