Udostępnij przez

Łączenie źródeł danych z usługą Microsoft Sentinel przy użyciu łączników danych

  • Dotyczy: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Aby połączyć źródła danych z usługą Microsoft Sentinel, należy zainstalować i skonfigurować łączniki danych. W tym artykule ogólnie wyjaśniono, jak zainstalować łączniki danych dostępne w centrum zawartości usługi Microsoft Sentinel w celu pozyskiwania i analizowania danych pod kątem ulepszonego wykrywania zagrożeń.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.

Począwszy od lipca 2026 r., wszyscy klienci korzystający z usługi Microsoft Sentinel w witrynie Azure Portal zostaną przekierowani do portalu usługi Defender i będą używać usługi Microsoft Sentinel tylko w portalu usługi Defender. Od lipca 2025 r. wielu nowych klientów jest automatycznie dołączanych i przekierowywanych do portalu usługi Defender.

Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz odpowiedni dostęp, a Ty lub ktoś w organizacji zainstaluje powiązane rozwiązanie.

Włączanie łącznika danych

Po zainstalowaniu przez Ciebie lub inną osobę w organizacji rozwiązania zawierającego potrzebny łącznik danych skonfiguruj łącznik danych, aby rozpocząć pozyskiwanie danych.

  1. W przypadku usługi Microsoft Sentinel w portalu usługi Defender wybierz pozycję Microsoft Sentinel>Konfiguracje>Łączniki danych. W przypadku usługi Microsoft Sentinel w witrynie Azure Portal w obszarze Konfiguracja wybierz pozycję Łączniki danych.

  2. Wyszukaj i wybierz łącznik. Jeśli nie widzisz żądanego łącznika danych, sprawdź ponownie, czy odpowiednie rozwiązanie jest zainstalowane w centrum zawartości.

  3. Wybierz pozycję Otwórz stronę łącznika.

  4. Przejrzyj wymagania wstępne dotyczące łącznika danych i upewnij się, że zostały spełnione.

  5. Wykonaj kroki opisane w sekcji Konfiguracje łącznika danych.

    W przypadku niektórych łączników zapoznaj się z bardziej szczegółowymi informacjami o konfiguracji w sekcji Zbieranie danych w dokumentacji usługi Microsoft Sentinel.

Konfigurowanie retencji i warstwowania danych

Jeśli przeszedłeś do usługi Microsoft Sentinel Data Lake, możesz skonfigurować przechowywanie i poziomowanie danych dla łącznika danych. Usługa Data Lake składa się z warstwy analizy — bieżących obszarów roboczych usługi Microsoft Sentinel oraz warstwy typu data lake, w której można przechowywać dane przez maksymalnie 12 lat. Aby uzyskać więcej informacji na temat dołączania, zobacz Dołączanie do usługi Microsoft Sentinel data lake.

Po włączeniu łącznika dane są domyślnie wysyłane do warstwy analizy i odbijane w warstwie data lake. Skonfiguruj przechowywanie danych w każdej warstwie lub wyślij dane tylko do warstwy data lake. Przechowywanie i organizację warstw zarządza się na stronach konfiguracji łącznika albo przy użyciu strony Zarządzanie tabelami w portalu Defender. Aby uzyskać więcej informacji na temat zarządzania tabelami i przechowywania, zobacz Zarządzanie warstwami danych i przechowywaniem w witrynie Microsoft Defender Portal.

Po skonfigurowaniu łącznika ustaw przechowywanie danych i klasyfikowanie, wykonując następujące kroki:

  1. Na stronie Szczegóły łącznika w sekcji Zarządzanie tabelami wybierz tabelę, którą chcesz zarządzać.

    Zrzut ekranu przedstawiający stronę szczegółów łącznika.

  2. Zostanie wyświetlony panel tabeli przedstawiający bieżące ustawienia przechowywania.

  3. Aby skonfigurować przechowywanie, wybierz pozycję Zarządzaj tabelą. Zrzut ekranu przedstawiający panel zarządzania tabelą.

  4. Zostanie wyświetlony panel Zarządzanie tabelą z bieżącymi ustawieniami przechowywania. Możesz zmienić ustawienia przechowywania dla warstwy analizy i warstwy usługi Data Lake. Wartością domyślną jest dublowanie danych w warstwie data lake z tym samym przechowywaniem co warstwa analizy.

  5. W obszarze Przechowywanie analizy wybierz okres przechowywania dla warstwy analizy.

  6. Aby skonfigurować warstwę typu data lake, wybierz okres przechowywania z listy rozwijanej Łączne przechowywanie . Zrzut ekranu przedstawiający opcje analizy i warstwy usługi Data Lake.

  7. Aby zmienić warstwę na tylko magazyn data lake, wybierz warstwę data lake i wybierz okres przechowywania z listy rozwijanej Przechowywanie. Wybranie tej opcji powoduje zatrzymanie dalszego pozyskiwania danych do warstwy analizy.

  8. Wybierz Zapisz, aby zapisać zmiany.

Zrzut ekranu przedstawiający opcję tylko przechowywania warstwy usługi Data Lake.

Po skonfigurowaniu łącznika danych może upłynąć trochę czasu na pozyskiwanie danych do usługi Microsoft Sentinel. Proces zaczytywania danych do jeziora danych trwa od 90 do 120 minut. Gdy łącznik danych jest podłączony, zobaczysz podsumowanie danych na wykresie Odebrane dane i stan łączności typów danych.

Zrzut ekranu przedstawiający stronę łącznika danych ze stanem połączonym i grafem przedstawiający odebrane dane.

Włącz analizę zachowań użytkowników i jednostek (UEBA) z obsługiwanych łączników

Analiza zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel analizuje dzienniki i alerty z połączonych źródeł danych w celu utworzenia podstawowych profilów behawioralnych jednostek organizacji — takich jak użytkownicy, hosty, adresy IP i aplikacje. Korzystając z uczenia maszynowego, ueBA identyfikuje nietypowe działanie, które może wskazywać na naruszony zasób.

Aby włączyć analizę UEBA z obsługiwanych łączników danych w portalu usługi Microsoft Defender:

  1. W menu nawigacji portalu Microsoft Defender wybierz Konfiguracja Microsoft Sentinel > Łączniki danych>.

  2. Wybierz łącznik danych, który obsługuje UEBA. Aby uzyskać więcej informacji na temat łączników danych i tabel obsługiwanych przez UEBA, zobacz Dokumentację usługi Microsoft Sentinel UEBA.

  3. W okienku łącznika danych wybierz pozycję Otwórz stronę łącznika.

  4. Na stronie Szczegóły łącznika wybierz pozycję Opcje zaawansowane.

  5. W obszarze Konfigurowanie analizy UEBA włącz tabele, które chcesz włączyć dla analizy UEBA.

    Zrzut ekranu konfiguracji UEBA w łączniku danych.

Znajdź dane

Po pomyślnym włączeniu łącznika łącznik zacznie przesyłać strumieniowo dane do schematów tabeli powiązanych z skonfigurowanymi typami danych.

W portalu usługi Defender przeszukaj dane na stronie Zaawansowane wyszukiwanie zagrożeń lub w portalu Azure przeszukaj dane na stronie Dzienniki.
Przejdź do eksploratora usługi Data Lake , zapytania KQL w celu wykonywania zapytań dotyczących danych w usłudze Data Lake. Aby uzyskać więcej informacji, zobacz KQL i jezioro danych Microsoft Sentinel.

Znajdź wsparcie dla łącznika danych

Zarówno firma Microsoft, jak i inne organizacje tworzą łączniki danych usługi Microsoft Sentinel. Znajdź kontakt do pomocy technicznej na stronie łącznika danych w Microsoft Sentinel.

  1. Na stronie Łączniki danych usługi Microsoft Sentinel wybierz odpowiedni łącznik.

  2. Aby uzyskać dostęp do pomocy technicznej i konserwacji łącznika, użyj linku kontaktu pomocy technicznej w polu Obsługiwane przez na panelu bocznym łącznika.

    Zrzut ekranu przedstawiający pole Obsługiwane przez łącznik danych w usłudze Microsoft Sentinel.

Aby uzyskać więcej informacji, zobacz Obsługa łącznika danych.

Powiązana zawartość

Aby uzyskać więcej informacji na temat rozwiązań i łączników danych w usłudze Microsoft Sentinel, zobacz następujące artykuły.

  • Last updated on