Microsoft Sentinel veri bağlayıcıları
Microsoft Sentinel'i çalışma alanınıza ekledikten sonra, verilerinizi Microsoft Sentinel'e almak için veri bağlayıcılarını kullanın. Microsoft Sentinel, Microsoft hizmetleri için kullanıma hazır birçok bağlayıcıyla birlikte gelir ve bu bağlayıcılar gerçek zamanlı olarak tümleşir. Örneğin, Microsoft Defender XDR bağlayıcısı Office 365, Microsoft Entra ID, Kimlik için Microsoft Defender ve Bulut için Microsoft Defender Uygulamalarından gelen verileri tümleştiren bir hizmetten hizmete bağlayıcıdır.
Yerleşik bağlayıcılar, Microsoft dışı ürünler için daha geniş bir güvenlik ekosistemine bağlantı sağlar. Örneğin, veri kaynaklarınızı Microsoft Sentinel'e bağlamak için Syslog, Ortak Olay Biçimi (CEF) veya REST API'leri kullanın.
Not
ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.
Önemli
Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Çözümlerle sağlanan veri bağlayıcıları
Microsoft Sentinel çözümleri veri bağlayıcıları, çalışma kitapları, analiz kuralları, playbook'lar ve daha fazlası dahil olmak üzere paketlenmiş güvenlik içeriği sağlar. Veri bağlayıcısı ile bir çözüm dağıttığınızda, veri bağlayıcısını aynı dağıtımdaki ilgili içerikle birlikte alırsınız.
Microsoft Sentinel Veri bağlayıcıları sayfasında yüklü veya kullanımda olan veri bağlayıcıları listelenir.
Daha fazla veri bağlayıcısı eklemek için İçerik Hub'ından veri bağlayıcısıyla ilişkili çözümü yükleyin. Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Microsoft Sentinel veri bağlayıcınızı bulma
- Microsoft Sentinel içeriği ve çözümleri hakkında
- Microsoft Sentinel'in kullanıma açık içeriğini bulma ve yönetme
- Microsoft Sentinel içerik hub'ı kataloğu
- Microsoft Sentinel için Gelişmiş Güvenlik Bilgileri Modeli (ASIM) tabanlı etki alanı çözümleri
Veri bağlayıcıları için REST API tümleştirmesi
Birçok güvenlik çözümü, günlük dosyalarını ve diğer güvenlik verilerini ürünlerinden veya hizmetlerinden almak için bir dizi API sağlar. Bu API'ler aşağıdaki yöntemlerden biriyle Microsoft Sentinel'e bağlanır:
- Veri kaynağı API'leri Kodsuz Bağlayıcı Platformu ile yapılandırılır.
- Veri bağlayıcısı, Azure İşlevi veya Mantıksal Uygulamanın bir parçası olarak Azure İzleyici için Günlük Alımı API'sini kullanır.
Azure İşlevleri bağlanma hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Veri kaynağınızı Microsoft Sentinel'e bağlamak için Azure İşlevleri kullanma
- Azure İşlevleri belgeleri
- Azure İşlevleri fiyatlandırması
Logic Apps ile bağlanma hakkında daha fazla bilgi için bkz . Logic Apps ile bağlanma.
Veri bağlayıcıları için aracı tabanlı tümleştirme
Microsoft Sentinel, gerçek zamanlı günlük akışı gerçekleştirebilen herhangi bir veri kaynağından veri toplamak için Azure İzleyici hizmeti (Microsoft Sentinel'in temel aldığı) tarafından sağlanan aracıları kullanabilir. Örneğin, çoğu şirket içi veri kaynağı aracı tabanlı tümleştirme kullanarak bağlanır.
Aşağıdaki bölümlerde farklı Microsoft Sentinel aracı tabanlı veri bağlayıcıları türleri açıklanmaktadır. Aracı tabanlı mekanizmalar kullanarak bağlantıları yapılandırmak için her Microsoft Sentinel veri bağlayıcısı sayfasındaki adımları izleyin.
Syslog ve Ortak Olay Biçimi (CEF)
Azure İzleyici Aracısı'nı (AMA) kullanarak Linux tabanlı Syslog destekleyen cihazlardan Microsoft Sentinel'e olay akışı yapabilirsiniz. Günlük biçimleri farklılık gösterir, ancak birçok kaynak CEF tabanlı biçimlendirmeyi destekler. Cihaz türüne bağlı olarak aracı doğrudan cihaza veya ayrılmış linux tabanlı bir günlük ileticisine yüklenir. AMA, UDP üzerinden Syslog daemon'dan düz Syslog veya CEF olay iletileri alır. Syslog daemon, sürüme bağlı olarak TCP veya UDS (Unix Etki Alanı Yuvaları) üzerinden iletişim kurarak olayları dahili olarak aracıya iletir. Ama daha sonra bu olayları Microsoft Sentinel çalışma alanına iletir.
Microsoft Sentinel'in Syslog verilerini nasıl akışla aktardığını gösteren basit bir akış aşağıdadır.
- Cihazın yerleşik Syslog daemon'ı, belirtilen türlerdeki yerel olayları toplar ve olayları yerel olarak aracıya iletir.
- Aracı olayları Log Analytics çalışma alanınıza akışla iletir.
- Yapılandırma başarılı olduktan sonra, Syslog iletileri Log Analytics Syslog tablosunda ve CEF iletileri CommonSecurityLog tablosunda görüntülenir.
Daha fazla bilgi için bkz . Microsoft Sentinel için AMA bağlayıcıları aracılığıyla Syslog ve Ortak Olay Biçimi (CEF).
Özel günlükler
Bazı veri kaynakları için Log Analytics özel günlük toplama aracısını kullanarak günlükleri Windows veya Linux bilgisayarlarda dosya olarak toplayabilirsiniz.
Log Analytics özel günlük toplama aracısını kullanarak bağlanmak için her Microsoft Sentinel veri bağlayıcısı sayfasındaki adımları izleyin. Yapılandırma başarılı olduktan sonra veriler özel tablolarda görünür.
Daha fazla bilgi için bkz . AMA veri bağlayıcısı aracılığıyla Özel Günlükler - Belirli uygulamalardan Microsoft Sentinel'e veri alımını yapılandırma.
Veri bağlayıcıları için hizmet-hizmet tümleştirmesi
Microsoft Sentinel, Microsoft hizmetleri ve Amazon Web Services için kullanıma hazır hizmetten hizmete destek sağlamak için Azure temelini kullanır.
Daha fazla bilgi için aşağıdaki makaleleri inceleyin:
- Microsoft Sentinel'i Azure, Windows, Microsoft ve Amazon hizmetlerine bağlama
- Microsoft Sentinel veri bağlayıcınızı bulma
Veri bağlayıcısı desteği
Hem Microsoft hem de diğer kuruluşlar Microsoft Sentinel veri bağlayıcıları yazar. Her veri bağlayıcısı, Microsoft Sentinel'deki veri bağlayıcısı sayfasında listelenen aşağıdaki destek türlerinden birine sahiptir.
| Destek türü | Açıklama |
|---|---|
| Microsoft tarafından desteklenen | Şunlar için geçerlidir:
İş ortakları veya Topluluk, Microsoft dışında herhangi bir taraf tarafından yazılan veri bağlayıcılarını destekler. |
| İş ortağı tarafından desteklenen | Microsoft dışındaki taraflar tarafından yazılan veri bağlayıcıları için geçerlidir. İş ortağı şirket, bu veri bağlayıcıları için destek veya bakım sağlar. İş ortağı şirket Bağımsız Yazılım Satıcısı, Yönetilen Hizmet Sağlayıcısı (MSP/MSSP), Sistem Tümleştiricisi (SI) veya ilgili veri bağlayıcısı için Microsoft Sentinel sayfasında iletişim bilgileri sağlanan herhangi bir kuruluş olabilir. İş ortağı tarafından desteklenen bir veri bağlayıcısıyla ilgili sorunlar için belirtilen veri bağlayıcısı destek kişisine başvurun. |
| Topluluk tarafından desteklenen | Microsoft Sentinel'deki veri bağlayıcısı sayfasında veri bağlayıcısı desteği ve bakımı için listelenmiş kişileri olmayan Microsoft veya iş ortağı geliştiricileri tarafından yazılan veri bağlayıcıları için geçerlidir. Bu veri bağlayıcılarıyla ilgili sorular veya sorunlar için Microsoft Sentinel GitHub topluluğunda bir sorun oluşturabilirsiniz. |
Daha fazla bilgi için bkz . Veri bağlayıcısı için destek bulma.
Sonraki adımlar
Veri bağlayıcıları hakkında daha fazla bilgi için aşağıdaki makalelere bakın.
- Veri bağlayıcılarını kullanarak veri kaynaklarınızı Microsoft Sentinel'e bağlama
- Microsoft Sentinel veri bağlayıcınızı bulma
- Microsoft Sentinel özel bağlayıcıları oluşturmaya yönelik kaynaklar
Microsoft Sentinel'de veri bağlayıcıları dağıtmak için Bicep, Azure Resource Manager ve Terraform'un temel Kod Olarak Altyapı (IaC) başvurusu için bkz . Microsoft Sentinel veri bağlayıcısı IaC başvurusu.