Sentinel 连接数据源
若要載入 Azure Sentinel,首先需要連接到數據源。?Azure Sentinel 隨附許多適用于 Microsoft 解決方案的現成可用的連接器,提供實時集成(包括 Microsoft 威脅防護解決方案)和 Microsoft 365 源(包括 Office 365、Azure AD、Azure ATP 和 Microsoft Cloud App Security,等等)。?此外,內置的連接器可以拓寬非 Microsoft 解決方案的安全生態系統。?也可以使用常用事件格式 Syslog 或 REST-API 將數據源與 Azure Sentinel 相連接。
在菜單上,選擇“數據連接器” 。?通過此頁,可以查看 Azure Sentinel 提供的連接器及其狀態的完整列表。?選擇要連接的連接器,然后選擇“打開連接器頁” 。
在特定連接器頁上,確保已滿足所有先決條件,并按照相關說明將數據連接到 Azure Sentinel。?可能需要一段時間才能讓日志開始與 Azure Sentinel 保持同步。?在連接后,可以在“收到的數據”圖 中查看數據摘要,以及數據類型的連接狀態。
單擊“后續步驟” 選項卡,以獲取 Azure Sentinel 針對特定數據類型提供的現成內容的列表。
數據連接方法
Azure Sentinel 支持以下數據連接方法:
-
Microsoft 服務:
Microsoft 服務原生是互連的。利用 Azure 基礎服務的現成集成,只需單擊幾點鼠標就能連接以下解決方案:- Office 365
- Azure AD 審核日志和登錄
- Azure 活動
- Azure AD 標識保護
- Azure 安全中心
- Azure 信息保護
- Azure 高級威脅防護
- Cloud App Security
- Windows 安全事件
- Windows 防火墻
-
通過 API 連接外部解決方案:可以使用聯網數據源提供的 API 連接某些數據源。?一般情況下,大多數安全技術都會提供一組 API,通過這些 API 可以檢索事件日志。這些 API 連接到 Azure Sentinel,收集特定的數據類型并將其發送到 Azure Log Analytics。?通過 API 連接的設備包括:
- Barracuda
- Symantec
- Citrix Analytics(安全)
-
通過代理連接外部解決方案:可以通過代理使用 Syslog 協議將 Azure Sentinel 連接到可執行實時日志流式處理的其他所有數據源。?
大部分設備使用 Syslog 協議發送包含日志本身以及日志相關數據的事件消息。?日志格式各不相同,但大部分設備都支持基于通用事件格式 (CEF) 的日志數據格式。?
基于 Log Analytics 代理的 Azure Sentinel 代理會將 CEF 格式的日志轉換為可供 Log Analytics 引入的格式。?根據設備類型,可以直接在設備上安裝代理,或者在專用的 Linux 服務器上安裝代理。?適用于 Linux 的代理通過 UDP 從 Syslog 守護程序接收事件,但如果預期 Linux 計算機需要收集大量的 Syslog 事件,則會通過 TCP 將這些事件從 Syslog 守護程序發送到代理,然后從代理發送到 Log Analytics。- 防火墻、代理和終結點:
- F5
- Check Point
- Cisco ASA
- Fortinet
- Palo Alto
- 其他 CEF 設備
- 其他 Syslog 設備
- Barracuda CloudGen 防火墻
- ExtraHop Reveal(x)
- One Identity Safeguard
- Trend Micro Deep Security
- DLP 解決方案
- 威脅智能提供程序
- DNS 計算機?- 直接安裝在 DNS 計算機上的代理
- Linux 服務器
- 其他云
- 防火墻、代理和終結點:
代理連接選項
若要將外部設備連接到 Azure Sentinel,代理必須部署在專用計算機上(VM 或本地),以支持設備與 Azure Sentinel 之間的通信。?可以自動或手動部署代理。?僅當專用計算機是在 Azure 中創建的新 VM 時,才能進行自動部署。
或者,可以在現有的 Azure VM 上、在其他云中的 VM 上或者在本地計算機上手動部署代理。
使用 Azure Sentinel 連接選項映射數據類型
| AWSCloudTrail | 連接 AWS | V | ? |
| AzureActivity | 連接 Azure 活動和活動日志概述 | V | ? |
| AuditLogs | 連接 Azure AD | V | ? |
| SigninLogs | 連接 Azure AD | V | ? |
| AzureFirewall | Azure 診斷 | V | ? |
| InformationProtectionLogs_CL | Azure 信息保護報告 連接 Azure 信息保護 | V | 除數據類型外,這通常還使用?InformationProtectionEvents?函數。?有關詳細信息,請參閱如何修改報告和創建自定義查詢 |
| AzureNetworkAnalytics_CL | 流量分析架構?流量分析 | ? | ? |
| CommonSecurityLog | 連接 CEF | V | ? |
| OfficeActivity | 連接 Office 365 | V | ? |
| SecurityEvents | 連接 Windows 安全事件 | V | 有關不安全協議工作簿的信息,請參閱不安全協議工作簿設置 |
| Syslog | 連接 Syslog | V | ? |
| Microsoft Web 應用程序防火墻 (WAF) - (AzureDiagnostics) | 連接 Microsoft Web 應用程序防火墻 | V | ? |
| SymantecICDx_CL | 連接 Symantec | V | ? |
| ThreatIntelligenceIndicator | 連接威脅智能 | V | ? |
| VMConnection? ServiceMapComputer_CL ServiceMapProcess_CL | Azure Monitor 服務映射 Azure Monitor VM 見解載入? 啟用 Azure Monitor VM 見解? 使用單一 VM 載入 通過 Policy 使用載入 | X | VM 見解工作簿 |
| DnsEvents | 連接 DNS | V | ? |
| W3CIISLog | 連接 IIS 日志 | X | ? |
| WireData | 連接 Wire Data | X | ? |
| WindowsFirewall | 連接 Windows 防火墻 | V | ? |
| AADIP SecurityAlert | 連接 Azure AD 標識保護 | V | ? |
| AATP SecurityAlert | 連接 Azure ATP | V | ? |
| ASC SecurityAlert | 連接 Azure 安全中心 | V | ? |
| MCAS SecurityAlert | 連接 Microsoft Cloud App Security | V | ? |
| SecurityAlert | ? | ? | ? |
| Sysmon(事件) | 連接 Sysmon 連接 Windows 事件 獲取 Sysmon 分析程序 | X | 默認情況下,虛擬機上未安裝 Sysmon 集合。?有關如何安裝 Sysmon 代理的詳細信息,請參閱?Sysmon。 |
| ConfigurationData | 自動執行 VM 清單 | X | ? |
| ConfigurationChange | 自動執行 VM 跟蹤 | X | ? |
| F5 BIG-IP | 連接 F5 BIG-IP | X | ? |
| McasShadowItReporting | ? | X | ? |
| Barracuda_CL | 連接 Barracuda | V | ? |
后續步驟
- 若要開始使用 Azure Sentinel,需要訂閱 Microsoft Azure。?如果尚無訂閱,可注冊免費試用版。
- 了解如何將數據載入到 Azure Sentinel,以及獲取數據和潛在威脅的見解。
總結
以上是生活随笔為你收集整理的Sentinel 连接数据源的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 时隔20年经典回归:《仙剑客栈2》发售日
- 下一篇: Sentinel连接 Azure 活动日