玮科网站建设,湛江本地做网站,没有网站怎么做链接视频,微信小程序ui模板若要载入 Azure Sentinel#xff0c;首先需要连接到数据源。 Azure Sentinel 随附许多适用于 Microsoft 解决方案的现成可用的连接器#xff0c;提供实时集成#xff08;包括 Microsoft 威胁防护解决方案#xff09;和 Microsoft 365 源#xff08;包括 Office 365、Azure…若要载入 Azure Sentinel首先需要连接到数据源。 Azure Sentinel 随附许多适用于 Microsoft 解决方案的现成可用的连接器提供实时集成包括 Microsoft 威胁防护解决方案和 Microsoft 365 源包括 Office 365、Azure AD、Azure ATP 和 Microsoft Cloud App Security等等。 此外内置的连接器可以拓宽非 Microsoft 解决方案的安全生态系统。 也可以使用常用事件格式 Syslog 或 REST-API 将数据源与 Azure Sentinel 相连接。 在菜单上选择“数据连接器” 。 通过此页可以查看 Azure Sentinel 提供的连接器及其状态的完整列表。 选择要连接的连接器然后选择“打开连接器页” 。 在特定连接器页上确保已满足所有先决条件并按照相关说明将数据连接到 Azure Sentinel。 可能需要一段时间才能让日志开始与 Azure Sentinel 保持同步。 在连接后可以在“收到的数据”图 中查看数据摘要以及数据类型的连接状态。 单击“后续步骤” 选项卡以获取 Azure Sentinel 针对特定数据类型提供的现成内容的列表。
数据连接方法
Azure Sentinel 支持以下数据连接方法 Microsoft 服务 Microsoft 服务原生是互连的。利用 Azure 基础服务的现成集成只需单击几点鼠标就能连接以下解决方案 Office 365Azure AD 审核日志和登录Azure 活动Azure AD 标识保护Azure 安全中心Azure 信息保护Azure 高级威胁防护Cloud App SecurityWindows 安全事件Windows 防火墙 通过 API 连接外部解决方案可以使用联网数据源提供的 API 连接某些数据源。 一般情况下大多数安全技术都会提供一组 API通过这些 API 可以检索事件日志。这些 API 连接到 Azure Sentinel收集特定的数据类型并将其发送到 Azure Log Analytics。 通过 API 连接的设备包括 BarracudaSymantecCitrix Analytics安全 通过代理连接外部解决方案可以通过代理使用 Syslog 协议将 Azure Sentinel 连接到可执行实时日志流式处理的其他所有数据源。 大部分设备使用 Syslog 协议发送包含日志本身以及日志相关数据的事件消息。 日志格式各不相同但大部分设备都支持基于通用事件格式 (CEF) 的日志数据格式。 基于 Log Analytics 代理的 Azure Sentinel 代理会将 CEF 格式的日志转换为可供 Log Analytics 引入的格式。 根据设备类型可以直接在设备上安装代理或者在专用的 Linux 服务器上安装代理。 适用于 Linux 的代理通过 UDP 从 Syslog 守护程序接收事件但如果预期 Linux 计算机需要收集大量的 Syslog 事件则会通过 TCP 将这些事件从 Syslog 守护程序发送到代理然后从代理发送到 Log Analytics。 防火墙、代理和终结点 F5Check PointCisco ASAFortinetPalo Alto其他 CEF 设备其他 Syslog 设备Barracuda CloudGen 防火墙ExtraHop Reveal(x)One Identity SafeguardTrend Micro Deep SecurityDLP 解决方案威胁智能提供程序DNS 计算机 - 直接安装在 DNS 计算机上的代理Linux 服务器其他云
代理连接选项
若要将外部设备连接到 Azure Sentinel代理必须部署在专用计算机上VM 或本地以支持设备与 Azure Sentinel 之间的通信。 可以自动或手动部署代理。 仅当专用计算机是在 Azure 中创建的新 VM 时才能进行自动部署。 或者可以在现有的 Azure VM 上、在其他云中的 VM 上或者在本地计算机上手动部署代理。 使用 Azure Sentinel 连接选项映射数据类型
数据类型如何连接数据连接器注释AWSCloudTrail连接 AWSV AzureActivity连接 Azure 活动和活动日志概述V AuditLogs连接 Azure ADV SigninLogs连接 Azure ADV AzureFirewallAzure 诊断V InformationProtectionLogs_CLAzure 信息保护报告连接 Azure 信息保护V除数据类型外这通常还使用 InformationProtectionEvents 函数。 有关详细信息请参阅如何修改报告和创建自定义查询AzureNetworkAnalytics_CL流量分析架构 流量分析 CommonSecurityLog连接 CEFV OfficeActivity连接 Office 365V SecurityEvents连接 Windows 安全事件V有关不安全协议工作簿的信息请参阅不安全协议工作簿设置Syslog连接 SyslogV Microsoft Web 应用程序防火墙 (WAF) - (AzureDiagnostics)连接 Microsoft Web 应用程序防火墙V SymantecICDx_CL连接 SymantecV ThreatIntelligenceIndicator连接威胁智能V VMConnection ServiceMapComputer_CL ServiceMapProcess_CLAzure Monitor 服务映射Azure Monitor VM 见解载入 启用 Azure Monitor VM 见解 使用单一 VM 载入通过 Policy 使用载入XVM 见解工作簿DnsEvents连接 DNSV W3CIISLog连接 IIS 日志X WireData连接 Wire DataX WindowsFirewall连接 Windows 防火墙V AADIP SecurityAlert连接 Azure AD 标识保护V AATP SecurityAlert连接 Azure ATPV ASC SecurityAlert连接 Azure 安全中心V MCAS SecurityAlert连接 Microsoft Cloud App SecurityV SecurityAlert Sysmon事件连接 Sysmon连接 Windows 事件获取 Sysmon 分析程序X默认情况下虚拟机上未安装 Sysmon 集合。 有关如何安装 Sysmon 代理的详细信息请参阅 Sysmon。ConfigurationData自动执行 VM 清单X ConfigurationChange自动执行 VM 跟踪X F5 BIG-IP连接 F5 BIG-IPX McasShadowItReporting X Barracuda_CL连接 BarracudaV
后续步骤
若要开始使用 Azure Sentinel需要订阅 Microsoft Azure。 如果尚无订阅可注册免费试用版。了解如何将数据载入到 Azure Sentinel以及获取数据和潜在威胁的见解。
