Day26:今天来聊一下使用资料连接器将资料连接到Azure Sentinel

透过设定提供的资料连接器,可以将资料传送至Azure Sentinel工作区。

内含的资料连接器分别适用於Microsoft 365服务、Azure和协力厂商。

我们若要收集记录资料,必须将资料来源连接到Azure Sentinel连接器。

选取 [开启连接器] 页面之後，详细的[连接器]页面会显示一个左窗格和一个右窗格。

左窗格会提供连接器的相关资讯、连接器的状态，以及在连接状态下最後收到记录档的时间。

左窗格的底部是资料类型。 资料类型会列出连接器写入的资料表。

Microsoft 365 Defender

Microsoft 365 Defender和相关的资料连接器会提供已在Microsoft 365 Defender入口网站

中标准化和使用的警示和资料。

Microsoft 365 Defender 的产品包括：

适用於端点的 Microsoft Defender/适用於身分识别的 Microsoft Defender

适用於 Office 365 的 Microsoft Defender/Microsoft Cloud App Security

Microsoft/Azure 服务

Microsoft 和 Azure 相关服务的连接器包含 (但不限於)：

Azure Active Directory - 稽核记录和登入记录 /Azure 活动

Azure AD Identity Protection / Azure DDoS 保护

适用於 IoT 的 Azure Defender (先前称为适用於 IoT 的 Azure 资讯安全中心)

Azure 资讯保护 /Azure 防火墙

Azure 资讯安全中心 - Azure Defender 解决方案的警示

Azure Web 应用程序防火墙 (WAF) (先前称为 Microsoft WAF)

Cloud App Security / 网域名称服务器

Office 365 / Windows 防火墙 /安全性事件

我们可以将代理程序手动部署到现有的Azure VM、另一个云端的 VM 或内部部署机器。

下图说明内部部署系统如何将Syslog资料传送至执行Azure Sentinel代理程序的专用内部部署系统。