將資料來源連線至 Microsoft Sentinel 資料收集器 API 以擷取資料
協力廠商廠商所建置的 API 整合會從其產品的資料來源提取資料,並聯機到 Microsoft Sentinel 的 Azure 監視器資料收集器 API ,將資料推送至 Microsoft Sentinel 工作區中的自訂記錄資料表。
在大多數情況下,您可以在每個廠商的檔中找到設定這些資料來源以連線到 Microsoft Sentinel 所需的所有資訊。
請查看資料連線器參考 頁面中的產品區段 ,以取得可能出現在該處的任何額外指示,以及您廠商指示的連結。
資料會儲存在您執行 Microsoft Sentinel 的工作區地理位置。
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的 雲端功能可用性中的 Microsoft Sentinel 資料表。
必要條件
您必須具備 Microsoft Sentinel 工作區的讀取和寫入權限。
您必須具有工作區共用金鑰的讀取權限。 深入瞭解工作區金鑰 。
從 Microsoft Sentinel 中的內容中樞 安裝產品的解決方案。 如需詳細資訊,請參閱 探索及管理現用的 Microsoft Sentinel 內容 。
設定及連線資料來源
在 Microsoft Sentinel 入口網站中,選取 導覽功能表上的資料連線器 。
從資料連線器資源庫選取您的產品專案,然後選取 [ 開啟連接器頁面 ] 按鈕。
請遵循連接器頁面上出現的任何步驟,或顯示于該頁面上之廠商指示的任何連結。
當系統要求您提供工作區識別碼和主鍵時,請從資料連線器頁面複製它們,並貼到由廠商指示指示的設定中。 請參閱以下範例。
尋找資料
建立成功連線之後,資料會出現在 [CustomLogs ] 區段下的 [ 記錄 ] 中。 從 資料表名稱的資料連線器參考 中尋找您的產品頁面。
若要從您的產品查詢資料,請在查詢中使用那些資料表名稱。
可能需要 20 分鐘的時間,您的記錄才會開始出現在 Log Analytics 中。
下一步
在本檔中,您已瞭解如何將外部資料源連線到 Microsoft Sentinel 資料收集器 API。
若要深入了解 Microsoft Sentinel,請參閱下列文章:
- 瞭解如何 瞭解您的資料和潛在威脅 。
- 開始使用 Microsoft Sentinel 偵測威脅。
- 使用活頁簿 來監視您的資料。