Sentinel 连接数据源
若要载入 Azure Sentinel,首先需要连接到数据源。 Azure Sentinel 随附许多适用于 Microsoft 解决方案的现成可用的连接器,提供实时集成(包括 Microsoft 威胁防护解决方案)和 Microsoft 365 源(包括 Office 365、Azure AD、Azure ATP 和 Microsoft Cloud App Security,等等)。 此外,内置的连接器可以拓宽非 Microsoft 解决方案的安全生态系统。 也可以使用常用事件格式 Syslog 或 REST-API 将数据源与 Azure Sentinel 相连接。
-
在菜单上,选择“数据连接器” 。 通过此页,可以查看 Azure Sentinel 提供的连接器及其状态的完整列表。 选择要连接的连接器,然后选择“打开连接器页” 。
-
在特定连接器页上,确保已满足所有先决条件,并按照相关说明将数据连接到 Azure Sentinel。 可能需要一段时间才能让日志开始与 Azure Sentinel 保持同步。 在连接后,可以在“收到的数据”图 中查看数据摘要,以及数据类型的连接状态。
-
单击“后续步骤” 选项卡,以获取 Azure Sentinel 针对特定数据类型提供的现成内容的列表。
数据连接方法
Azure Sentinel 支持以下数据连接方法:
-
Microsoft 服务:
Microsoft 服务原生是互连的。利用 Azure 基础服务的现成集成,只需单击几点鼠标就能连接以下解决方案: -
通过 API 连接外部解决方案:可以使用联网数据源提供的 API 连接某些数据源。 一般情况下,大多数安全技术都会提供一组 API,通过这些 API 可以检索事件日志。这些 API 连接到 Azure Sentinel,收集特定的数据类型并将其发送到 Azure Log Analytics。 通过 API 连接的设备包括:
-
通过代理连接外部解决方案:可以通过代理使用 Syslog 协议将 Azure Sentinel 连接到可执行实时日志流式处理的其他所有数据源。
大部分设备使用 Syslog 协议发送包含日志本身以及日志相关数据的事件消息。 日志格式各不相同,但大部分设备都支持基于通用事件格式 (CEF) 的日志数据格式。
基于 Log Analytics 代理的 Azure Sentinel 代理会将 CEF 格式的日志转换为可供 Log Analytics 引入的格式。 根据设备类型,可以直接在设备上安装代理,或者在专用的 Linux 服务器上安装代理。 适用于 Linux 的代理通过 UDP 从 Syslog 守护程序接收事件,但如果预期 Linux 计算机需要收集大量的 Syslog 事件,则会通过 TCP 将这些事件从 Syslog 守护程序发送到代理,然后从代理发送到 Log Analytics。
代理连接选项
若要将外部设备连接到 Azure Sentinel,代理必须部署在专用计算机上(VM 或本地),以支持设备与 Azure Sentinel 之间的通信。 可以自动或手动部署代理。 仅当专用计算机是在 Azure 中创建的新 VM 时,才能进行自动部署。
或者,可以在现有的 Azure VM 上、在其他云中的 VM 上或者在本地计算机上手动部署代理。
使用 Azure Sentinel 连接选项映射数据类型
| 数据类型 | 如何连接 | 数据连接器? | 注释 |
|---|---|---|---|
| AWSCloudTrail | 连接 AWS | V | |
| AzureActivity | 连接 Azure 活动和活动日志概述 | V | |
| AuditLogs | 连接 Azure AD | V | |
| SigninLogs | 连接 Azure AD | V | |
| AzureFirewall | Azure 诊断 | V | |
| InformationProtectionLogs_CL |
Azure 信息保护报告 连接 Azure 信息保护 |
V | 除数据类型外,这通常还使用 InformationProtectionEvents 函数。 有关详细信息,请参阅如何修改报告和创建自定义查询 |
| AzureNetworkAnalytics_CL | 流量分析架构 流量分析 | ||
| CommonSecurityLog | 连接 CEF | V | |
| OfficeActivity | 连接 Office 365 | V | |
| SecurityEvents | 连接 Windows 安全事件 | V | 有关不安全协议工作簿的信息,请参阅不安全协议工作簿设置 |
| Syslog | 连接 Syslog | V | |
| Microsoft Web 应用程序防火墙 (WAF) - (AzureDiagnostics) | 连接 Microsoft Web 应用程序防火墙 | V | |
| SymantecICDx_CL | 连接 Symantec | V | |
| ThreatIntelligenceIndicator | 连接威胁智能 | V | |
| VMConnection ServiceMapComputer_CL ServiceMapProcess_CL |
Azure Monitor 服务映射 Azure Monitor VM 见解载入 启用 Azure Monitor VM 见解 使用单一 VM 载入 通过 Policy 使用载入 |
X | VM 见解工作簿 |
| DnsEvents | 连接 DNS | V | |
| W3CIISLog | 连接 IIS 日志 | X | |
| WireData | 连接 Wire Data | X | |
| WindowsFirewall | 连接 Windows 防火墙 | V | |
| AADIP SecurityAlert | 连接 Azure AD 标识保护 | V | |
| AATP SecurityAlert | 连接 Azure ATP | V | |
| ASC SecurityAlert | 连接 Azure 安全中心 | V | |
| MCAS SecurityAlert | 连接 Microsoft Cloud App Security | V | |
| SecurityAlert | |||
| Sysmon(事件) |
连接 Sysmon 连接 Windows 事件 获取 Sysmon 分析程序 |
X | 默认情况下,虚拟机上未安装 Sysmon 集合。 有关如何安装 Sysmon 代理的详细信息,请参阅 Sysmon。 |
| ConfigurationData | 自动执行 VM 清单 | X | |
| ConfigurationChange | 自动执行 VM 跟踪 | X | |
| F5 BIG-IP | 连接 F5 BIG-IP | X | |
| McasShadowItReporting | X | ||
| Barracuda_CL | 连接 Barracuda | V |
后续步骤
- 若要开始使用 Azure Sentinel,需要订阅 Microsoft Azure。 如果尚无订阅,可注册免费试用版。
- 了解如何将数据载入到 Azure Sentinel,以及获取数据和潜在威胁的见解。