Připojení Microsoft Sentinel k jiným službám Microsoftu pomocí datového konektoru založeného na rozhraní API

Tento článek popisuje, jak vytvořit připojení k Microsoft Sentinel na základě rozhraní API. Microsoft Sentinel používá základ Azure k poskytování integrované podpory mezi službami pro příjem dat z mnoha služeb Azure a Microsoft 365, Amazon Web Services a různých služeb Windows Server. Existuje několik různých metod, pomocí kterých se vytvoří připojení založená na rozhraní API k Microsoft Sentinel.

Následující požadavky a kroky platí pro datové konektory založené na rozhraní API Microsoft Sentinel.

Poznámka

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinel v tématu Dostupnost cloudových funkcí pro zákazníky státní správy USA.

Požadavky

Před připojením služby se ujistěte, že splňujete následující požadavky:

  • V pracovním prostoru služby Log Analytics musíte mít oprávnění ke čtení a zápisu.

  • V tenantovi pracovního prostoru Microsoft Sentinel musíte mít roli správce zabezpečení nebo ekvivalentní oprávnění.

  • Specifické požadavky na datový konektor:

    Datový konektor Licencování, náklady a další požadavky
    Ochrana identifikace Microsoft Entra - předplatné Microsoft Entra ID P2
    - Můžou se účtovat další poplatky.
    Dynamics 365 - Microsoft Dynamics 365 produkční licence. Není k dispozici pro prostředí sandboxu.
    - Alespoň jeden uživatel přiřadil licenci Microsoft/Office 365 E1 nebo vyšší.
    – Protokolování auditu je povolené v Microsoft Purview. Viz Zapnutí nebo vypnutí auditování.
    – Protokolování auditu je povolené v prostředí Microsoft Dataverse. Viz Protokolování aktivit aplikací řízených modelem a Microsoft Dataverse.
    - Můžou se účtovat další poplatky.
    Microsoft Defender pro cloudové aplikace Pro protokoly Cloud Discovery povolte Microsoft Sentinel jako SIEM v Microsoft Defender for Cloud Apps
    Microsoft Defender for Endpoint (ochrana koncových bodů) Platná licence pro nasazení Microsoft Defender for Endpoint
    Microsoft Defender pro Office 365 Platná licence pro Office 365 ATP Plan 2
    Microsoft 365 – Vaše nasazení Microsoftu 365 musí být ve stejném tenantovi jako váš pracovní prostor Microsoft Sentinel.
    - Můžou se účtovat další poplatky.
    Microsoft Power BI – Vaše nasazení Office 365 musí být ve stejném tenantu jako váš pracovní prostor Microsoft Sentinel.
    - Můžou se účtovat další poplatky.
    Microsoft Purview – ochrana informací – Nasazení Office 365 musí být ve stejném tenantu jako pracovní prostor služby Microsoft Sentinel.
    - Můžou se účtovat další poplatky.
    Správa insiderských rizik Microsoft Purview (IRM) – Platné předplatné pro Microsoft 365 E5/A5/G5 nebo jejich doprovodné doplňky Dodržování předpisů nebo IRM.
    - Správa insiderských rizik Microsoft Purview je plně zavedená a zásady IRM jsou definované a generují výstrahy.
    - Nastavení správy insiderských rizik pro export výstrah nakonfigurovaných tak, aby umožňovalo export výstrah IRM do Office 365 Management Activity API, aby bylo možné výstrahy přijímat prostřednictvím konektoru Microsoft Sentinel.

Připojení ke službám Microsoftu prostřednictvím konektorů založených na rozhraní API

Pokud chcete připojit službu Microsoft pomocí konektoru založeného na rozhraní API, proveďte následující kroky:

  1. V navigační nabídce Microsoft Sentinel vyberte Datové konektory.

  2. V galerii datových konektorů vyberte svoji službu a pak v podokně náhledu vyberte Otevřít stránku konektoru .

  3. Vyberte Připojit a spusťte streamování událostí nebo upozornění z vaší služby do Microsoft Sentinel.

  4. Pokud je na stránce konektoru oddíl s názvem Vytvořit incidenty – doporučeno!, vyberte Povolit , pokud chcete automaticky vytvářet incidenty z výstrah.

Data pro každou službu můžete najít a dotazovat pomocí názvů tabulek, které se zobrazí v části konektoru služby na stránce s referenčními informacemi o datových konektorech .

Další informace najdete tady: