Connettere Microsoft Sentinel ad altri servizi Microsoft con un connettore dati basato su API
Questo articolo descrive come stabilire connessioni basate su API a Microsoft Sentinel. Microsoft Sentinel usa la base di Azure per fornire un supporto predefinito da servizio a servizio per l'inserimento di dati da molti servizi di Azure e Microsoft 365, Amazon Web Services e vari servizi Windows Server. Esistono alcuni metodi diversi tramite cui vengono effettuate queste connessioni.
Questo articolo presenta informazioni comuni al gruppo di connettori dati basati su API.
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.
È necessario disporre delle autorizzazioni di lettura e scrittura per l'area di lavoro Log Analytics.
È necessario avere un ruolo di amministratore della sicurezza nel tenant dell'area di lavoro di Microsoft Sentinel o le autorizzazioni equivalenti.
Requisiti specifici del connettore dati:
Connettore dati Licenze, costi e altri prerequisiti Microsoft Entra ID Protection - Sottoscrizione di Microsoft Entra ID P2
- Possono applicarsi altri addebitiDynamics 365 - Licenza di produzione di Microsoft Dynamics 365. Non disponibile per gli ambienti sandbox.
- Almeno un utente ha assegnato una licenza Microsoft/Office 365 E1 o successiva .
- Registrazione di controllo abilitata in Microsoft Purview. Vedere Attivare o disattivare il controllo.
- Registrazione di controllo abilitata nell'ambiente Microsoft Dataverse. Vedere Registrazione delle attività delle app basate su modello e Microsoft Dataverse.
- Possono essere applicati altri addebiti.Microsoft Defender for Cloud Apps Per i log di Cloud Discovery, abilitare Microsoft Sentinel come siem nelle app di Microsoft Defender per il cloud Microsoft Defender per endpoint Licenza valida per la distribuzione di Microsoft Defender per endpoint Microsoft Defender per Office 365 Licenza valida per Office 365 ATP Piano 2 Microsoft Office 365 - La distribuzione di Office 365 deve trovarsi nello stesso tenant dell'area di lavoro di Microsoft Sentinel.
- Possono essere applicati altri addebiti.Microsoft Power BI - La distribuzione di Office 365 deve trovarsi nello stesso tenant dell'area di lavoro di Microsoft Sentinel.
- Possono essere applicati altri addebiti.Microsoft Purview Information Protection - La distribuzione di Office 365 deve trovarsi nello stesso tenant dell'area di lavoro di Microsoft Sentinel.
- Possono essere applicati altri addebiti.Gestione dei rischi Insider di Microsoft Purview - Sottoscrizione valida per Microsoft 365 E5/A5/G5 o i relativi componenti aggiuntivi IRM o conformità.
- Gestione dei rischi Insider Microsoft Purview l'onboarding completo e i criteri IRM definiti e generati avvisi.
- Microsoft 365 IRM configurato per abilitare l'esportazione degli avvisi IRM nell'API Office 365 Management Activity per ricevere gli avvisi tramite il connettore Microsoft Sentinel.
Nel menu di spostamento di Microsoft Sentinel selezionare Connettori dati.
Selezionare il servizio dalla raccolta di connettori dati e quindi selezionare Apri pagina connettore nel riquadro di anteprima.
Selezionare Connetti per avviare lo streaming di eventi e/o avvisi dal servizio in Microsoft Sentinel.
Se nella pagina del connettore è presente una sezione intitolata Crea eventi imprevisti - scelta consigliata!, selezionare Abilita se si desidera creare automaticamente eventi imprevisti dagli avvisi.
È possibile trovare ed eseguire query sui dati per ogni servizio usando i nomi di tabella visualizzati nella sezione relativa al connettore del servizio nella pagina di riferimento Connettori dati.
Per altre informazioni, vedi: