透過設定提供的資料連接器,可以將資料傳送至Azure Sentinel工作區。

內含的資料連接器分別適用於Microsoft 365服務、Azure和協力廠商。

我們若要收集記錄資料,必須將資料來源連接到Azure Sentinel連接器。

選取 [開啟連接器] 頁面之後，詳細的[連接器]頁面會顯示一個左窗格和一個右窗格。

左窗格會提供連接器的相關資訊、連接器的狀態，以及在連接狀態下最後收到記錄檔的時間。

左窗格的底部是資料類型。 資料類型會列出連接器寫入的資料表。

Microsoft 365 Defender

Microsoft 365 Defender和相關的資料連接器會提供已在Microsoft 365 Defender入口網站

中標準化和使用的警示和資料。

Microsoft 365 Defender 的產品包括：

適用於端點的 Microsoft Defender/適用於身分識別的 Microsoft Defender

適用於 Office 365 的 Microsoft Defender/Microsoft Cloud App Security

Microsoft/Azure 服務

Microsoft 和 Azure 相關服務的連接器包含 (但不限於)：

Azure Active Directory - 稽核記錄和登入記錄 /Azure 活動

Azure AD Identity Protection / Azure DDoS 保護

適用於 IoT 的 Azure Defender (先前稱為適用於 IoT 的 Azure 資訊安全中心)

Azure 資訊保護 /Azure 防火牆

Azure 資訊安全中心 - Azure Defender 解決方案的警示

Azure Web 應用程式防火牆 (WAF) (先前稱為 Microsoft WAF)

Cloud App Security / 網域名稱伺服器

Office 365 / Windows 防火牆 /安全性事件

我們可以將代理程式手動部署到現有的Azure VM、另一個雲端的 VM 或內部部署機器。

下圖說明內部部署系統如何將Syslog資料傳送至執行Azure Sentinel代理程式的專用內部部署系統。