你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本文介绍如何与Microsoft Sentinel建立基于 API 的连接。 Microsoft Sentinel使用 Azure 基础为来自许多Azure和 Microsoft 365 服务、Amazon Web Services 和各种Windows Server服务的数据引入提供内置的服务到服务支持。 可通过几种不同的方法建立这些连接。
本文介绍一组基于 API 的数据连接器共有的信息。
注意
有关美国政府云中功能可用性的信息,请参阅美国政府客户的云功能可用性中的Microsoft Sentinel表。
先决条件
必须对 Log Analytics 工作区具有读取和写入权限。
你必须对Microsoft Sentinel工作区的租户具有安全管理员角色,或者具有等效的权限。
数据连接器特定要求:
数据连接器 许可、成本和其他先决条件 Microsoft Entra ID 保护 - Microsoft Entra ID P2 订阅
- 可能收取其他费用Dynamics 365 - Microsoft Dynamics 365生产许可证。 不适用于沙盒环境。
- 至少一个用户分配了Microsoft/Office 365 E1 或更高版本的许可证。
- 在 Microsoft Purview 中启用了审核日志记录。 请参阅 打开或关闭审核。
- 在 Microsoft Dataverse 环境中启用审核日志记录。 请参阅 Microsoft Dataverse 和模型驱动应用活动日志记录。
- 可能收取其他费用。Microsoft Defender for Cloud Apps 对于 Cloud Discovery 日志,请在 Microsoft Defender for Cloud Apps 中启用Microsoft Sentinel作为 SIEM Microsoft Defender for Endpoint Microsoft Defender for Endpoint部署的有效许可证 Microsoft Defender for Office 365 Office 365 ATP 计划 2 的有效许可证 Microsoft 365 - Microsoft 365 部署必须与Microsoft Sentinel工作区位于同一租户上。
- 可能收取其他费用。Microsoft Power BI - Office 365部署必须与Microsoft Sentinel工作区位于同一租户上。
- 可能收取其他费用。Microsoft Purview 信息保护 - Office 365部署必须与Microsoft Sentinel工作区位于同一租户上。
- 可能收取其他费用。Microsoft Purview 内部风险管理 (IRM) - Microsoft 365 E5/A5/G5 或其随附的合规性或 IRM 加载项的有效订阅。
- Microsoft Purview 内部风险管理完全加入,并且定义并生成警报的 IRM 策略。
- Microsoft 365 IRM 配置为允许将 IRM 警报导出到Office 365管理活动 API,以便通过Microsoft Sentinel连接器接收警报。
通过基于 API 的连接器连接到Microsoft服务
从Microsoft Sentinel导航菜单中,选择“数据连接器”。
从数据连接器库中选择服务,然后在预览窗格中选择“ 打开连接器页 ”。
选择“连接”,开始将服务中的事件和/或警报流式传输到Microsoft Sentinel。
如果在连接器页上有一个标题为 “创建事件 - 建议!”的部分,请选择 “启用 ”(如果想要从警报自动创建事件)。
可以使用“数据连接器引用”页中服务连接器部分中显示的表名查找和查询每个服务 的数据 。
相关内容
有关更多信息,请参阅: