Open in app

Sign in

Write

Sign in

MS Sentinel資料連接器

透過微軟內建的資料連接器,將資料傳送至 Microsoft Sentinel 工作區。資料連接器包含在適用於 Microsoft 365 服務、Azure 和第三方特定服務的開箱即用 (OOTB — out-of-the-box) 或內建Content Hub解決方案中。

使用資料連接器匯入資料

若要收集日誌資料,需要使用 Microsoft Sentinel 資料連接器連接資料來源。資料連接器包含在 Microsoft Sentinel 提供的Content Hub解決方案中。

安裝Content Hub解決方案後,已安裝的資料連接器將顯示在 Microsoft Sentinel 中的「Configuration | Data connectors」下。資料連接器選單部分。當選擇「Open connector」頁面時,詳細的連接器頁面將被分割並具有左半部和右半部。

左半部提供有關連接器、連接器狀態以及上次接收日誌(如果已連接)的資訊。左側底部是資料類型。資料類型列出了連接器寫入的tables。

右半部分有一個“說明”選項。說明選項可能因連接器而異。一般來說,有先決條件和配置。依照配置連接到資料來源。 「Next steps」頁籤提供workbook、查詢範例和分析範本的快速參考。資料連接器只能disconnected/deactivated,而不能刪除。

Data connector providers

Microsoft Defender XDR 資料連接器提供來自 Microsoft Defender XDR 產品的告警、事件和原始資料,包括(但不限於):

  • Microsoft Defender for Endpoint
  • Microsoft Defender for Identity
  • Microsoft Defender for Office 365
  • Microsoft Defender for Cloud Apps

Microsoft 和 Azure 相關服務的連接器包括(但不限於):

  • Microsoft Entra ID
  • Azure Activity
  • Microsoft Entra ID Protection
  • Azure DDoS Protection
  • Microsoft Defender for IoT
  • Azure Information Protection
  • Azure Firewall
  • Microsoft Defender for Cloud
  • Azure Web Application Firewall (WAF) (formerly Microsoft WAF)
  • Domain name server
  • Office 365
  • Windows firewall
  • Security Events

Microsoft Sentinel 也提供第三方的資料連接器清單。這些連接器主要使用 CEF 和 Syslog 連接器作為基礎。也可以使用 Log Analytics 資料收集器 API 將日誌資料傳送至 Microsoft Sentinel Log Analytics 工作區。

使用適用於 Logstash data collection engine的 Microsoft Sentinel output plugin,可以透過 Logstash 將所需的任何日誌直接傳送到 Microsoft Sentinel 中的 Log Analytics 工作區。日誌將寫入使用output plugin定義的自訂table中。

CEF(Common Event Format)與Syslog connector

如果沒有第三方供應商提供的連接器,可以使用CEF或 Syslog 連接器。

Syslog 是 Linux 通用的事件日誌記錄協定。應用程式發送的訊息可能儲存在本機電腦上或傳遞到系統日誌收集器。

CEF是 Syslog 訊息之上的業界標準格式,許多安全供應商使用它來允許不同平台之間的事件互通。

使用CEF格式會更好 ,因為日誌資料直接被匯入到 CommonSecurityLog table中的預定義欄位中。 Syslog 提供header fields,但原始日誌訊息儲存在 Syslog table中名為 SyslogMessage 的欄位中。對於要查詢的Syslog資料,需要編寫一個Parser來提取特定欄位。

Connector architecture options

若要將 CEF 或 Syslog Collector 連線至 Microsoft Sentinel,Agent必須部署在專用的 Azure 虛擬機器 (VM) 或地端系統上,以支援裝置與 Microsoft Sentinel 的通訊。可以自動或手動部署agent。只有當專用電腦連接到 Azure Arc 或是 Azure 中的虛擬機器時,自動部署才可用。

下圖說明了本機系統將 Syslog 資料傳送到執行 Microsoft Sentinel agent的專用 Azure VM。

或者,可以在現有 Azure VM、另一個雲端中的 VM 或地端電腦上手動部署agent。下圖說明了地端系統將 Syslog 資料傳送到執行 Microsoft Sentinel agent的專用地端系統。

View connected hosts

資料連接器頁面顯示已安裝的連接器,可過濾以顯示狀態為「已連線」的連接器。 Log Analytics 工作區中提供了與agent連接的 Windows 和 Linux 主機的計數。若要查看已連線的主機,請執行下列步驟:

  1. Select Settings
  2. Workspace Settings (this selection transfers you to Log Analytics)
  3. In Log Analytics Settings area, select Agents
  4. There are two tabs to view — one for Windows another for Linux.
資安
Siem
Microsoft Sentinel

--

--

運用"雲端服務"加速企業的數位轉型願景
運用"雲端服務"加速企業的數位轉型願景

Written by 運用"雲端服務"加速企業的數位轉型願景

405 Followers
1 Following

我們協助您駕馭名為"雲端運算"的怪獸,馴服它為您所用。諮詢請來信jason.kao@suros.com.tw. https://facebook.com/jason.kao.for.cloud

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams