查找 Microsoft Sentinel 数据连接器

2025-05-28
适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

本文列出了所有受支持的现成数据连接器，以及指向每个连接器部署步骤的链接。

重要

请注意，Microsoft Sentinel 数据连接器目前为预览版。 Azure 预览版补充条款包括适用于 Beta 版、预览版或尚未正式发布的 Azure 功能的其他法律条款。
Microsoft Sentinel 在 Microsoft Defender 门户中正式发布，包括没有 Microsoft Defender XDR 或 E5 许可证的客户。有关详细信息，请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。

数据连接器作为以下产品/服务的一部分提供：

解决方案：许多数据连接器部署为 Microsoft Sentinel 解决方案的一部分，以及分析规则、工作簿和 playbook 等相关内容。有关详细信息，请参阅 Microsoft Sentinel 解决方案目录。
社区连接器：Microsoft Sentinel 社区提供了更多数据连接器，可在 Azure 市场中找到。社区数据连接器的相关文档由创建连接器的组织负责。
自定义连接器：如果你有未列出或当前不受支持的数据源，则还可自行创建自定义连接器。有关详细信息，请参阅用于创建 Microsoft Sentinel 自定义连接器的资源。

注意

有关美国政府云中的功能可用性的信息，请参阅美国政府客户的云功能可用性中的 Microsoft Sentinel 表。

数据连接器先决条件

每个数据连接器都有自己的一组先决条件。先决条件可能包括你必须对 Azure 工作区、订阅或策略具有特定权限。或者，你必须满足要连接到的合作伙伴数据源的其他要求。

每个数据连接器的先决条件列在 Microsoft Sentinel 的相关数据连接器页上。

基于 Azure Monitor 代理 (AMA) 的数据连接器需要从安装了该代理的系统建立互联网连接。启用端口 443 出站，以允许在安装了该代理的系统与 Microsoft Sentinel 之间建立连接。

Syslog 和通用事件格式 (CEF) 连接器

Microsoft Sentinel 中，数据连接器 Syslog 通过 AMA 或 通用事件格式（CEF） 支持从许多安全设备和设备收集日志。若要将数据转发到 Log Analytics 工作区以Microsoft Sentinel，请完成使用 Azure Monitor 代理将 syslog 和 CEF 消息引入到 Microsoft Sentinel 的步骤。这些步骤包括从 Microsoft Sentinel 中的内容中心为安全装置或设备安装 Microsoft Sentinel 解决方案。然后配置与你所安装 Microsoft Sentinel 解决方案相应的 Syslog via AMA 或 Common Event Format (CEF) via AMA 数据连接器。通过配置安全设备或装置来完成设置。在以下文章之一中查找配置安全设备或设备的说明：

请联系解决方案提供商以获取详细信息，或信息不适用于你的设备的情况。

通过 AMA 连接器自定义日志

通过使用 Microsoft Sentinel 中的 AMA 连接器使用自定义日志 ，从 Windows 或 Linux 计算机上安装的网络或安全应用程序筛选和引入文本文件格式的日志。有关详细信息，请参阅以下文章：

Sentinel 数据连接器

注意

下表列出了Microsoft Sentinel 内容中心提供的数据连接器。产品供应商支持连接器。有关支持，请参阅下表中 “支持的 ”列中的链接。

连接器	支持的服务
1Password （无服务器） 1Password CCF 连接器允许用户将 1Password Audit、Signin 和 ItemUsage 事件引入 Microsoft Sentinel。 Log Analytics 表（s）： - `OnePasswordEventLogs_CL` 数据收集规则支持：目前不支持先决条件： - 1Password API 令牌：需要 1Password API 令牌。请参阅 1Password 文档，了解如何创建 API 令牌。	1Password
1Password （使用 Azure Functions）借助适用于 Microsoft Sentinel 的 1Password 解决方案，你可以使用 1Password 事件报告 API 从 1Password Business 帐户引入登录尝试、项使用情况和审核事件。这样，就可以监视和调查 Microsoft Sentinel 中的 1Password 事件以及组织使用的其他应用程序和服务。使用的基础 Microsoft技术：此解决方案依赖于以下技术，其中一些技术可能处于预览状态，或者可能会产生额外的引入或运营成本： - Azure Functions Log Analytics 表（s）： - `OnePasswordEventLogs_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - 1Password 事件 API 令牌：需要 1Password 事件 API 令牌。有关详细信息，请参阅 1Password API。注意：需要 1Password Business 帐户	1Password
AbnormalSecurity （使用 Azure 函数） Abnormal Security 数据连接器提供使用 Abnormal Security Rest API 将威胁和案例日志引入 Microsoft Sentinel 的功能。 Log Analytics 表（s）： - `ABNORMAL_THREAT_MESSAGES_CL` - `ABNORMAL_CASES_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - 异常安全 API 令牌：需要异常安全 API 令牌。有关详细信息，请参阅异常安全 API。注意：需要异常安全帐户	异常安全性
AIShield AIShield 连接器允许用户将 AIShield 自定义防御机制日志与 Microsoft Sentinel 连接，因而允许创建动态仪表板、工作簿、笔记本和定制警报，以改进调查并阻止对 AI 系统的攻击。它使用户能够更深入地了解其组织的 AI 资产安全姿态，并改进其 AI 系统安全作功能。AIShield.GuArdIan 分析 LLM 生成的内容，以识别和缓解有害内容、防范法律、策略、基于角色和基于角色的违规行为 Log Analytics 表（s）： - `AIShield_CL` 数据收集规则支持：目前不支持先决条件： - 注意：用户应利用 AIShield SaaS 产品/服务进行漏洞分析和部署的自定义防御机制及其 AI 资产。单击此处了解详细信息或联系。	AIShield
AliCloud （使用 Azure Functions） AliCloud 数据连接器提供了使用云 API 从云应用程序中检索日志的功能，并通过 REST API 将事件存储到 Microsoft Sentinel 中。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `AliCloud_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：进行 API 调用需要 AliCloudAccessKeyId 和 AliCloudAccessKey 。	Microsoft Corporation
Amazon Web Services 安装过程中会显示连接到 AWS 并将 CloudTrail 日志流式传输到 Microsoft Sentinel 的说明。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `AWSCloudTrail` 数据收集规则支持：当前不支持	Microsoft Corporation
Amazon Web Services S3 可通过此连接器将 AWS S3 存储桶中收集的 AWS 服务日志引入到 Microsoft Sentinel。当前支持的数据类型为： * AWS CloudTrail VP 流日志 AWS GuardDuty * AWSCloudWatch 有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `AWSGuardDuty` - `AWSVPCFlow` - `AWSCloudTrail` - `AWSCloudWatch` 数据收集规则支持：目前不支持先决条件： - 环境：必须定义并配置以下 AWS 资源：S3、简单队列服务（SQS）、IAM 角色和权限策略，以及要收集其日志的 AWS 服务。	Microsoft Corporation
Amazon Web Services S3 WAF 此连接器允许引入 AWS WAF 日志（在 AWS S3 存储桶中收集），以Microsoft Sentinel。 AWS WAF 日志是 Web 访问控制列表 (ACL) 分析流量的详细记录，对于维护 Web 应用程序的安全性和性能至关重要。这些日志包含信息，例如 AWS WAF 收到请求的时间、请求的具体细节以及请求匹配的规则执行的作。 Log Analytics 表（s）： - `AWSWAF` 数据收集规则支持：当前不支持	Microsoft Corporation
ARGOS 云安全性适用于 Microsoft Sentinel 的 ARGOS 云安全集成使你能够将所有重要的云安全事件放在一个位置。这样就能够跨多个系统轻松创建仪表板、警报和关联事件。这将在整体上改善组织的安全态势，提高安全事件响应能力。 Log Analytics 表（s）： - `ARGOS_CL` 数据收集规则支持：当前不支持	ARGOS 云安全性
Armis 警报活动（使用 Azure Functions） Armis 警报活动连接器提供通过 Armis REST API 将 Armis 警报和活动引入到 Microsoft Sentinel 的功能。请参阅 API 文档 `https://<YourArmisInstance>.armis.com/api/v1/docs`，了解详细信息。连接器提供从 Armis 平台获取警报和活动信息以及识别和确定环境中威胁的优先级的功能。 Armis 使用现有基础结构来发现和识别设备，无需部署任何代理。 Log Analytics 表（s）： - `Armis_Alerts_CL` - `Armis_Activities_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：需要 Armis 密钥。有关 API 的详细信息，请参阅文档 `https://<YourArmisInstance>.armis.com/api/v1/doc`	Armis 公司
Armis 设备（使用 Azure Functions）利用 Armis Device 连接器，可通过 Armis REST API 将 Armis Devices 引入 Microsoft Sentinel。请参阅 API 文档 `https://<YourArmisInstance>.armis.com/api/v1/docs`，了解详细信息。该连接器能够从 Armis 平台获取设备信息。 Armis 使用现有基础结构来发现和识别设备，无需部署任何代理。 Armis 还可以与现有的 IT 和安全管理工具集成，以对环境中托管或非托管的每台设备进行识别和分类。 Log Analytics 表（s）： - `Armis_Devices_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：需要 Armis 密钥。有关 API 的详细信息，请参阅文档 `https://<YourArmisInstance>.armis.com/api/v1/doc`	Armis 公司
Armorblox （使用 Azure 函数） Armblox 数据连接器提供通过 REST API 将事件从 Armorblox 实例引入 Microsoft Sentinel 的功能。连接器提供了获取事件的功能，这有助于检查潜在的安全风险等。 Log Analytics 表（s）： - `Armorblox_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Armorblox 实例详细信息：需要 ArmorbloxInstanceName 或 ArmorbloxInstanceURL - Armorblox API 凭据：需要 ArmorbloxAPIToken	armorblox
Atlassian 信标警报 Atlassian Beacon 是一种云产品，专为跨各个 Atlassian 平台（Jira、Confluence 和 Atlassian Admin）进行智能威胁检测而打造。这可以帮助用户检测、调查和应对 Atlassian 产品套件的风险用户活动。该解决方案是一个来自 DEFEND Ltd. 的自定义数据连接器，用于通过一个逻辑应用可视化从 Atlassian Beacon 引入到 Microsoft Sentinel 的警报。 Log Analytics 表（s）： - `atlassian_beacon_alerts_CL` 数据收集规则支持：当前不支持	DEFEND Ltd。
Atlassian Confluence Audit （通过无代码连接器框架） Atlassian Confluence Audit 数据连接器提供通过 REST API 将 Confluence Audit Records 事件引入 Microsoft Sentinel 的功能。详细信息请参阅 API 文档。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `ConfluenceAuditLogs_CL` 数据收集规则支持：目前不支持先决条件： - Atlassian Confluence API 访问权限：需要管理 Confluence 的权限才能访问 Confluence 审核日志 API。请参阅 Confluence API 文档，了解有关审核 API 的详细信息。	Microsoft Corporation
Atlassian Jira Audit （使用 Azure Functions） Atlassian Jira Audit 数据连接器提供通过 REST API 将 Jira Audit Records 事件引入 Microsoft Sentinel 的功能。详细信息请参阅 API 文档。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `Jira_Audit_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：REST API 需要 JiraAccessToken、 JiraUsername 。有关详细信息，请参阅 API。检查所有要求，并按照获取凭据的说明进行作。	Microsoft Corporation
Atlassian Jira Audit （使用 REST API） Atlassian Jira Audit 数据连接器提供通过 REST API 将 Jira Audit Records 事件引入 Microsoft Sentinel 的功能。详细信息请参阅 API 文档。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `Jira_Audit_v2_CL` 数据收集规则支持：目前不支持先决条件： - Atlassian Jira API 访问权限：需要管理 Jira 的权限才能访问 Jira 审核日志 API。请参阅 Jira API 文档，了解有关审核 API 的详细信息。	Microsoft Corporation
Auth0 访问管理（使用 Azure Functions） Auth0 访问管理数据连接器提供将 Auth0 日志事件引入 Microsoft Sentinel 的功能 Log Analytics 表（s）： - `Auth0AM_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：需要 API 令牌。有关详细信息，请参阅 API 令牌	Microsoft Corporation
Auth0 日志 Auth0 数据连接器允许将日志从 Auth0 API 引入Microsoft Sentinel。数据连接器基于 Microsoft Sentinel 无代码连接器框架构建。它使用 Auth0 API 提取日志，并支持基于 DCR 的引入时间转换，该转换将收到的安全数据解析为自定义表，以便查询无需再次分析它，从而提供更好的性能。 Log Analytics 表（s）： - `Auth0Logs_CL` 数据收集规则支持：当前不支持	Microsoft Corporation
自动化逻辑 WebCTRL 可以从连接到 Microsoft Sentinel 的 Windows 计算机上托管的 WebCTRL SQL 服务器流式传输审核日志。可以通过此连接查看仪表板、创建自定义警报和改进调查。这样可以深入了解由 WebCTRL BAS 应用程序监视或控制的工业控制系统。 Log Analytics 表（s）： - `Event` 数据收集规则支持：当前不支持	Microsoft Corporation
Azure 活动 Azure 活动日志是订阅日志，可便于用户深入了解 Azure 中发生的订阅级别事件，包括来自 Azure 资源管理器操作数据的事件、服务运行状况事件、对订阅中的资源执行的写入操作，以及在 Azure 中执行的活动的状态。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `AzureActivity` 数据收集规则支持：当前不支持	Microsoft Corporation
Azure Batch 帐户 Azure Batch 帐户是 Batch 服务中唯一标识的实体。大多数 Batch 解决方案使用 Azure 存储来存储资源文件和输出文件，因此，每个批处理帐户通常与相应的存储帐户相关联。使用此连接器可将 Azure Batch 帐户诊断日志流式传输到 Microsoft Sentinel 中，以便持续监视活动。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `AzureDiagnostics` 数据收集规则支持：目前不支持先决条件： - 策略：为每个策略分配范围分配的所有者角色	Microsoft Corporation
Azure CloudNGFW By Palo Alto Networks Palo Alto Networks 提供的云下一代防火墙（Azure 本机 ISV 服务）是 Palo Alto Networks 下一代防火墙 (NGFW)，作为 Azure 上的云原生服务提供。可以在 Azure 市场中发现云 NGFW，并在 Azure 虚拟网络 (VNet) 中使用它。凭借云 NGFW，可以访问核心 NGFW 功能，例如应用 ID、基于 URL 筛选的技术。它通过云提供的安全服务和威胁防护签名提供威胁防护和检测。使用连接器，可以将云 NGFW 日志轻松连接到 Microsoft Sentinel，以查看仪表板、创建自定义警报并改进调查。这样，用户就可以更深入地了解组织的网络并改善安全操作功能。有关详细信息，请参阅适用于 Azure 的云 NGFW 文档。 Log Analytics 表（s）： - `fluentbit_CL` 数据收集规则支持：当前不支持	Palo Alto 网络
Azure 认知搜索 Azure 认知搜索是一个云搜索服务，它为开发人员提供基础结构、API 和工具，用于基于 Web、移动和企业应用程序中的专用异类内容构建丰富的搜索体验。使用此连接器可将 Azure 认知搜索诊断日志流式传输到 Microsoft Sentinel 中，以便持续监视活动。 Log Analytics 表（s）： - `AzureDiagnostics` 数据收集规则支持：目前不支持先决条件： - 策略：为每个策略分配范围分配的所有者角色	Microsoft Corporation
Azure DDoS 防护通过公共 IP 地址诊断日志连接到 Azure DDoS 防护标准版日志。除了在平台中提供的核心 DDoS 防护以外，Azure DDoS 防护标准还针对网络攻击提供高级 DDoS 缓解功能。这些功能自动经过优化，可保护特定的 Azure 资源。在创建新虚拟网络期间，可以轻松启用保护。也可以在创建之后启用它，而不需要对应用程序或资源做出任何更改。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `AzureDiagnostics` 数据收集规则支持：当前不支持	Microsoft Corporation
Azure DevOps 审核日志（通过无代码连接器框架） Azure DevOps 审核日志数据连接器允许将审核事件从 Azure DevOps 引入 Microsoft Sentinel。此数据连接器是使用 Microsoft Sentinel 无代码连接器框架构建的，可确保无缝集成。它利用 Azure DevOps 审核日志 API 提取详细的审核事件，并支持基于 DCR 的引入时间转换。通过这些转换，可以在引入期间将收到的审核数据分析为自定义表，从而通过消除对其他分析的需求来提高查询性能。使用此连接器，可以增强对 Azure DevOps 环境的可见性，并简化安全作。 Log Analytics 表（s）： - `ADOAuditLogs_CL` 数据收集规则支持：目前不支持先决条件： - Azure DevOps 先决条件：请确保满足以下条件： 1. 在应用注册下的 Microsoft Entra 管理中心注册 Entra 应用。 2. 在“API 权限”中 - 向“Azure DevOps - vso.auditlog”添加权限。 3.在“证书和机密”中-生成“客户端机密”。 4. 在“身份验证”中 - 添加重定向 URI：“https://portal.azure.com/TokenAuthorize/ExtensionName/Microsoft_Azure_Security_Insights”。 5. 在 Azure DevOps 设置中 - 启用审核日志并设置用户的 “查看审核日志 ”。 Azure DevOps 审核。	Microsoft Corporation
Azure 事件中心 Azure 事件中心是大数据流式处理平台和事件引入服务。它可以每秒接收和处理数百万个事件。使用此连接器可将 Azure 事件中心诊断日志流式传输到 Microsoft Sentinel 中，以便持续监视活动。 Log Analytics 表（s）： - `AzureDiagnostics` 数据收集规则支持：目前不支持先决条件： - 策略：为每个策略分配范围分配的所有者角色	Microsoft Corporation
Azure 防火墙连接到 Azure 防火墙。 Azure 防火墙是托管的基于云的网络安全服务，可保护 Azure 虚拟网络资源。它是一个服务形式的完全有状态防火墙，具有内置的高可用性和不受限制的云可伸缩性。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `AzureDiagnostics` - `AZFWApplicationRule` - `AZFWFlowTrace` - `AZFWFatFlow` - `AZFWNatRule` - `AZFWDnsQuery` - `AZFWIdpsSignature` - `AZFWInternalFqdnResolutionFailure` - `AZFWNetworkRule` - `AZFWThreatIntel` 数据收集规则支持：当前不支持	Microsoft Corporation
Azure Key Vault Azure Key Vault 是一种云服务，用于安全地存储和访问机密。机密是想要严格控制对访问权限的任何内容，例如 API 密钥、密码、证书或加密密钥。使用此连接器可将 Azure Key Vault 诊断日志流式传输到 Microsoft Sentinel 中，以便持续监视所有实例中的活动。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `AzureDiagnostics` 数据收集规则支持：当前不支持	Microsoft Corporation
Azure Kubernetes 服务（AKS） Azure Kubernetes 服务 (AKS) 是一项完全托管的开放源代码容器业务流程服务，可用于在群集环境中部署、缩放和管理 Docker 容器和基于容器的应用程序。使用此连接器可将 Azure Kubernetes 服务 (AKS) 诊断日志流式传输到 Microsoft Sentinel 中，便于持续监视所有实例中的活动。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `AzureDiagnostics` 数据收集规则支持：当前不支持	Microsoft Corporation
Azure 逻辑应用 Azure 逻辑应用是一个基于云的平台，用于创建和运行集成应用、数据、服务和系统的自动化工作流。使用此连接器可将 Azure 逻辑应用诊断日志流式传输到 Microsoft Sentinel 中，以便持续监视活动。 Log Analytics 表（s）： - `AzureDiagnostics` 数据收集规则支持：目前不支持先决条件： - 策略：为每个策略分配范围分配的所有者角色	Microsoft Corporation
Azure 服务总线 Azure 服务总线是一个完全托管的企业消息代理，其中包含消息队列和发布订阅主题（在命名空间中）。使用此连接器可将 Azure 服务总线诊断日志流式传输到 Microsoft Sentinel 中，以便持续监视活动。 Log Analytics 表（s）： - `AzureDiagnostics` 数据收集规则支持：目前不支持先决条件： - 策略：为每个策略分配范围分配的所有者角色	Microsoft Corporation
Azure SQL 数据库 Azure SQL 是一种完全托管的平台即服务 (PaaS) 数据库引擎，可在没有用户参与的情况下处理大部分数据库管理功能，例如升级、修补、备份和监视。通过此连接器，可将 Azure SQL 数据库审核日志和诊断日志流式传输到 Microsoft Sentinel，从而能够持续监视所有实例中的活动。 Log Analytics 表（s）： - `AzureDiagnostics` 数据收集规则支持：当前不支持	Microsoft Corporation
Azure 存储帐户 Azure 存储帐户适用于新式数据存储方案的云解决方案。它包含所有数据对象：Blob、文件、队列、表和磁盘。使用此连接器，可以将 Azure 存储帐户诊断日志流式传输到 Microsoft Sentinel 工作区，从而能够持续监视所有实例中的活动，并检测组织中的恶意活动。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `AzureMetrics` - `StorageBlobLogs` - `StorageQueueLogs` - `StorageTableLogs` - `StorageFileLogs` 数据收集规则支持：目前不支持先决条件： - 策略：为每个策略分配范围分配的所有者角色	Microsoft Corporation
Azure 流分析 Azure 流分析是一个实时分析和复杂事件处理引擎，旨在同时分析和处理来自多个源的大量快速流式处理数据。使用此连接器可将 Azure 流分析中心诊断日志流式传输到 Microsoft Sentinel 中，以便持续监视活动。 Log Analytics 表（s）： - `AzureDiagnostics` 数据收集规则支持：目前不支持先决条件： - 策略：为每个策略分配范围分配的所有者角色	Microsoft Corporation
Azure Web 应用程序防火墙（WAF）连接到适用于应用程序网关、Front Door 或 CDN 的 Azure Web 应用程序防火墙 (WAF)。此 WAF 可保护你的应用程序免受 SQL 注入和跨站脚本等常见 Web 漏洞的侵害，并允许你自定义规则以减少误报。安装过程中会显示有关将Microsoft Web 应用程序防火墙日志流式传输到 Microsoft Sentinel 的说明。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `AzureDiagnostics` 数据收集规则支持：当前不支持	Microsoft Corporation
更好的移动威胁防御（MTD） BETTER MTD 连接器允许企业将其 Better MTD 实例与 Microsoft Sentinel 连接，以在仪表板中查看其数据、创建自定义警报、使用它触发 Playbook 和扩展威胁搜寻功能。这使用户能够更深入地了解其组织的移动设备，并快速分析当前的移动安全状况，从而提高整体 SecOps 功能。 Log Analytics 表（s）： - `BetterMTDIncidentLog_CL` - `BetterMTDDeviceLog_CL` - `BetterMTDNetflowLog_CL` - `BetterMTDAppLog_CL` 数据收集规则支持：当前不支持	Better Mobile Security Inc.
Bitglass （使用 Azure Functions） Bitglass 数据连接器提供通过 REST API 将 Bitglass 服务的安全事件日志和其他事件检索到 Microsoft Sentinel 的功能。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `BitglassLogs_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：进行 API 调用需要 BitglassToken 和 BitglassServiceURL 。	Microsoft Corporation
Bitsight 数据连接器（使用 Azure Functions） BitSight 数据连接器通过在 Microsoft Sentinel 中引入 BitSight 数据支持基于证据的网络风险监视。 Log Analytics 表（s）： - `Alerts_data_CL` - `BitsightBreaches_data_CL` - `BitsightCompany_details_CL` - `BitsightCompany_rating_details_CL` - `BitsightDiligence_historical_statistics_CL` - `BitsightDiligence_statistics_CL` - `BitsightFindings_data_CL` - `BitsightFindings_summary_CL` - `BitsightGraph_data_CL` - `BitsightIndustrial_statistics_CL` - `BitsightObservation_statistics_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：需要 BitSight API 令牌。请参阅文档，了解有关 API 令牌的详细信息。	BitSight 支持
Bitwarden 事件日志此连接器提供有关 Bitwarden 组织的活动的见解，例如用户的活动（已登录、更改的密码、2fa 等）、密码活动（已创建、更新、已删除、共享等）、收集活动、组织活动等。 Log Analytics 表（s）： - `BitwardenEventLogs` 数据收集规则支持：目前不支持先决条件： - Bitwarden 客户端 ID 和客户端密码：可以在 Bitwarden 组织管理控制台中找到 API 密钥。有关详细信息，请参阅 Bitwarden 文档。	Bitwarden Inc
Box （使用 Azure Functions） Box 数据连接器提供使用 Box REST API 将 Box 企业事件引入 Microsoft Sentinel 的功能。有关详细信息，请参阅 Box 文档。 Log Analytics 表（s）： - `BoxEvents_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Box API 凭据：Box REST API JWT 身份验证需要 Box 配置 JSON 文件。有关详细信息，请参阅 JWT 身份验证。	Microsoft Corporation
Box 事件（CCF） Box 数据连接器提供使用 Box REST API 将 Box 企业事件引入 Microsoft Sentinel 的功能。有关详细信息，请参阅 Box 文档。 Log Analytics 表（s）： - `BoxEventsV2_CL` 数据收集规则支持：目前不支持先决条件： - Box API 凭据：Box API 要求 Box 应用客户端 ID 和客户端密码进行身份验证。有关详细信息，请参阅客户端凭据授予 - Box Enterprise ID：建立连接需要 Box Enterprise ID。请参阅文档以查找企业 ID	Microsoft Corporation
适用于 Microsoft Sentinel 的 Check Point CloudGuard CNAPP 连接器 CloudGuard 数据连接器使用 Microsoft Sentinel 的无代码连接器框架，将安全事件从 CloudGuard API 引入 Microsoft Sentinel™。连接器支持基于 DCR 的引入时间转换，该转换将传入的安全事件数据分析为自定义列。这种预先分析过程消除了查询时分析的需要，从而提高了数据查询的性能。 Log Analytics 表（s）： - `CloudGuard_SecurityEvents_CL` 数据收集规则支持：目前不支持先决条件： - CloudGuard API 密钥：请参阅此处提供的说明来生成 API 密钥。	检查点
Cisco ASA/FTD 通过 AMA （预览版）使用 Cisco ASA 防火墙连接器，可以将 Cisco ASA 日志轻松连接到 Microsoft Sentinel，以查看仪表板、创建自定义警报并改进调查。这样，用户就可以更深入地了解组织的网络并改善安全操作功能。 Log Analytics 表（s）： - `CommonSecurityLog` 数据收集规则支持：工作空间变换 DCR 先决条件： - 若要从非 Azure VM 收集数据，必须安装并启用 Azure Arc。了解更多信息	Microsoft Corporation
Cisco Duo Security （使用 Azure Functions） Cisco Duo Security 数据连接器提供使用 Cisco Duo 管理 API 将身份验证日志、管理员日志、电话日志、脱机注册日志和信任监视器事件引入 Microsoft Sentinel 的功能。详细信息请参阅 API 文档。 Log Analytics 表（s）： - `CiscoDuo_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Cisco Duo API 凭据：Cisco Duo API 凭据需要具有权限授予读取日志的 Cisco Duo API 凭据。请参阅文档，详细了解如何创建 Cisco Duo API 凭据。	Microsoft Corporation
Cisco ETD （使用 Azure Functions）该连接器从 ETD API 提取数据来进行威胁分析 Log Analytics 表（s）： - `CiscoETD_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - 电子邮件威胁防御 API、API 密钥、客户端 ID 和机密：确保具有 API 密钥、客户端 ID 和密钥。	空值
Cisco Meraki （使用 REST API）借助 Cisco Meraki 连接器，可以轻松将 Cisco Meraki 组织事件（安全事件、配置更改和 API 请求）连接到 Microsoft Sentinel。数据连接器使用 Cisco Meraki REST API 提取日志并支持基于 DCR 的引入时间转换，用于分析收到的数据和引入到 Log Analytics 工作区中的 ASIM 和自定义表。此数据连接器受益于基于 DCR 的引入时间筛选、数据规范化等功能。支持的 ASIM 架构： 1. 网络会话 2. Web 会话 3. 审核事件 Log Analytics 表（s）： - `ASimNetworkSessionLogs` 数据收集规则支持：目前不支持先决条件： - Cisco Meraki REST API 密钥：在 Cisco Meraki 中启用 API 访问并生成 API 密钥。有关详细信息，请参阅 Cisco Meraki 官方文档。 - Cisco Meraki 组织 ID：获取 Cisco Meraki 组织 ID 以获取安全事件。按照文档中的步骤使用在上一步中获取的 Meraki API 密钥获取组织 ID。	Microsoft Corporation
Cisco 安全终结点（AMP）（使用 Azure Functions） Cisco Secure Endpoint（以前称为 AMP for Endpoints）数据连接器能够将 Cisco Secure Endpoint 审核日志和事件引入 Microsoft Sentinel。 Log Analytics 表（s）： - `CiscoSecureEndpoint_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Cisco Secure Endpoint API 凭据：需要 Cisco Secure Endpoint 客户端 ID 和 API 密钥。有关详细信息，请参阅 Cisco Secure Endpoint API。还必须提供 API 域。	Microsoft Corporation
Cisco Software Defined WAN Cisco Software Defined WAN (SD-WAN) 数据连接器提供将 Cisco SD-WAN Syslog 和 Netflow 数据引入 Microsoft Sentinel 的功能。 Log Analytics 表（s）： - `Syslog` - `CiscoSDWANNetflow_CL` 数据收集规则支持：工作区转换 DCR	Cisco 系统
Cisco Umbrella （使用 Azure Functions） Cisco Umbrella 数据连接器提供使用 Amazon S3 REST API 将 Amazon S3 中存储的 Cisco Umbrella 事件引入 Microsoft Sentinel 的功能。有关详细信息，请参阅 Cisco Umbrella 日志管理文档。 Log Analytics 表（s）： - `Cisco_Umbrella_dns_CL` - `Cisco_Umbrella_proxy_CL` - `Cisco_Umbrella_ip_CL` - `Cisco_Umbrella_cloudfirewall_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Amazon S3 REST API 凭据/权限：Amazon S3 REST API 需要 AWS 访问密钥 ID、 AWS 机密访问密钥、 AWS S3 存储桶名称。	Microsoft Corporation
Claroty xDome Claroty xDome 为医疗保健和工业网络环境提供全面的安全和警报管理功能。它旨在映射多个源类型、标识收集的数据，并将其集成到 Microsoft Sentinel 数据模型中。这样就可以在一个位置监控医疗保健和工业环境中的所有潜在威胁，从而实现更有效的安全监控和更强大的安全态势。 Log Analytics 表（s）： - `CommonSecurityLog` 数据收集规则支持：工作区转换 DCR	xDome 客户支持
Cloudflare （预览版）（使用 Azure Functions） Cloudflare 数据连接器提供使用 Cloudflare Logpush 和 Azure Blob 存储将 Cloudflare 日志引入 Microsoft Sentinel 的功能。有关详细信息，请参阅 Cloudflare 文档。 Log Analytics 表（s）： - `Cloudflare_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Azure Blob 存储连接字符串和容器名称：Cloudflare Logpush 将日志推送到的 Azure Blob 存储连接字符串和容器名称。有关详细信息，请参阅创建 Azure Blob 存储容器。	Cloudflare
Cognni Cognni 连接器可简单快速地与 Microsoft Sentinel 集成。可以使用 Cognni 自主映射以前未分类的重要信息并检测相关事件。这使你能够识别重要信息的风险，了解事件的严重性，并调查需要修正的详细信息，以足够快的速度发挥作用。 Log Analytics 表（s）： - `CognniIncidents_CL` 数据收集规则支持：当前不支持	Cognni
凝聚力（使用 Azure Functions） Cohesity 函数应用提供将 Cohesity Datahawk 勒索软件警报引入 Microsoft Sentinel 的功能。 Log Analytics 表（s）： - `Cohesity_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Azure Blob 存储连接字符串和容器名称：Azure Blob 存储连接字符串和容器名称	Cohesity
CommvaultSecurityIQ （使用 Azure Functions）使用此 Azure Functions，Commvault 用户可以将警报/事件引入 Microsoft Sentinel 实例。借助分析规则，Microsoft Sentinel 可以根据传入的事件和日志自动创建 Microsoft Sentinel 事件。 Log Analytics 表（s）： - `CommvaultSecurityIQ_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Commvault 环境终结点 URL：请确保遵循文档并在 KeyVault 中设置机密值 - Commvault QSDK 令牌：请确保遵循文档并在 KeyVault 中设置机密值	Commvault
Corelight 连接器导出程序借助 Corelight 数据连接器，使用 Microsoft Sentinel 的事件响应者和威胁搜寻者可以提高工作速度和效率。使用该数据连接器可以通过 Corelight 传感器将事件从 Zeek 和 Suricata 引入 Microsoft Sentinel。 Log Analytics 表（s）： - `Corelight` 数据收集规则支持：当前不支持	Corelight
Cortex XDR - 事件来自 DEFEND 的自定义数据连接器可利用 Cortex API 将事件从 Cortex XDR 平台引入 Microsoft Sentinel。 Log Analytics 表（s）： - `CortexXDR_Incidents_CL` 数据收集规则支持：目前不支持先决条件： - Cortex API 凭据：REST API 需要 Cortex API 令牌。有关详细信息，请参阅 API。检查所有要求，并按照获取凭据的说明进行作。	DEFEND Ltd。
布洛尔使用 Cribl 连接器，可以轻松地将 Cribl（Cribl Enterprise Edition - 独立）日志与 Microsoft Sentinel 连接。这为你提供了对组织的数据管道的更多安全见解。 Log Analytics 表（s）： - `CriblInternal_CL` 数据收集规则支持：当前不支持	布洛尔
CTERA Syslog 用于 Microsoft Sentinel 的 CTERA 数据连接器为 CTERA 解决方案提供监视和威胁检测功能。它包含一个工作簿，用于可视化每种类型、删除和拒绝访问操作的所有操作的总和。它还提供分析规则，用于检测勒索软件事件，并在用户因可疑勒索软件活动而被阻止时发出警报。此外，它还有助于识别关键模式，例如大规模访问被拒绝事件、大规模删除和大规模权限更改，从而启用主动威胁管理和响应。 Log Analytics 表（s）： - `Syslog` 数据收集规则支持：工作区转换 DCR	CTERA
通过 AMA 自定义日志许多应用程序将信息记录到文本或 JSON 文件，而不是标准日志记录服务，例如 Windows 事件日志、Syslog 或 CEF。使用自定义日志数据连接器可以从 Windows 和 Linux 计算机上的文件收集事件，并将其流式传输到所创建的自定义日志表。流式传输数据时，可以使用 DCR 分析和转换内容。收集数据后，可以应用分析规则、搜寻、搜索、威胁情报、扩充等。注意：将此连接器用于以下设备： Cisco Meraki、Zscaler Private Access（ZPA）、VMware vCenter、Apache HTTP 服务器、Apache Tomcat、Jboss Enterprise 应用程序平台、Juniper IDP、MarkLogic Audit、MongoDB Audit、Nginx HTTP 服务器、Oracle Weblogic 服务器、PostgreSQL 事件、Squid 代理、Ubiquiti UniFi、SecurityBridge 威胁检测 SAP 和 AI vectra 流。 Log Analytics 表（s）： - `JBossEvent_CL<br>` - `JuniperIDP_CL<br>` - `ApacheHTTPServer_CL<br>` - `Tomcat_CL<br>` - `meraki_CL<br>` - `VectraStream_CL<br>` - `MarkLogicAudit_CL<br>` - `MongoDBAudit_CL<br>` - `NGINX_CL<br>` - `OracleWebLogicServer_CL<br>` - `PostgreSQL_CL<br>` - `SquidProxy_CL<br>` - `Ubiquiti_CL<br>` - `vcenter_CL<br>` - `ZPA_CL<br>` - `SecurityBridgeLogs_CL<br>` 数据收集规则支持：目前不支持先决条件： - 权限：若要从非 Azure VM 收集数据，必须安装并启用 Azure Arc。了解更多信息	Microsoft Corporation
网络盲点集成（使用 Azure Functions）通过 API 集成，可以通过 RESTful 接口检索与 CBS 组织相关的所有问题。 Log Analytics 表（s）： - `CBSLog_Azure_1_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。	网络威胁管理 360
CyberArkAudit （使用 Azure Functions） CyberArk Audit 数据连接器提供通过 REST API 将 CyberArk Audit 服务的安全事件日志和其他事件检索到 Microsoft Sentinel 的功能。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `CyberArk_AuditEvents_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - 审核 REST API 连接详细信息和凭据：进行 API 调用需要 OauthUsername、 OauthPassword、 WebAppID、 AuditApiKey、 IdentityEndpoint 和 AuditApiBaseUrl 。	CyberArk 支持
CyberArkEPM （使用 Azure Functions） CyberArk Endpoint Privilege Manager 数据连接器提供通过 REST API 将 CyberArk EPM 服务的安全事件日志和其他事件检索到 Microsoft Sentinel 的功能。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `CyberArkEPM_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：进行 API 调用需要 CyberArkEPMUsername、 CyberArkEPMPassword 和 CyberArkEPMServerURL 。	CyberArk 支持
网络安全日志 Cyberpion 安全日志数据连接器，将日志从 Cyberpion 系统直接引入 Sentinel。连接器允许用户可视化其数据、创建警报和事件以及改进安全调查。 Log Analytics 表（s）： - `CyberpionActionItems_CL` 数据收集规则支持：目前不支持先决条件： - Cyberpion 订阅：网络网络日志需要订阅和帐户。可以在此处获取一个。	Cyberpion
Cybersixgill 可作警报（使用 Azure Functions）可操作警报根据配置的资产提供自定义警报 Log Analytics 表（s）： - `CyberSixgill_Alerts_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：进行 API 调用需要 Client_ID 和 Client_Secret 。	Cybersixgill
Cyborg Security HUNTER Hunt Packages Cyborg Security 是一家高级威胁搜寻解决方案的领先提供商，其使命是为组织提供尖端技术和协作工具，以主动检测和响应网络威胁。 Cyborg Security 的旗舰产品 HUNTER 平台结合了强大的分析功能、精选的威胁搜寻内容和全面的搜寻管理功能，为有效的威胁搜寻操作创造了一个动态生态系统。按照以下步骤访问 Cyborg Security 社区并在 HUNTER 平台中设置“在工具中打开”功能。 Log Analytics 表（s）： - `SecurityEvent` 数据收集规则支持：当前不支持	西堡安全
Cyfirma 攻击 Surface 连接器无 Log Analytics 表（s）： - `CyfirmaASCertificatesAlerts_CL` - `CyfirmaASConfigurationAlerts_CL` - `CyfirmaASDomainIPReputationAlerts_CL` - `CyfirmaASOpenPortsAlerts_CL` - `CyfirmaASCloudWeaknessAlerts_CL` - `CyfirmaASDomainIPVulnerabilityAlerts_CL` 数据收集规则支持：当前不支持	西菲玛
Cyfirma 品牌智能连接器无 Log Analytics 表（s）： - `CyfirmaBIDomainITAssetAlerts_CL` - `CyfirmaBIExecutivePeopleAlerts_CL` - `CyfirmaBIProductSolutionAlerts_CL` - `CyfirmaBISocialHandlersAlerts_CL` - `CyfirmaBIMaliciousMobileAppsAlerts_CL` 数据收集规则支持：当前不支持	西菲玛
Cyfirma Digital Risk Connector [Cyfirma DeCYFIR/DeTCT 警报] 数据连接器允许从 DeCYFIR/DeTCT API 无缝引入到 Microsoft Sentinel。它基于 Microsoft Sentinel 无代码连接器框架构建，它利用 DeCYFIR 警报 API 检索日志。此外，它还支持基于 DCR 的引入时间转换，该转换在引入期间将安全数据分析为自定义表。这样就无需进行查询时分析、提高性能和效率。 Log Analytics 表（s）： - `CyfirmaDBWMPhishingAlerts_CL` - `CyfirmaDBWMRansomwareAlerts_CL` - `CyfirmaDBWMDarkWebAlerts_CL` - `CyfirmaSPESourceCodeAlerts_CL` - `CyfirmaSPEConfidentialFilesAlerts_CL` - `CyfirmaSPEPIIAndCIIAlerts_CL` - `CyfirmaSPESocialThreatAlerts_CL` 数据收集规则支持：当前不支持	西菲玛
Cynerio 安全事件使用 Cynerio 连接器，可以轻松地将 Cynerio 安全事件与 Microsoft Sentinel 连接，以查看 IDS 事件。通过此操作，可以更深入地了解组织的网络安全状况并提高安全运营能力。 Log Analytics 表（s）： - `CynerioEvent_CL` 数据收集规则支持：当前不支持	Cynerio
用于 Microsoft Sentinel REST API 的 Darktrace 连接器 Darktrace REST API 连接器将实时事件从 Darktrace 推送到 Microsoft Sentinel，旨在与 Sentinel 的 Darktrace 解决方案一起使用。连接器将日志写入标题为“darktrace_model_alerts_CL”的自定义日志表；可以引入模型违规、AI 分析师事件、系统警报和电子邮件警报 - 可以在 Darktrace 系统配置页上设置其他筛选器。数据从 Darktrace 主服务器推送到 Sentinel。 Log Analytics 表（s）： - `darktrace_model_alerts_CL` 数据收集规则支持：目前不支持先决条件： - 深色跟踪先决条件：若要使用此数据连接器，需要使用运行 v5.2+ 的 Darktrace 主控形状。数据通过 HTTPs 从 Darktrace 主服务器发送到 Azure Monitor HTTP 数据收集器 API，因此需要从 Darktrace 主服务器到 Microsoft Sentinel REST API 的出站连接。 - 筛选深色跟踪数据：在配置过程中，可以在 Darktrace 系统配置页上设置其他筛选，以限制发送的数据量或类型。 - 尝试 Darktrace Sentinel 解决方案：可以通过安装适用于 Microsoft Sentinel 的 Darktrace 解决方案来充分利用此连接器。这将提供工作簿来可视化警报数据和分析规则，以自动从 Darktrace 模型泄露和 AI 分析师事件创建警报和事件。	深色跟踪
Datalake2Sentinel 此解决方案安装使用无代码连接器框架生成的 Datalake2Sentinel 连接器，并允许通过上传指示器 REST API 自动将威胁情报指示器从 Datalake Orange Cyberdefense 的 CTI 平台引入到 Microsoft Sentinel 中。安装解决方案后，按照管理解决方案视图中的指南配置并启用此数据连接器。 Log Analytics 表（s）： - `ThreatIntelligenceIndicator` 数据收集规则支持：当前不支持	Orange Cyberdefense
Dataminr Pulse Alerts 数据连接器（使用 Azure Functions） Dataminr Pulse Alerts Data Connector 可将 AI 支持的实时智能引入 Microsoft Sentinel，以加快威胁检测和响应速度。 Log Analytics 表（s）： - `DataminrPulse_Alerts_CL` 数据收集规则支持：目前不支持先决条件： - Azure 订阅：需要具有所有者角色的 Azure 订阅才能在 Microsoft Entra ID 中注册应用程序，并将参与者的角色分配给资源组中的应用。 - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - 所需的 Dataminr 凭据/权限： a。用户必须具有有效的 Dataminr Pulse API 客户端 ID和机密才能使用此数据连接器。 b. 必须在 Dataminr Pulse 网站中配置一个或多个 Dataminr Pulse 监视列表。	Dataminr 支持
Derdack SIGNL4 当关键系统发生故障或发生安全事件时，SIGNL4 将故障位置与现场员工、工程师、IT 管理员和工作人员的“最后一英里”连接起来。它可以立即将实时移动警报添加到服务、系统和进程中。 SIGNL4 通过持续移动推送、短信和语音呼叫发出通知，并提供确认、跟踪和升级功能。集成的值班和轮班安排可确保在合适的时间向合适的人员发出警报。了解详细信息> Log Analytics 表（s）： - `SecurityIncident` 数据收集规则支持：当前不支持	Derdack
数字阴影搜索灯（使用 Azure Functions） Digital Shadows 数据连接器使用 REST API 将事件和警报从 Digital Shadows Searchlight 引入到 Microsoft Sentinel。该连接器将提供事件和警报信息，以帮助检查、诊断和分析潜在安全风险与威胁。 Log Analytics 表（s）： - `DigitalShadows_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：数字影子帐户 ID、机密和密钥是必需的。有关 API `https://portal-digitalshadows.com/learn/searchlight-api/overview/description`的详细信息，请参阅文档。	数字阴影
DNS 使用 DNS 日志连接器，可以轻松地将 DNS 分析和审核日志与 Microsoft Sentinel 和其他相关数据连接，以改进调查。启用 DNS 日志收集时，可以： - 标识尝试解析恶意域名的客户端。 - 标识过时的资源记录。 - 识别经常查询的域名和对话 DNS 客户端。 - 查看 DNS 服务器上的请求负载。 - 查看动态 DNS 注册失败。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `DnsEvents` - `DnsInventory` 数据收集规则支持：当前不支持	Microsoft Corporation
Doppel 数据连接器数据连接器基于 Doppel 事件和警报的 Microsoft Sentinel 构建，并支持基于 DCR 的引入时间转换，这些转换将收到的安全事件数据分析为自定义列，以便查询无需再次分析它，从而提供更好的性能。 Log Analytics 表（s）： - `DoppelTable_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft Entra 租户 ID、客户端 ID 和客户端密码：Microsoft Entra ID 要求客户端 ID 和客户端密码对应用程序进行身份验证。此外，需要全局管理员/所有者级别访问权限才能为 Entra 注册的应用程序分配资源组监视指标发布服务器角色。 - 需要工作区 ID、DCE-URI、DCR-ID：需要获取配置的 Log Analytics 工作区 ID、DCE 日志引入 URI 和 DCR 不可变 ID。	Doppel
通过云站点存储发送的 Dragos 通知 Dragos 平台是领先的工业网络安全平台，它提供由无与伦比的工业网络安全专业知识构建的综合运营技术（OT）网络威胁检测。此解决方案使 Dragos Platform 通知数据能够在 Microsoft Sentinel 中查看，以便安全分析师能够对其工业环境中发生的潜在网络安全事件进行会审。 Log Analytics 表（s）： - `DragosAlerts_CL` 数据收集规则支持：目前不支持先决条件： - Dragos Sitestore API 访问权限：具有权限的 `notification:read` Sitestore 用户帐户。此帐户还需要具有可以提供给 Sentinel 的 API 密钥。	Dragos Inc
Druva 事件连接器提供从 Druva API 引入 Druva 事件的功能 Log Analytics 表（s）： - `DruvaSecurityEvents_CL` 数据收集规则支持：目前不支持先决条件： - Druva API 访问：Druva API 需要客户端 ID 和客户端密码才能进行身份验证	Druva Inc
Dynamics 365 财务和运营 Dynamics 365 for Finance and Operations 是一种全面的企业资源规划（ERP）解决方案，结合了财务和运营能力，帮助企业管理日常运营。它提供了一系列功能，使企业能够简化工作流、自动执行任务并深入了解运营性能。 Dynamics 365 Finance and Operations 数据连接器将 Dynamics 365 Finance and Operations 管理员活动和审核日志以及用户业务流程和应用程序活动记录到 Microsoft Sentinel 中。 Log Analytics 表（s）： - `FinanceOperationsActivity_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft Entra 应用注册：用于访问 Dynamics 365 Finance and Operations 的应用程序客户端 ID 和机密。	Microsoft Corporation
Dynamics365 Dynamics 365 Common Data Service (CDS) 活动连接器提供对管理员活动、用户活动和支持活动以及 Microsoft Social Engagement 日志记录事件的见解。通过将 Dynamics 365 CRM 日志连接到 Microsoft Sentinel，可以在工作簿中查看此数据，使用它创建自定义警报，并改进调查过程。 Log Analytics 表（s）： - `Dynamics365Activity` 数据收集规则支持：当前不支持	Microsoft Corporation
Dynatrace 攻击此连接器使用 Dynatrace Attacks REST API 将检测到的攻击引入 Microsoft Sentinel Log Analytics Log Analytics 表（s）： - `DynatraceAttacks_CL` 数据收集规则支持：目前不支持先决条件： - Dynatrace 租户（例如 xyz.dynatrace.com）：需要启用应用程序安全性的有效 Dynatrace 租户，了解有关 Dynatrace 平台的详细信息。 - Dynatrace 访问令牌：需要 Dynatrace 访问令牌，令牌应具有读取攻击（attacks.read）范围。	Dynatrace
Dynatrace 审核日志此连接器使用 Dynatrace Audit Logs REST API 将租户审核日志引入 Microsoft Sentinel Log Analytics Log Analytics 表（s）： - `DynatraceAuditLogs_CL` 数据收集规则支持：目前不支持先决条件： - Dynatrace 租户（例如 xyz.dynatrace.com）：需要有效的 Dynatrace 租户，以了解有关 Dynatrace 平台的详细信息，开始免费试用。 - Dynatrace 访问令牌：需要 Dynatrace 访问令牌，令牌应具有读取审核日志（auditLogs.read）范围。	Dynatrace
Dynatrace 问题此连接器使用 Dynatrace 问题 REST API 将问题事件引入 Microsoft Sentinel Log Analytics Log Analytics 表（s）： - `DynatraceProblems_CL` 数据收集规则支持：目前不支持先决条件： - Dynatrace 租户（例如 xyz.dynatrace.com）：需要有效的 Dynatrace 租户，以了解有关 Dynatrace 平台的详细信息，开始免费试用。 - Dynatrace 访问令牌：需要 Dynatrace 访问令牌，令牌应具有读取问题（problems.read ）范围。	Dynatrace
Dynatrace 运行时漏洞此连接器使用 Dynatrace 安全问题 REST API 将检测到的运行时漏洞引入 Microsoft Sentinel Log Analytics。 Log Analytics 表（s）： - `DynatraceSecurityProblems_CL` 数据收集规则支持：目前不支持先决条件： - Dynatrace 租户（例如 xyz.dynatrace.com）：需要启用应用程序安全性的有效 Dynatrace 租户，了解有关 Dynatrace 平台的详细信息。 - Dynatrace 访问令牌：需要 Dynatrace 访问令牌，令牌应具有读取安全问题（securityProblems.read）范围。	Dynatrace
弹性代理（独立） Elastic Agent 数据连接器提供将 Elastic Agent 日志、指标和安全数据引入 Microsoft Sentinel 的功能。 Log Analytics 表（s）： - `ElasticAgentEvent` 数据收集规则支持：目前不支持先决条件： - 如果连接需要，请包括自定义先决条件 - 否则删除海关：任何自定义先决条件的说明	Microsoft Corporation
Ermes Browser 安全事件 Ermes Browser 安全事件 Log Analytics 表（s）： - `ErmesBrowserSecurityEvents_CL` 数据收集规则支持：目前不支持先决条件： - Ermes 客户端 ID 和客户端密码：在 Ermes 中启用 API 访问。有关详细信息，请联系 Ermes 网络安全支持部门。	Ermes 网络安全 S.p.A.
ESET 保护平台（使用 Azure Functions）使用 ESET Protect Platform 数据连接器，用户可以通过提供的集成 REST API 从 ESET Protect Platform 注入检测数据。集成 REST API 作为计划的 Azure 函数应用运行。 Log Analytics 表（s）： - `IntegrationTable_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - 在 Microsoft Entra ID 中注册应用程序的权限：需要有足够的权限向 Microsoft Entra 租户注册应用程序。 - 向已注册的应用程序分配角色的权限：需要Microsoft Entra ID 中向已注册的应用程序分配监视指标发布者角色的权限。	ESET 企业集成
Exchange Security Insights 本地收集器用于推送 Exchange 本地安全配置供 Microsoft Sentinel 分析使用的连接器 Log Analytics 表（s）： - `ESIExchangeConfig_CL` 数据收集规则支持：目前不支持先决条件： - 具有组织管理角色的服务帐户：作为计划任务启动脚本的服务帐户必须是组织管理才能检索所有所需的安全信息。 - 详细文档：>有关安装过程和用法的详细文档，可在此处找到	社区
Exchange Security Insights Online 收集器（使用 Azure Functions）用于推送 Exchange Online 安全配置供 Microsoft Sentinel 分析使用的连接器 Log Analytics 表（s）： - `ESIExchangeOnlineConfig_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - microsoft.automation/automationaccounts 权限：需要使用 Runbook 读取和写入权限来创建 Azure 自动化。有关详细信息，请参阅自动化帐户。 - Microsoft.Graph 权限：Groups.Read、Users.Read 和 Auditing.Read 权限。读取权限是检索链接到 Exchange Online 分配的用户/组信息所必需的。若要了解详细信息，请参阅文档。 - Exchange Online 权限：需要 Exchange.ManageAsApp 权限和全局读取者或安全读取者角色才能检索 Exchange Online Security Configuration。有关详细信息，请参阅文档。 - （可选）日志存储权限：存储 Blob 数据参与者到链接到自动化帐户托管标识的存储帐户或应用程序 ID 是存储日志的必需属性。有关详细信息，请参阅文档。	社区
F5 BIG-IP 使用 F5 防火墙连接器，可以将 F5 日志轻松连接到 Microsoft Sentinel，以查看仪表板、创建自定义警报并改进调查。这样，用户就可以更深入地了解组织的网络并改善安全操作功能。 Log Analytics 表（s）： - `F5Telemetry_LTM_CL` - `F5Telemetry_system_CL` - `F5Telemetry_ASM_CL` 数据收集规则支持：当前不支持	F5 网络
Feedly 此连接器允许从 Feedly 引入 IoC。 Log Analytics 表（s）： - `feedly_indicators_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - 如有必要，自定义先决条件，否则请删除此海关标记：任何自定义先决条件的说明	Feedly Inc
耀斑 Flare 连接器允许你从 Microsoft Sentinel 上的 Flare 接收数据和情报。 Log Analytics 表（s）： - `Firework_CL` 数据收集规则支持：目前不支持先决条件： - 所需的 Flare 权限：只有 Flare 组织管理员可以配置Microsoft Sentinel 集成。	耀斑
Forcepoint DLP 借助 Forcepoint DLP（数据丢失防护）连接器，可以实时自动将 DLP 事件数据从 Forcepoint DLP 导出到 Microsoft Sentinel。这可以深入了解用户活动和数据丢失事件，进一步关联来自 Azure 工作负载和其他源的数据，并提高对 Microsoft Sentinel 中工作簿的监视能力。 Log Analytics 表（s）： - `ForcepointDLPEvents_CL` 数据收集规则支持：当前不支持	社区
Forescout Forescout 数据连接器可将 Forescout 事件引入 Microsoft Sentinel。有关详细信息，请参阅 Forescout 文档。 Log Analytics 表（s）： - `ForescoutEvent` 数据收集规则支持：当前不支持	Microsoft Corporation
Forescout Host 属性监视器 Forescout Host Property Monitor 连接器允许使用 Microsoft Sentinel 从 Forescout 平台连接主机属性，以查看、创建自定义事件和改进调查。这样，用户就可以更深入地了解组织网络并改善安全操作功能。 Log Analytics 表（s）： - `ForescoutHostProperties_CL` 数据收集规则支持：目前不支持先决条件： - Forescout 插件要求：请确保 Forescout Microsoft Sentinel 插件在 Forescout 平台上运行	Microsoft Corporation
Fortinet FortinDR Cloud （使用 Azure Functions） Fortinet FortiNDR Cloud 数据连接器提供了使用 FortiNDR Cloud API 将 Fortinet FortiNDR Cloud 数据引入 Microsoft Sentinel 的功能 Log Analytics 表（s）： - `FncEventsSuricata_CL` - `FncEventsObservation_CL` - `FncEventsDetections_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - MetaStream 凭据：需要 AWS 访问密钥 ID、 AWS 机密访问密钥、 FortiNDR 云帐户代码来检索事件数据。 - API 凭据： FortinDR 云 API 令牌、 FortinDR 云帐户 UUID 需要检索检测数据。	Fortinet
Garrison ULTRA 远程日志（使用 Azure Functions）使用 Garrison ULTRA 远程日志连接器，可以将驻军超级远程日志引入Microsoft Sentinel。 Log Analytics 表（s）： - `Garrison_ULTRARemoteLogs_CL` 数据收集规则支持：目前不支持先决条件： - Garrison ULTRA：若要使用此数据连接器，必须拥有有效的驻军超级许可证。	驻军
GCP 发布/子审核日志 Google Cloud Platform （GCP）审核日志（从 Microsoft Sentinel 的连接器引入）可用于捕获三种类型的审核日志：管理活动日志、数据访问日志和访问透明度日志。 Google 云审核日志记录了一条线索，从业者可用于监视跨 Google Cloud Platform （GCP）资源的访问和检测潜在威胁。 Log Analytics 表（s）： - `GCPAuditLogs` 数据收集规则支持：当前不支持	Microsoft Corporation
GCP 发布/子负载均衡器日志（通过无代码连接器框架）。 Google Cloud Platform （GCP）负载均衡器日志提供有关网络流量的详细见解，同时捕获入站和出站活动。这些日志用于监视访问模式，并确定跨 GCP 资源的潜在安全威胁。此外，这些日志还包括 GCP Web 应用程序防火墙（WAF）日志，增强了检测和有效降低风险的能力。 Log Analytics 表（s）： - `GCPLoadBalancerLogs_CL` 数据收集规则支持：当前不支持	Microsoft Corporation
GCP Pub/SubVP 流日志（通过无代码连接器框架）（预览版）借助 Google Cloud Platform（GCP）的VP流日志，可以在VP级别捕获网络流量活动，从而监视访问模式、分析网络性能，以及检测跨 GCP 资源的潜在威胁。 Log Analytics 表（s）： - `GCPVPCFlow` 数据收集规则支持：当前不支持	Microsoft Corporation
Gigamon AMX 数据连接器使用此数据连接器与 Gigamon Application Metadata Exporter (AMX) 集成，并将数据直接发送到 Microsoft Sentinel。 Log Analytics 表（s）： - `Gigamon_CL` 数据收集规则支持：当前不支持	Gigamon
GitHub （使用 Webhook）（使用 Azure Functions） GitHub Webhook 数据连接器提供使用 GitHub Webhook 事件将 GitHub 订阅事件引入 Microsoft Sentinel 的功能。该连接器提供将事件引入 Microsoft Sentinel 的功能，这有助于检查潜在的安全风险、分析团队协作情况、诊断配置问题等。注意：如果要引入 Github 审核日志，请参阅“数据连接器”库中的 GitHub Enterprise Audit Log Connector。 Log Analytics 表（s）： - `githubscanaudit_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。	Microsoft Corporation
GitHub Enterprise 审核日志 GitHub 审核日志连接器可将 GitHub 日志引入 Microsoft Sentinel。通过将 GitHub 审核日志连接到 Microsoft Sentinel，可以在工作簿中查看此数据、使用此数据创建自定义警报以及改进调查过程。注意：如果你打算将 GitHub 订阅的事件引入 Microsoft Sentinel，请参阅“数据连接器”库中的 GitHub（使用 Webhook）连接器。 Log Analytics 表（s）： - `GitHubAuditLogPolling_CL` 数据收集规则支持：目前不支持先决条件： - GitHub API 个人访问令牌：需要 GitHub 个人访问令牌才能为组织审核日志启用轮询。可以使用具有“read:org”范围的经典令牌或具有“Administration: Read-only”范围的细粒度令牌。 - GitHub Enterprise 类型：此连接器仅适用于 GitHub Enterprise Cloud;它不支持 GitHub Enterprise Server。	Microsoft Corporation
Google ApigeeX （使用 Azure Functions） Google ApigeeX 数据连接器提供使用 GCP 日志记录 API 将 ApigeeX 审核日志引入 Microsoft Sentinel 的功能。详细信息请参阅 GCP 日志记录 API 文档。 Log Analytics 表（s）： - `ApigeeX_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - GCP 服务帐户：GCP 日志记录 API 需要具有读取日志权限的 GCP 服务帐户。此外，还需要包含服务帐户密钥的 json 文件。请参阅文档，了解有关所需权限、创建服务帐户和创建服务帐户密钥的详细信息。	Microsoft Corporation
Google Cloud Platform Cloud Monitoring （使用 Azure Functions） Google Cloud Platform 云监视数据连接器提供使用 GCP 监视 API 将 GCP 监视指标引入 Microsoft Sentinel 的功能。详细信息请参阅 GCP 监视 API 文档。 Log Analytics 表（s）： - `GCP_MONITORING_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - GCP 服务帐户：GCP 监视 API 需要有权读取云监视指标的 GCP 服务帐户（所需的监视查看器角色）。此外，还需要包含服务帐户密钥的 json 文件。请参阅文档，详细了解如何创建服务帐户和创建服务帐户密钥。	Microsoft Corporation
Google Cloud Platform DNS （通过无代码连接器框架）（预览版） Google Cloud Platform DNS 数据连接器提供了使用 Google Cloud DNS API 将云 DNS 查询日志和云 DNS 审核日志引入 Microsoft Sentinel 的功能。有关详细信息，请参阅云 DNS API 文档。 Log Analytics 表（s）： - `GCPDNS` 数据收集规则支持：当前不支持	Microsoft Corporation
Google Cloud Platform IAM （通过无代码连接器框架）（预览版） Google Cloud Platform IAM 数据连接器提供了使用 Google IAM API 将与 Google Cloud 中的标识和访问管理（IAM）活动相关的审核日志引入 Microsoft Sentinel 的功能。有关详细信息，请参阅 GCP IAM API 文档。 Log Analytics 表（s）： - `GCP_IAMV2_CL` 数据收集规则支持：当前不支持	Microsoft Corporation
Google 安全命令中心 Google Cloud Platform （GCP）安全命令中心是 Google Cloud 的综合安全和风险管理平台，从 Sentinel 的连接器引入。它提供资产清单和发现、漏洞和威胁检测、风险缓解和修正等功能，有助于深入了解组织的安全和数据攻击面。通过此集成，可以更有效地执行与结果和资产相关的任务。 Log Analytics 表（s）： - `GoogleCloudSCC` 数据收集规则支持：当前不支持	Microsoft Corporation
Google Workspace （G Suite）（使用 Azure Functions） Google Workspace 数据连接器能够通过 REST API 将 Google 工作区活动事件引入 Microsoft Sentinel。连接器能够获取事件，帮助检查潜在的安全风险、分析团队的协作情况、诊断配置问题、跟踪登录人员和登录时间、分析管理员活动、了解用户创建和共享内容的方式，以及查看组织中的更多事件。 Log Analytics 表（s）： - `GWorkspace_ReportsAPI_admin_CL` - `GWorkspace_ReportsAPI_calendar_CL` - `GWorkspace_ReportsAPI_drive_CL` - `GWorkspace_ReportsAPI_login_CL` - `GWorkspace_ReportsAPI_mobile_CL` - `GWorkspace_ReportsAPI_token_CL` - `GWorkspace_ReportsAPI_user_accounts_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：REST API 需要 GooglePickleString 。有关详细信息，请参阅 API。安装过程中会显示获取凭据的说明。还可以检查所有要求，并按照此处的说明进行作。	Microsoft Corporation
灰色Noise 威胁情报（使用 Azure Functions）此数据连接器可安装 Azure Function 应用，每天下载一次 GreyNoise 指标，并将其插入到 Microsoft Sentinel 中的 ThreatIntelligenceIndicator 表中。 Log Analytics 表（s）： - `ThreatIntelligenceIndicator` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - GreyNoise API 密钥：在此处检索 GreyNoise API 密钥。	灰色Noise
HackerView Intergration （使用 Azure Functions）通过 API 集成，可以通过 RESTful 接口检索与 HackerView 组织相关的所有问题。 Log Analytics 表（s）： - `HackerViewLog_Azure_1_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。	网络威胁管理 360
Holm 安全资产数据（使用 Azure Functions）该连接器提供将数据从 Holm 安全中心轮询到 Microsoft Sentinel 的功能。 Log Analytics 表（s）： - `net_assets_CL` - `web_assets_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Holm 安全 API 令牌：需要 Holm 安全 API 令牌。 Holm 安全 API 令牌	Holm Security
Microsoft Exchange Server 的 IIS 日志 [选项 5] - 使用 Azure Monitor 代理 - 可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有 IIS 日志。使用此连接，你可以创建自定义警报和改进调查。 Log Analytics 表（s）： - `W3CIISLog` 数据收集规则支持：目前不支持先决条件： - 建议弃用 Azure Log Analytics，以便从非 Azure VM 收集数据。了解详细信息 - 详细文档：>有关安装过程和用法的详细文档，可在此处找到	社区
Illumio SaaS （使用 Azure Functions） Illumio 连接器提供将事件引入 Microsoft Sentinel 的功能。该连接器提供从 AWS S3 Bucket 中引入可审核事件和流事件的功能。 Log Analytics 表（s）： - `Illumio_Auditable_Events_CL` - `Illumio_Flow_Events_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - SQS 和 AWS S3 帐户凭据/权限：需要 AWS_SECRET、 AWS_REGION_NAME、 AWS_KEY、 QUEUE_URL 。如果使用的是 Illumio 提供的 s3 Bucket，请联系 Illumio 支持。他们会根据你的请求，为你提供 AWS S3 Bucket 名称、AWS SQS URL 和 AWS 凭据来访问它们。 - Illumio API 密钥和机密：工作簿需要ILLUMIO_API_KEY，ILLUMIO_API_SECRET才能连接到 SaaS PCE 并提取 API 响应。	伊鲁米奥
Imperva Cloud WAF （使用 Azure Functions） Imperva Cloud WAF 数据连接器提供通过 REST API 将 Web 应用程序防火墙事件集成并引入 Microsoft Sentinel 的功能。请参阅日志集成文档了解详细信息。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `ImpervaWAFCloud_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：API 需要 ImpervaAPIID、ImpervaAPIKey、ImpervaLogServerURI。有关详细信息，请参阅安装程序日志集成过程。检查所有要求，并遵循说明，以获得凭据。请注意，此连接器使用 CEF 日志事件格式。有关日志格式的详细信息。	Microsoft Corporation
通过 AMA 的 Infoblox 云数据连接器利用 Infoblox Cloud Data 连接器，可以轻松将 Infoblox 数据与 Microsoft Sentinel 相连接。通过将日志连接到 Microsoft Sentinel，可以针对每个日志使用搜索和关联、警报以及威胁情报扩充功能。 Log Analytics 表（s）： - `CommonSecurityLog` 数据收集规则支持：工作区转换 DCR	Infoblox
通过 REST API （使用 Azure Functions）的 Infoblox 数据连接器利用 Infoblox Data Connector，可以轻松地将 Infoblox TIDE 数据与 Microsoft Sentinel 相连接。通过将数据连接到 Microsoft Sentinel，可以针对每个日志使用搜索和关联、警报以及威胁情报扩充功能。 Log Analytics 表（s）： - `Failed_Range_To_Ingest_CL` - `Infoblox_Failed_Indicators_CL` - `dossier_whois_CL` - `dossier_tld_risk_CL` - `dossier_threat_actor_CL` - `dossier_rpz_feeds_records_CL` - `dossier_rpz_feeds_CL` - `dossier_nameserver_matches_CL` - `dossier_nameserver_CL` - `dossier_malware_analysis_v3_CL` - `dossier_inforank_CL` - `dossier_infoblox_web_cat_CL` - `dossier_geo_CL` - `dossier_dns_CL` - `dossier_atp_threat_CL` - `dossier_atp_CL` - `dossier_ptr_CL` 数据收集规则支持：目前不支持先决条件： - Azure 订阅：需要具有所有者角色的 Azure 订阅才能在 Microsoft Entra ID 中注册应用程序，并将参与者的角色分配给资源组中的应用。 - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：需要 Infoblox API 密钥。请参阅文档，了解有关 Rest API 参考的 API 的详细信息	Infoblox
通过 AMA 的 Infoblox SOC Insight 数据连接器利用 Infoblox SOC Insight Data Connector，可以轻松地将 Infoblox BloxOne SOC Insight 数据与 Microsoft Sentinel 相连接。通过将日志连接到 Microsoft Sentinel，可以针对每个日志使用搜索和关联、警报以及威胁情报扩充功能。此数据连接器使用新的 Azure Monitor 代理将 Infoblox SOC Insight CDC 日志引入 Log Analytics 工作区。在此处了解有关使用新 Azure Monitor 代理引入的详细信息。 Microsoft 建议使用此数据连接器。 Log Analytics 表（s）： - `CommonSecurityLog` 数据收集规则支持：工作空间变换 DCR 先决条件： - 若要从非 Azure VM 收集数据，必须安装并启用 Azure Arc。了解详细信息 - 必须安装通过 AMA 通过 AMA 和 Syslog 通过 AMA 数据连接器的通用事件格式（CEF）。了解更多信息	Infoblox
通过 REST API 的 Infoblox SOC Insight 数据连接器利用 Infoblox SOC Insight Data Connector，可以轻松地将 Infoblox BloxOne SOC Insight 数据与 Microsoft Sentinel 相连接。通过将日志连接到 Microsoft Sentinel，可以针对每个日志使用搜索和关联、警报以及威胁情报扩充功能。 Log Analytics 表（s）： - `InfobloxInsight_CL` 数据收集规则支持：当前不支持	Infoblox
InfoSecGlobal 数据连接器使用此数据连接器与 InfoSec 加密分析集成，并将数据直接发送到 Microsoft Sentinel。 Log Analytics 表（s）： - `InfoSecAnalytics_CL` 数据收集规则支持：当前不支持	InfoSecGlobal
Island Enterprise Browser Admin Audit （Polling CCF） Island Admin 连接器提供了将 Island Admin Audit 日志引入 Microsoft Sentinel 的功能。 Log Analytics 表（s）： - `Island_Admin_CL` 数据收集规则支持：目前不支持先决条件： - 岛 API 密钥：需要岛 API 密钥。	岛
Island Enterprise Browser 用户活动（轮询 CCF） Island 连接器提供了将 Island 用户活动日志引入 Microsoft Sentinel 的功能。 Log Analytics 表（s）： - `Island_User_CL` 数据收集规则支持：目前不支持先决条件： - 岛 API 密钥：需要岛 API 密钥。	岛
Jamf 保护推送连接器 Jamf Protect 连接器提供从 Microsoft Sentinel 中的 Jamf Protect 读取原始事件数据的功能。 Log Analytics 表（s）： - `jamfprotecttelemetryv2_CL` - `jamfprotectunifiedlogs_CL` - `jamfprotectalerts_CL` 数据收集规则支持：已支持先决条件： - Microsoft Entra：在 Microsoft Entra ID 中创建应用注册的权限。通常需要 Entra ID 应用程序开发人员角色或更高版本。 - Microsoft Azure：在数据收集规则（DCR）上分配监视指标发布者角色的权限。通常需要 Azure RBAC 所有者或用户访问管理员角色	Jamf Software， LLC
LastPass Enterprise - 报告（轮询 CCF） LastPass Enterprise 连接器提供将 LastPass 报告（审核）日志引入 Microsoft Sentinel 的功能。该连接器提供了对 LastPass 中的登录和活动（例如读取和删除密码）的可见性。 Log Analytics 表（s）： - `LastPassNativePoller_CL` 数据收集规则支持：目前不支持先决条件： - LastPass API 密钥和 CID：需要 LastPass API 密钥和 CID。有关详细信息，请参阅 LastPass API。	集体咨询
Lookout （使用 Azure 函数） Lookout 数据连接器提供通过移动风险 API 将 Lookout 事件引入 Microsoft Sentinel 的功能。详细信息请参阅 API 文档。 Lookout 数据连接器提供了获取事件的功能，这有助于检查潜在的安全风险等。 Log Analytics 表（s）： - `Lookout_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - 移动风险 API 凭据/权限：移动风险 API 需要 EnterpriseName 和 ApiKey 。有关详细信息，请参阅 API。检查所有要求，并按照获取凭据的说明进行作。	望风
Luminar IOC 和泄露的凭据（使用 Azure Functions） Luminar IOC 和凭据泄露连接器允许集成基于情报的 IOC 数据和 Luminar 识别的与客户相关的泄露记录。 Log Analytics 表（s）： - `ThreatIntelligenceIndicator` 数据收集规则支持：目前不支持先决条件： - Azure 订阅：需要具有所有者角色的 Azure 订阅才能在 Azure Active Directory（）中注册应用程序，并向资源组中的应用分配参与者角色。 - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：需要 Luminar 客户端 ID、 Luminar 客户端机密和 Luminar 帐户 ID 。	Cognyte Luminar
MailGuard 365 适用于 Microsoft 365 的 MailGuard 365 增强型电子邮件安全性。 MailGuard 365 是 Microsoft 市场专供产品，与 Microsoft 365 安全性（包括 Defender）集成，用于实现对高级电子邮件威胁（如钓鱼、勒索软件和复杂的 BEC 攻击）的增强保护。 Log Analytics 表（s）： - `MailGuard365_Threats_CL` 数据收集规则支持：当前不支持	MailGuard 365
MailRisk by Secure Practice （使用 Azure Functions）用于将电子邮件从 MailRisk 推送到 Microsoft Sentinel Log Analytics 的数据连接器。 Log Analytics 表（s）： - `MailRiskEmails_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - API 凭据：还需要安全实践 API 密钥对，这些密钥对是在管理门户中的设置中创建的。如果丢失了 API 机密，可以生成新的密钥对（警告：使用旧密钥对的任何其他集成都将停止工作）。	安全做法
Microsoft 365（前，Office 365） Microsoft 365（前身为 Office 365）活动日志连接器提供关于正在进行的用户活动的见解。你将获取作的详细信息，例如文件下载、发送的访问请求、对组事件的更改、设置邮箱和执行作的用户的详细信息。通过将 Microsoft 365 日志连接到 Microsoft Sentinel，你可以使用此数据查看仪表板、创建自定义警报以及改善调查过程。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `OfficeActivity` 数据收集规则支持：当前不支持	Microsoft Corporation
Microsoft 365 预览体验计划风险管理 Microsoft 365 Insider Risk Management 是 Microsoft 365 中的符合性解决方案，让你能够检测、调查和应对组织中的恶意和无意活动，从而帮助你将内部风险降至最低。组织中的风险分析师可以快速采取适当措施，确保用户符合组织的合规性标准。内部风险策略允许你： - 定义要在组织中识别和检测的风险类型。 - 决定采取哪些措施作为响应，包括根据需要将案例升级为Microsoft高级电子数据展示。此解决方案会生成警报，Office 客户可在 Microsoft 365 合规中心的 Insider Risk Management 解决方案中看到这些警报。详细了解 Insider Risk Management。可以使用此连接器将这些警报导入 Microsoft Sentinel，以便在更广泛的组织威胁上下文中查看、调查和响应它们。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `SecurityAlert` 数据收集规则支持：当前不支持	Microsoft Corporation
Microsoft Active-Directory 域控制器安全事件日志Microsoft [选项 3 和 4] - 使用 Azure Monitor 代理 - 可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输部分或全部域控制器安全事件日志。使用此连接，你可以创建自定义警报和改进调查。 Log Analytics 表（s）： - `SecurityEvent` 数据收集规则支持：目前不支持先决条件： - 建议弃用 Azure Log Analytics，以便从非 Azure VM 收集数据。了解详细信息 - 详细文档：>有关安装过程和用法的详细文档，可在此处找到	社区
Microsoft Dataverse Microsoft Dataverse 是一个可缩放且安全的数据平台，使组织能够存储和管理业务应用程序使用的数据。 Microsoft Dataverse 数据连接器提供将 Dataverse 和 Dynamics 365 CRM 活动日志从 Microsoft Purview 审核日志引入 Microsoft Sentinel 的功能。 Log Analytics 表（s）： - `DataverseActivity` 数据收集规则支持：目前不支持先决条件： - 租户权限：工作区租户上的“安全管理员”或“全局管理员”。 - Micorosft Purview 审核：Microsoft Purview 审核（标准或高级版）必须激活。 - 生产 Dataverse：活动日志记录仅适用于生产环境。其他类型的（例如沙盒）不支持活动日志记录。 - Dataverse 审核设置：必须在全局和实体/表级别配置审核设置。有关详细信息，请参阅 Dataverse 审核设置。	Microsoft Corporation
Microsoft Defender for Cloud Apps 通过连接 Microsoft Defender for Cloud Apps，你将了解云应用、获取复杂的分析来识别和应对网络威胁，并控制数据的传输方式。 - 识别网络上的影子 IT 云应用。 - 根据条件和会话上下文控制和限制访问。 - 使用内置或自定义策略进行数据共享和数据丢失防护。 - 识别高风险使用，并通过Microsoft行为分析和异常检测功能（包括勒索软件活动、不可能旅行、可疑电子邮件转发规则和大量下载文件）获取异常用户活动的警报。 - 批量下载文件立即部署 > Log Analytics 表（s）： - `SecurityAlert` - `McasShadowItReporting` 数据收集规则支持：当前不支持	Microsoft Corporation
Microsoft Defender for Endpoint Microsoft Defender for Endpoint 是一个安全平台，旨在防止、检测、调查和响应高级威胁。当组织中出现可疑安全事件时，平台会创建警报。将 Microsoft Defender for Endpoint 中生成的警报提取到 Microsoft Sentinel，以便能够有效地分析安全事件。可以创建规则、生成仪表板和创作 playbook 以立即响应。有关详细信息，请参阅 Microsoft Sentinel 文档>。 Log Analytics 表（s）： - `SecurityAlert` 数据收集规则支持：当前不支持	Microsoft Corporation
Microsoft Defender for Identity 连接 Microsoft Defender for Identity 以深入了解事件和用户分析结果。 Microsoft Defender for Identity 可识别、检测并帮助你调查针对组织的高级威胁、泄露的标识和恶意内部操作。 Microsoft Defender for Identity 支持 SecOp 分析师和安全专业人员努力检测混合环境中的高级攻击，以： - 使用基于学习的分析监视用户、实体行为和活动 - 保护 Active Directory 中存储的用户标识和凭据 - 在整个杀伤链中识别和调查可疑用户活动和高级攻击 - 提供有关简单时间线的清晰事件信息，以便快速会审立即试用> 立即部署 > 有关详细信息，请参阅 Microsoft Sentinel 文档>。 Log Analytics 表（s）： - `SecurityAlert` 数据收集规则支持：当前不支持	Microsoft Corporation
Microsoft Defender for IoT 通过将 Microsoft Defender for IoT 警报连接到 Microsoft Sentinel，深入了解 IoT 安全性。你可以获取现成的警报指标和数据，包括警报趋势、热门警报和按严重性划分的警报细分。还可以获取有关为 IoT 中心提供的建议的信息，包括热门建议和按严重性划分的建议。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `SecurityAlert` 数据收集规则支持：当前不支持	Microsoft Corporation
Microsoft Defender for Office 365（预览版） Microsoft Defender for Office 365 保护组织免受电子邮件、链接 (URL) 和协作工具带来的恶意威胁。通过将 Microsoft Defender for Office 365 警报引入 Microsoft Sentinel，可将基于电子邮件和基于 URL 的威胁的相关信息整合到范围更广的风险分析中，并相应地生成响应方案。将导入以下类型的警报： - 检测到潜在的恶意 URL 单击 - 在送达后删除包含恶意软件的电子邮件 - 在送达后删除包含网络钓鱼 URL 的电子邮件 - 用户报告为恶意软件或钓鱼的电子邮件 - 检测到可疑的电子邮件发送模式 - 用户被限制发送电子邮件 “Office 安全和合规中心”中的 Office 客户可以查看这些警报。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `SecurityAlert` 数据收集规则支持：当前不支持	Microsoft Corporation
Microsoft Defender 威胁情报 Microsoft Sentinel 提供用于导入 Microsoft 生成的威胁情报的功能，以启用监视、警报和搜寻。使用此数据连接器可将来自 Microsoft Defender 威胁情报 (MDTI) 的入侵指标 (IOC) 导入 Microsoft Sentinel。威胁指标可以包括 IP 地址、域、URL 和文件哈希等。 Log Analytics 表（s）： - `ThreatIntelligenceIndicator` 数据收集规则支持：当前不支持	Microsoft Corporation
Microsoft Defender XDR Microsoft Defender XDR 是统一的、原生集成的泄漏前后企业防御套件，可保护终结点、标识、电子邮件和应用程序，并帮助检测、阻止、调查和自动响应复杂威胁。 Microsoft Defender XDR 套件包括： - Microsoft Defender for Endpoint - Microsoft Defender for Identity - Microsoft Defender for Office 365 - 威胁和漏洞管理 - Microsoft Defender for Cloud Apps 有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `SecurityIncident` - `SecurityAlert` - `DeviceEvents` - `EmailEvents` - `IdentityLogonEvents` - `CloudAppEvents` - `AlertEvidence` 数据收集规则支持：当前不支持	Microsoft Corporation
Microsoft Entra ID 通过将审核和登录日志连接到 Microsoft Sentinel 来收集有关 Microsoft Entra ID 方案的见解，从而深入了解 Microsoft Entra ID。可以使用登录日志来了解应用使用情况、条件访问策略和旧版身份验证的相关详细信息。可以使用审核日志表来了解有关自助式密码重置 (SSPR) 使用情况、Microsoft Entra ID 管理活动（例如用户、组、角色和应用管理）的信息。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `SigninLogs` - `AuditLogs` - `AADNonInteractiveUserSignInLogs` - `AADServicePrincipalSignInLogs` - `AADManagedIdentitySignInLogs` - `AADProvisioningLogs` - `ADFSSignInLogs` - `AADUserRiskEvents` - `AADRiskyUsers` - `NetworkAccessTraffic` - `AADRiskyServicePrincipals` - `AADServicePrincipalRiskEvents` 数据收集规则支持：当前不支持	Microsoft Corporation
Microsoft Entra ID 保护 Microsoft Entra ID 保护提供有风险用户、风险事件和漏洞的综合视图，能够立即修正风险，并设置策略以自动修正将来的事件。该服务基于 Microsoft 保护用户标识的经验而构建，并通过每天超过 130 亿次登录的信号来大幅提升准确性。将 Microsoft Entra ID 保护警报与 Microsoft Sentinel 集成，以查看仪表板、创建自定义警报并改进调查。有关详细信息，请参阅 Microsoft Sentinel 文档。获取 Microsoft Entra ID 高级版 P1/P2 Log Analytics 表（s）： - `SecurityAlert` 数据收集规则支持：当前不支持	Microsoft Corporation
按事件日志Microsoft Exchange 管理员审核日志 [选项 1] - 使用 Azure Monitor 代理 - 可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有 Exchange 审核事件。通过此连接，能够查看仪表板、创建自定义警报和改进调查。 Microsoft Exchange Security Workbooks 使用此它来提供本地 Exchange 环境的安全性见解 Log Analytics 表（s）： - `Event` 数据收集规则支持：目前不支持先决条件： - 建议弃用 Azure Log Analytics，以便从非 Azure VM 收集数据。了解详细信息 - 详细文档：>有关安装过程和用法的详细文档，可在此处找到	社区
Microsoft Exchange HTTP 代理日志 [选项 7] - 使用 Azure Monitor 代理 - 可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输 HTTP 代理日志和安全事件日志。使用此连接可以创建自定义警报和改进调查。了解详细信息 Log Analytics 表（s）： - `ExchangeHttpProxy_CL` 数据收集规则支持：目前不支持先决条件： - Azure Log Analytics 将弃用：建议弃用 Azure Log Analytics，以便从非 Azure VM 收集数据。建议使用 Azure Arc。了解详细信息 - 详细文档：>有关安装过程和用法的详细文档，可在此处找到	社区
Microsoft Exchange 日志和事件 [选项 2] - 使用 Azure Monitor 代理 - 可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有 Exchange 安全和应用程序事件日志。使用此连接，你可以创建自定义警报和改进调查。 Log Analytics 表（s）： - `Event` 数据收集规则支持：目前不支持先决条件： - Azure Log Analytics 将弃用：建议弃用 Azure Log Analytics，以便从非 Azure VM 收集数据。建议使用 Azure Arc。了解详细信息 - 详细文档：>有关安装过程和用法的详细文档，可在此处找到	社区
Microsoft Exchange 消息跟踪日志 [选项 6] - 使用 Azure Monitor 代理 - 可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有 Exchange 消息跟踪日志。这些日志可用于跟踪 Exchange 环境中的消息流。此数据连接器基于 Microsoft Exchange Security Wiki 的选项 6。 Log Analytics 表（s）： - `MessageTrackingLog_CL` 数据收集规则支持：目前不支持先决条件： - Azure Log Analytics 将弃用：建议弃用 Azure Log Analytics，以便从非 Azure VM 收集数据。建议使用 Azure Arc。了解详细信息 - 详细文档：>有关安装过程和用法的详细文档，可在此处找到	社区
Microsoft Power Automate Power Automate 是一项Microsoft服务，可帮助用户在应用和服务之间创建自动化工作流，以同步文件、获取通知、收集数据等。它通过减少手动、重复的任务并提高工作效率，简化了任务自动化，提高了效率。 Power Automate 数据连接器提供将 Power Automate 活动日志从 Microsoft Purview 审核日志引入 Microsoft Sentinel 的功能。 Log Analytics 表（s）： - `PowerAutomateActivity` 数据收集规则支持：目前不支持先决条件： - 租户权限：工作区租户上的“安全管理员”或“全局管理员”。 - Micorosft Purview 审核：Microsoft Purview 审核（标准或高级版）必须激活。	Microsoft Corporation
Microsoft Power Platform 管理活动 Microsoft Power Platform 是一种低代码/无代码套件，通过启用自定义应用、工作流自动化和数据分析，实现最少编码，使公民和专业开发人员能够简化业务流程。 Power Platform Admin 数据连接器提供将 Power Platform 管理员活动日志从 Microsoft Purview 审核日志引入 Microsoft Sentinel 的功能。 Log Analytics 表（s）： - `PowerPlatformAdminActivity` 数据收集规则支持：目前不支持先决条件： - 租户权限：工作区租户上的“安全管理员”或“全局管理员”。 - Micorosft Purview 审核：Microsoft Purview 审核（标准或高级版）必须激活。	Microsoft Corporation
Microsoft PowerBI Microsoft PowerBI 是软件服务、应用和连接器的集合，可协同工作，将不相关的数据源转换为一致的、视觉沉浸式和交互式见解。数据可以是 Excel 电子表格，可以是基于云的和本地的混合数据仓库的集合，也可以是某种其他类型的数据存储。此连接器允许将 PowerBI 审核日志流式传输到 Microsoft Sentinel，从而跟踪 PowerBI 环境中的用户活动。可按日期范围、用户、仪表板、报表、数据集和活动类型筛选审核数据。 Log Analytics 表（s）： - `PowerBIActivity` 数据收集规则支持：当前不支持	Microsoft Corporation
Microsoft项目 Microsoft Project (MSP) 是一种项目管理软件解决方案。根据你的计划，Microsoft Project 允许你计划项目、分配任务、管理资源、创建报表等。此连接器允许将 Azure Project 审核日志流式传输到 Microsoft Sentinel 中，以便跟踪项目活动。 Log Analytics 表（s）： - `ProjectActivity` 数据收集规则支持：当前不支持	Microsoft
Microsoft Purview 连接到 Microsoft Purview 以启用 Microsoft Sentinel 的数据敏感度扩充。 Microsoft Purview 扫描中的数据分类和敏感度标签日志可以通过工作簿、分析规则等引入和可视化。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `PurviewDataSensitivityLogs` 数据收集规则支持：当前不支持	Microsoft Corporation
Microsoft Purview 信息保护 Microsoft Purview 信息保护可帮助你发现、分类、保护和治理敏感信息，而不管它们是静态的还是动态的。使用这些功能，能够了解数据、识别敏感项，并了解如何使用它们来更好地保护数据。敏感度标签是基础功能，可提供保护操作、应用加密、访问限制和视觉标记。将 Microsoft Purview 信息保护日志与 Microsoft Sentinel 集成，可查看仪表板、创建自定义警报和改进调查。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `MicrosoftPurviewInformationProtection` 数据收集规则支持：当前不支持	Microsoft Corporation
Mimecast Audit （使用 Azure Functions）通过 Mimecast Audit 的数据连接器，客户能够了解与 Microsoft Sentinel 中的审核和身份验证事件相关的安全事件。数据连接器提供预先创建的仪表板，使分析师能够查看有关用户活动的见解、帮助进行事件关联并减少调查响应时间，它还提供自定义警报功能。连接器中包含的 Mimecast 产品包括：审计 Log Analytics 表（s）： - `MimecastAudit_CL` 数据收集规则支持：目前不支持先决条件： - Azure 订阅：需要具有所有者角色的 Azure 订阅才能在 Microsoft Entra ID 中注册应用程序，并将参与者的角色分配给资源组中的应用。 - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：请参阅文档，详细了解 Rest API 参考上的 API	Mimecast
Mimecast Audit & Authentication （使用 Azure Functions）通过 Mimecast Audit & Authentication 的数据连接器，客户能够了解与 Microsoft Sentinel 中的审核和身份验证事件相关的安全事件。数据连接器提供预先创建的仪表板，使分析师能够查看有关用户活动的见解、帮助进行事件关联并减少调查响应时间，它还提供自定义警报功能。连接器中包含的 Mimecast 产品包括：审核和身份验证 Log Analytics 表（s）： - `MimecastAudit_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Mimecast API 凭据：需要提供以下信息来配置集成： - mimecastEmail：专用 Mimecast 管理员用户的电子邮件地址 - mimecastPassword：专用 Mimecast 管理员用户的密码 - mimecastAppId：Mimecast Microsoft Sentinel 应用注册到 Mimecast 的 API 应用程序 ID - mimecastAppKey：Mimecast Microsoft Sentinel 应用注册到 Mimecast 的 API 应用程序密钥 - mimecastAccessKey：专用 Mimecast 管理员用户的访问密钥 - mimecastSecretKey：专用 Mimecast 管理员用户的密钥 - mimecastBaseURL：Mimecast 区域 API 基 URL > Mimecast 应用程序 ID、应用程序密钥以及专用 Mimecast 管理员用户的访问密钥和密钥可通过 Mimecast 管理控制台获取：管理 \|服务 \|API 和平台集成。 > 此处记录了每个区域的 Mimecast API 基 URL： https://integrations.mimecast.com/documentation/api-overview/global-base-urls/ - 资源组：需要使用要使用的订阅创建资源组。 - Functions 应用：需要注册 Azure 应用才能使用此连接器 1. 应用程序 ID 2. 租户 ID 3. 客户端 ID 4. 客户端密码	Mimecast
Mimecast Awareness Training （使用 Azure Functions） Mimecast Awareness Training 的数据连接器让客户能够了解与 Microsoft Sentinel 中的 Targeted Threat Protection 检查相关的安全事件。数据连接器提供预先创建的仪表板，使分析师能够查看基于电子邮件的威胁见解、帮助进行事件关联并减少调查响应时间，它还提供自定义警报功能。连接器中包含的 Mimecast 产品包括： - 性能详细信息 - 安全评分详细信息 - 用户数据 - 监视列表详细信息 Log Analytics 表（s）： - `Awareness_Performance_Details_CL` - `Awareness_SafeScore_Details_CL` - `Awareness_User_Data_CL` - `Awareness_Watchlist_Details_CL` 数据收集规则支持：目前不支持先决条件： - Azure 订阅：需要具有所有者角色的 Azure 订阅才能在 Microsoft Entra ID 中注册应用程序，并将参与者的角色分配给资源组中的应用。 - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：请参阅文档，详细了解 Rest API 参考上的 API	Mimecast
Mimecast Cloud Integrated （使用 Azure Functions） Mimecast Cloud Integrated 的数据连接器让客户能够了解与 Microsoft Sentinel 中的 Cloud Integrated 检查技术相关的安全事件。数据连接器提供预先创建的仪表板，使分析师能够查看基于电子邮件的威胁见解、帮助进行事件关联并减少调查响应时间，它还提供自定义警报功能。 Log Analytics 表（s）： - `Cloud_Integrated_CL` 数据收集规则支持：目前不支持先决条件： - Azure 订阅：需要具有所有者角色的 Azure 订阅才能在 Microsoft Entra ID 中注册应用程序，并将参与者的角色分配给资源组中的应用。 - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：请参阅文档，详细了解 Rest API 参考上的 API	Mimecast
mimecast Intelligence for Microsoft - Microsoft Sentinel （使用 Azure Functions） Mimecast Intelligence for Microsoft 的数据连接器提供由 Mimecast 的电子邮件检查技术策划的区域威胁情报，并预先创建了仪表板，使分析师能够查看基于电子邮件的威胁见解、帮助进行事件关联并减少调查响应时间。需要 Mimecast 产品和功能： - Mimecast Secure Email Gateway - Mimecast Threat Intelligence Log Analytics 表（s）： - `ThreatIntelligenceIndicator` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Mimecast API 凭据：需要提供以下信息来配置集成： - mimecastEmail：专用 Mimecast 管理员用户的电子邮件地址 - mimecastPassword：专用 Mimecast 管理员用户的密码 - mimecastAppId：Mimecast Microsoft Sentinel 应用注册到 Mimecast 的 API 应用程序 ID - mimecastAppKey：Mimecast Microsoft Sentinel 应用注册到 Mimecast 的 API 应用程序密钥 - mimecastAccessKey：专用 Mimecast 管理员用户的访问密钥 - mimecastSecretKey：专用 Mimecast 管理员用户的密钥 - mimecastBaseURL：Mimecast 区域 API 基 URL > Mimecast 应用程序 ID、应用程序密钥以及专用 Mimecast 管理员用户的访问密钥和密钥可通过 Mimecast 管理控制台获取：管理 \|服务 \|API 和平台集成。 > 此处记录了每个区域的 Mimecast API 基 URL： https://integrations.mimecast.com/documentation/api-overview/global-base-urls/ - 资源组：需要使用要使用的订阅创建资源组。 - Functions 应用：需要注册 Azure 应用才能使用此连接器 1. 应用程序 ID 2. 租户 ID 3. 客户端 ID 4. 客户端密码	Mimecast
Mimecast Secure Email Gateway （使用 Azure Functions）通过 Mimecast Secure Email Gateway 的数据连接器，可轻松地从 Secure Email Gateway 收集日志，以便在 Microsoft Sentinel 中显示电子邮件见解和用户活动。数据连接器提供预先创建的仪表板，使分析师能够查看基于电子邮件的威胁见解、帮助进行事件关联并减少调查响应时间，它还提供自定义警报功能。需要 Mimecast 产品和功能： - Mimecast Secure Email Gateway - Mimecast 数据泄漏防护 Log Analytics 表（s）： - `MimecastSIEM_CL` - `MimecastDLP_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Mimecast API 凭据：需要提供以下信息来配置集成： - mimecastEmail：专用 Mimecast 管理员用户的电子邮件地址 - mimecastPassword：专用 Mimecast 管理员用户的密码 - mimecastAppId：Mimecast Microsoft Sentinel 应用注册到 Mimecast 的 API 应用程序 ID - mimecastAppKey：Mimecast Microsoft Sentinel 应用注册到 Mimecast 的 API 应用程序密钥 - mimecastAccessKey：专用 Mimecast 管理员用户的访问密钥 - mimecastSecretKey：专用 Mimecast 管理员用户的密钥 - mimecastBaseURL：Mimecast 区域 API 基 URL > Mimecast 应用程序 ID、应用程序密钥以及专用 Mimecast 管理员用户的访问密钥和密钥可通过 Mimecast 管理控制台获取：管理 \|服务 \|API 和平台集成。 > 此处记录了每个区域的 Mimecast API 基 URL： https://integrations.mimecast.com/documentation/api-overview/global-base-urls/ - 资源组：需要使用要使用的订阅创建资源组。 - Functions 应用：需要注册 Azure 应用才能使用此连接器 1. 应用程序 ID 2. 租户 ID 3. 客户端 ID 4. 客户端密码	Mimecast
Mimecast Secure Email Gateway （使用 Azure Functions）通过 Mimecast Secure Email Gateway 的数据连接器，可轻松地从 Secure Email Gateway 收集日志，以便在 Microsoft Sentinel 中显示电子邮件见解和用户活动。数据连接器提供预先创建的仪表板，使分析师能够查看基于电子邮件的威胁见解、帮助进行事件关联并减少调查响应时间，它还提供自定义警报功能。需要 Mimecast 产品和功能： - Mimecast 云网关 - Mimecast 数据泄漏防护 Log Analytics 表（s）： - `Seg_Cg_CL` - `Seg_Dlp_CL` 数据收集规则支持：目前不支持先决条件： - Azure 订阅：需要具有所有者角色的 Azure 订阅才能在 Microsoft Entra ID 中注册应用程序，并将参与者的角色分配给资源组中的应用。 - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：请参阅文档，详细了解 Rest API 参考上的 API	Mimecast
Mimecast 目标威胁防护（使用 Azure Functions） Mimecast Targeted Threat Protection 的数据连接器让客户能够了解与 Microsoft Sentinel 中的 Targeted Threat Protection 检查相关的安全事件。数据连接器提供预先创建的仪表板，使分析师能够查看基于电子邮件的威胁见解、帮助进行事件关联并减少调查响应时间，它还提供自定义警报功能。连接器中包含的 Mimecast 产品包括： - URL 保护 - 模拟保护 - 附件保护 Log Analytics 表（s）： - `MimecastTTPUrl_CL` - `MimecastTTPAttachment_CL` - `MimecastTTPImpersonation_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：需要提供以下信息来配置集成： - mimecastEmail：专用 Mimecast 管理员用户的电子邮件地址 - mimecastPassword：专用 Mimecast 管理员用户的密码 - mimecastAppId：Mimecast Microsoft Sentinel 应用注册到 Mimecast 的 API 应用程序 ID - mimecastAppKey：Mimecast Microsoft Sentinel 应用注册到 Mimecast 的 API 应用程序密钥 - mimecastAccessKey：专用 Mimecast 管理员用户的访问密钥 - mimecastSecretKey：专用 Mimecast 管理员用户的密钥 - mimecastBaseURL：Mimecast 区域 API 基 URL > Mimecast 应用程序 ID、应用程序密钥以及专用 Mimecast 管理员用户的访问密钥和密钥可通过 Mimecast 管理控制台获取：管理 \|服务 \|API 和平台集成。 > 此处记录了每个区域的 Mimecast API 基 URL： https://integrations.mimecast.com/documentation/api-overview/global-base-urls/	Mimecast
Mimecast 目标威胁防护（使用 Azure Functions） Mimecast Targeted Threat Protection 的数据连接器让客户能够了解与 Microsoft Sentinel 中的 Targeted Threat Protection 检查相关的安全事件。数据连接器提供预先创建的仪表板，使分析师能够查看基于电子邮件的威胁见解、帮助进行事件关联并减少调查响应时间，它还提供自定义警报功能。连接器中包含的 Mimecast 产品包括： - URL 保护 - 模拟保护 - 附件保护 Log Analytics 表（s）： - `Ttp_Url_CL` - `Ttp_Attachment_CL` - `Ttp_Impersonation_CL` 数据收集规则支持：目前不支持先决条件： - Azure 订阅：需要具有所有者角色的 Azure 订阅才能在 Microsoft Entra ID 中注册应用程序，并将参与者的角色分配给资源组中的应用。 - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：请参阅文档，详细了解 Rest API 参考上的 API	Mimecast
MISP2Sentinel 此解决方案安装 MISP2Sentinel 连接器，允许你通过上传指示器 REST API 自动将威胁指标从 MISP 推送到 Microsoft Sentinel。安装解决方案后，按照管理解决方案视图中的指南配置并启用此数据连接器。 Log Analytics 表（s）： - `ThreatIntelligenceIndicator` 数据收集规则支持：当前不支持	社区
MuleSoft Cloudhub （使用 Azure Functions） MuleSoft Cloudhub 数据连接器提供了使用 Cloudhub API 从 Cloudhub 应用程序中检索日志的功能，并通过 REST API 将更多事件引入 Microsoft Sentinel 中。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `MuleSoft_Cloudhub_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限： MuleSoftEnvId、 MuleSoftAppName、 MuleSoftUsername 和 MuleSoftPassword 是进行 API 调用所必需的。	Microsoft Corporation
NC 保护 NC Protect 数据连接器 (archtis.com) 提供将用户活动日志和事件引入 Microsoft Sentinel 的功能。该连接器提供对 Microsoft Sentinel 中 NC Protect 用户活动日志和事件的可见性，以提高监视和调查功能 Log Analytics 表（s）： - `NCProtectUAL_CL` 数据收集规则支持：目前不支持先决条件： - NC 保护：必须具有适用于 O365 的 NC Protect 正在运行的实例。请与我们联系。	archTIS
Netclean ProActive 事件此连接器使用 Netclean Webhook（必需）和逻辑应用将数据推送到 Microsoft Sentinel Log Analytics Log Analytics 表（s）： - `Netclean_Incidents_CL` 数据收集规则支持：当前不支持	NetClean
Netskope 警报和事件 Netskope 安全警报和事件 Log Analytics 表（s）： - `NetskopeAlerts_CL` 数据收集规则支持：目前不支持先决条件： - Netskope 组织 URL：Netskope 数据连接器要求你提供组织 URL。可以通过登录到 Netskope 门户来查找组织 URL。 - Netskope API 密钥：Netskope 数据连接器要求你提供有效的 API 密钥。可以按照 Netskope 文档创建一个。	Netskope
Netskope 数据连接器（使用 Azure Functions） Netskope 数据连接器提供以下功能： 1. NetskopeToAzureStorage ： >* 从 Netskope 获取 Netskope 警报和事件数据并引入到 Azure 存储。 2. StorageToSentinel ： >* 从 Azure 存储和引入到 Log Analytics 工作区中的自定义日志表获取 Netskope 警报和事件数据。 3. WebTxMetrics： >* 从 Netskope 获取 WebTxMetrics 数据，并引入到 Log Analytics 工作区中的自定义日志表。有关 REST API 的更多详细信息，请参阅以下文档： 1. Netskope API 文档： > https://docs.netskope.com/en/netskope-help/admin-console/rest-api/rest-api-v2-overview-312207/ 2. Azure 存储文档： > /azure/storage/common/storage-introduction 3. Microsoft log Analytic 文档： > /azure/azure-monitor/logs/log-analytics-overview Log Analytics 表（s）： - `alertscompromisedcredentialdata_CL` - `alertsctepdata_CL` - `alertsdlpdata_CL` - `alertsmalsitedata_CL` - `alertsmalwaredata_CL` - `alertspolicydata_CL` - `alertsquarantinedata_CL` - `alertsremediationdata_CL` - `alertssecurityassessmentdata_CL` - `alertsubadata_CL` - `eventsapplicationdata_CL` - `eventsauditdata_CL` - `eventsconnectiondata_CL` - `eventsincidentdata_CL` - `eventsnetworkdata_CL` - `eventspagedata_CL` - `Netskope_WebTx_metrics_CL` 数据收集规则支持：目前不支持先决条件： - Azure 订阅：需要具有所有者角色的 Azure 订阅才能在 Azure Active Directory（）中注册应用程序，并向资源组中的应用分配参与者角色。 - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：需要 Netskope 租户和 Netskope API 令牌。请参阅文档，了解有关 Rest API 参考的 API 的详细信息	Netskope
Netskope Web Transactions Data Connector （使用 Azure Functions） Netskope Web Transactions 数据连接器提供 Docker 映像的功能，可以从 google pubsublite 拉取 Netskope Web Transactions 数据、处理数据并将处理后的数据引入 Log Analytics。作为此数据连接器的一部分，Log Analytics 中将形成两个表，一个用于 Web Transactions 数据，另一个用于执行期间遇到的错误。有关 Web 事务的更多详细信息，请参阅以下文档： 1. Netskope Web 事务文档： > https://docs.netskope.com/en/netskope-help/data-security/transaction-events/netskope-transaction-events/ Log Analytics 表（s）： - `NetskopeWebtxData_CL` - `NetskopeWebtxErrors_CL` 数据收集规则支持：目前不支持先决条件： - Azure 订阅：需要具有所有者角色的 Azure 订阅才能在 Microsoft Entra ID 中注册应用程序，并将参与者的角色分配给资源组中的应用。 - Microsoft.Compute 权限：需要对 Azure VM 的读取和写入权限。有关详细信息，请参阅 Azure VM。 - TransactionEvents 凭据和权限：需要 Netskope 租户和 Netskope API 令牌。有关详细信息，请参阅事务事件。 - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。	Netskope
网络安全组 Azure 网络安全组 (NSG) 可让你筛选 Azure 虚拟网络中出入 Azure 资源的网络流量。网络安全组包含的规则可以用来允许或拒绝发往虚拟网络子网和/或网络接口的流量。为 NSG 启用日志记录时，可以收集以下类型的资源日志信息： - 事件：根据 MAC 地址记录 NSG 规则应用于 VM 的条目。 - 规则计数器：包含每个 NSG 规则应用于拒绝或允许流量的次数的条目。每隔 300 秒收集一次这些规则的状态。使用此连接器可将 NSG 诊断日志流式传输到 Microsoft Sentinel 中，以便持续监视所有实例中的活动。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `AzureDiagnostics` 数据收集规则支持：当前不支持	Microsoft Corporation
Okta 单一登录 Okta Single Sign-On （SSO）数据连接器提供将审核和事件日志从 Okta Sysem 日志 API 引入到 Microsoft Sentinel 的功能。数据连接器基于 Microsoft Sentinel 无代码连接器框架构建，并使用 Okta 系统日志 API 提取事件。连接器支持基于 DCR 的引入时间转换，这些转换将收到的安全事件数据分析为自定义列，以便查询不需要再次分析它，从而提供更好的性能。 Log Analytics 表（s）： - `OktaSSO` 数据收集规则支持：目前不支持先决条件： - Okta API 令牌：Okta API 令牌。按照以下说明创建文档，了解有关 Okta 系统日志 API 的详细信息。	Microsoft Corporation
Okta Single Sign-On （使用 Azure Functions） Okta 单一登录 (SSO) 连接器可将审核和事件日志从 Okta API 引入 Microsoft Sentinel。该连接器支持在 Microsoft Sentinel 中查看这些日志类型，以便查看仪表板、创建自定义警报以及改进监视和调查功能。 Log Analytics 表（s）： - `Okta_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Okta API 令牌：需要 Okta API 令牌。请参阅文档，了解有关 Okta 系统日志 API 的详细信息。	Microsoft Corporation
OneLogin IAM 平台（使用 Azure Functions） OneLogin 数据连接器提供通过 Webhook 将常见 OneLogin IAM Platform 事件引入到 Microsoft Sentinel 的功能。 OneLogin 事件 Webhook API（也称为事件广播器）将准实时将批量事件发送到指定的终结点。 OneLogin 发生更改时，包含事件信息的 HTTPS POST 请求将被发送到回叫数据连接器 URL。详细信息请参阅 Webhook 文档。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `OneLogin_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Webhook 凭据/权限：工作 Webhook 需要 OneLoginBearerToken、回调 URL 。请参阅文档，详细了解如何配置 Webhook。需要根据安全要求生成 OneLoginBearerToken，并在“自定义标头”部分使用它，格式为：Authorization: Bearer OneLoginBearerToken。日志格式：JSON 数组。	Microsoft Corporation
Oracle 云基础结构（使用 Azure Functions） Oracle Cloud Infrastructure (OCI) 数据连接器提供使用 OCI 流式处理 REST API 将 OCI 日志从 OCI 流引入 Microsoft Sentinel 的功能。 Log Analytics 表（s）： - `OCI_Logs_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - OCI API 凭据：OCI API 连接需要 API 密钥配置文件和私钥。请参阅文档，详细了解如何创建用于 API 访问的密钥	Microsoft Corporation
Orca 安全警报使用 Orca Security Alerts 连接器，可以轻松地将 Alerts 日志导出到 Microsoft Sentinel。 Log Analytics 表（s）： - `OrcaAlerts_CL` 数据收集规则支持：当前不支持	Orca Security
Palo Alto Cortex XDR Palo Alto Cortex XDR 数据连接器允许将日志从 Palo Alto Cortex XDR API 引入到 Microsoft Sentinel。数据连接器基于 Microsoft Sentinel 无代码连接器框架构建。它使用 Palo Alto Cortex XDR API 提取日志，并支持基于 DCR 的引入时间转换，以便将收到的安全数据分析为自定义表，以便查询无需再次分析它，从而提供更好的性能。 Log Analytics 表（s）： - `PaloAltoCortexXDR_Incidents_CL` - `PaloAltoCortexXDR_Endpoints_CL` - `PaloAltoCortexXDR_Audit_Management_CL` - `PaloAltoCortexXDR_Audit_Agent_CL` - `PaloAltoCortexXDR_Alerts_CL` 数据收集规则支持：当前不支持	Microsoft Corporation
Palo Alto Prisma Cloud CSPM （使用 Azure Functions） Palo Alto Prisma Cloud CSPM 数据连接器能够使用 Prisma Cloud CSPM API 将 Prisma Cloud CSPM 警报和审核日志引入 Microsoft Sentinel。有关详细信息，请参阅 Prisma Cloud CSPM API 文档。 Log Analytics 表（s）： - `PaloAltoPrismaCloudAlert_CL` - `PaloAltoPrismaCloudAudit_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Palo Alto Prisma 云 API 凭据： Prisma 云 API URL、 Prisma 云访问密钥 ID、 Prisma 云密钥是 Prisma 云 API 连接所必需的。请参阅文档，了解有关创建 Prisma 云访问密钥以及如何获取 Prisma 云 API URL 的详细信息	Microsoft Corporation
Palo Alto Prisma Cloud CWPP （使用 REST API） Palo Alto Prisma Cloud CWPP 数据连接器允许连接到 Palo Alto Prisma Cloud CWPP 实例，并将警报引入 Microsoft Sentinel。数据连接器基于 sentinel 的无代码连接器框架Microsoft构建，使用 Prisma 云 API 提取安全事件并支持基于 DCR 的引入时间转换，这些转换将收到的安全事件数据分析为自定义列，以便查询无需再次分析它，从而提供更好的性能。 Log Analytics 表（s）： - `PrismaCloudCompute_CL` 数据收集规则支持：目前不支持先决条件： - PrismaCloudCompute API 密钥：需要 Palo Alto Prisma Cloud CWPP Monitor API 用户名和密码。有关详细信息，请参阅 PrismaCloudCompute SIEM API。	Microsoft Corporation
外围 81 活动日志通过 Perimeter 81 活动日志连接器，可以将 Perimeter 81 活动日志轻松连接到 Microsoft Sentinel，以查看仪表板、创建自定义警报和改进调查。 Log Analytics 表（s）： - `Perimeter81_CL` 数据收集规则支持：当前不支持	外围 81
磷设备 Phosphorus 设备连接器提供 Phosphorus 通过 Phosphorus REST API 将设备数据日志引入 Microsoft Sentinel 的功能。连接器提供对在 Phosphorus 中注册的设备的可见性。此数据连接器将拉取设备信息及其相应的警报。 Log Analytics 表（s）： - `Phosphorus_CL` 数据收集规则支持：目前不支持先决条件： - REST API 凭据/权限：需要磷 API 密钥。请确保与用户关联的 API 密钥已启用“管理设置”权限。按照以下说明启用“管理设置”权限。 1.登录到磷应用程序 2. 转到“设置”-> “组” 3.选择集成用户所属的组 4. 导航到“产品作”-> 切换“管理设置”权限。	磷公司
Prancer 数据连接器 Prancer Data 连接器可引入 Prancer (CSPM)[https://docs.prancer.io/web/CSPM/] 和 PAC 数据以通过 Microsoft Sentinel 进行处理。有关详细信息，请参阅 pandas 文档。 Log Analytics 表（s）： - `prancer_CL` 数据收集规则支持：目前不支持先决条件： - 如果连接需要，请包括自定义先决条件 - 否则删除海关：任何自定义先决条件的说明	Prancer PenSuiteAI 集成
高级Microsoft Defender 威胁情报 Microsoft Sentinel 提供用于导入 Microsoft 生成的威胁情报的功能，以启用监视、警报和搜寻。使用此数据连接器可将来自高级 Microsoft Defender 威胁智能 (MDTI) 的入侵指标 (IOC) 导入 Microsoft Sentinel。威胁指标可以包括 IP 地址、域、URL 和文件哈希等。注意：这是付费连接器。若要使用和引入其中的数据，请从合作伙伴中心购买“MDTI API 访问”SKU。 Log Analytics 表（s）： - `ThreatIntelligenceIndicator` 数据收集规则支持：当前不支持	Microsoft Corporation
Proofpoint On Demand 电子邮件安全性（通过无代码连接器框架） Proofpoint On Demand Email Security 数据连接器提供获取 Proofpoint on Demand Email Protection 数据的功能，允许用户检查邮件可跟踪性、监视电子邮件活动、威胁以及攻击者和恶意内部成员的数据外泄。连接器提供加速查看组织中事件、按小时增量获取最近活动的事件日志文件的功能。 Log Analytics 表（s）： - `ProofpointPODMailLog_CL` - `ProofpointPODMessage_CL` 数据收集规则支持：目前不支持先决条件： - Websocket API 凭据/权限： ProofpointClusterID 和 ProofpointToken 是必需的。有关详细信息，请参阅 API。	Microsoft Corporation
Proofpoint TAP （通过无代码连接器框架） Proofpoint Targeted Attack Protection (TAP) 连接器提供将 Proofpoint TAP 日志和事件引入 Microsoft Sentinel 的功能。该连接器支持在 Microsoft Sentinel 中查看消息事件和单击事件，以便查看仪表板、创建自定义警报以及改进监视和调查功能。 Log Analytics 表（s）： - `ProofPointTAPMessagesDeliveredV2_CL` - `ProofPointTAPMessagesBlockedV2_CL` - `ProofPointTAPClicksPermittedV2_CL` - `ProofPointTAPClicksBlockedV2_CL` 数据收集规则支持：目前不支持先决条件： - Proofpoint TAP API 密钥：访问 Proofpoint 的 SIEM API 需要 Proofpoint TAP API 服务主体和机密。有关详细信息，请参阅 Proofpoint SIEM API。	Microsoft Corporation
Qualys VM 知识库（使用 Azure Functions） Qualys 漏洞管理 (VM) 知识库 (KB) 连接器提供将最新漏洞数据从 Qualys KB 引入 Microsoft Sentinel 的功能。此数据可用于关联和扩充 Qualys 漏洞管理 (VM) 数据连接器发现的漏洞检测。 Log Analytics 表（s）： - `QualysKB_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Qualys API 密钥：需要 Qualys VM API 用户名和密码。有关详细信息，请参阅 Qualys VM API。	Microsoft Corporation
Qualys 漏洞管理（通过无代码连接器框架）（预览版） Qualys 漏洞管理 (VM) 数据连接器提供通过 Qualys API 将漏洞主机检测数据引入 Microsoft Sentinel 的功能。此连接器为漏洞扫描中的主机检测数据提供可见性。 Log Analytics 表（s）： - `QualysHostDetectionV3_CL` 数据收集规则支持：目前不支持先决条件： - API 访问和角色：确保 Qualys VM 用户具有读取者或更高角色。如果该角色为“读取者”，请确保为帐户启用 API 访问。不支持审核员角色来访问 API。有关更多详细信息，请参阅 Qualys VM 主机检测 API 和用户角色比较文档。	Microsoft Corporation
通过 AMA 的 Radiflow iSID iSID 允许对分布式 ICS 网络进行非中断性监视，以使用多个安全包更改拓扑和行为，每个网络包都提供与特定类型网络活动相关的独特功能 Log Analytics 表（s）： - `RadiflowEvent` 数据收集规则支持：当前不支持	Radiflow
Rapid7 Insight Platform 漏洞管理报告（使用 Azure Functions） Rapid7 Insight VM 报表数据连接器提供通过 REST API 将扫描报表和漏洞数据从 Rapid7 Insight 平台（在云中托管）引入到 Microsoft Sentinel 的功能。详细信息请参阅 API 文档。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `NexposeInsightVMCloud_assets_CL` - `NexposeInsightVMCloud_vulnerabilities_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据：REST API 需要 InsightVMAPIKey 。有关详细信息，请参阅 API。检查所有要求，并按照说明获取凭据	Microsoft Corporation
Rubrik Security Cloud 数据连接器（使用 Azure Functions） Rubrik Security Cloud 数据连接器使安全运营团队能够将 Rubrik 数据可观测性服务提供的见解集成到 Microsoft Sentinel 中。这些见解包括识别与勒索软件和大规模删除相关的异常文件系统行为和评估勒索软件攻击的冲击范围，可帮助敏感数据操作员确定优先级并更快地调查潜在事件。 Log Analytics 表（s）： - `Rubrik_Anomaly_Data_CL` - `Rubrik_Ransomware_Data_CL` - `Rubrik_ThreatHunt_Data_CL` - `Rubrik_Events_Data_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。	Rubrik
SaaS 安全性通过 REST API 接口连接 Valence SaaS 安全平台 Azure Log Analytics Log Analytics 表（s）： - `ValenceAlert_CL` 数据收集规则支持：当前不支持	Valence 安全性
SailPoint IdentityNow （使用 Azure 函数） SailPoint IdentityNow 数据连接器提供通过 REST API 将 [SailPoint IdentityNow] 搜索事件引入 Microsoft Sentinel 的功能。该连接器使客户能够从其 IdentityNow 租户中提取审核信息。它旨在更轻松地将 IdentityNow 用户活动和治理事件引入 Microsoft Sentinel，以改进安全事件和事件监视解决方案的见解。 Log Analytics 表（s）： - `SailPointIDN_Events_CL` - `SailPointIDN_Triggers_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - SailPoint IdentityNow API 身份验证凭据：身份验证需要TENANT_ID、CLIENT_ID和CLIENT_SECRET。	空值
Salesforce Service Cloud （使用 Azure Functions） Salesforce Service Cloud 数据连接器提供通过 REST API 将有关 Salesforce 操作事件的信息引入 Microsoft Sentinel 中的功能。连接器提供加速查看组织中事件、按小时增量获取最近活动的事件日志文件的功能。 Log Analytics 表（s）： - `SalesforceServiceCloud_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：REST API 需要 Salesforce API 用户名、 Salesforce API 密码、 Salesforce 安全令牌、 Salesforce 使用者密钥、 Salesforce 使用者密码。有关详细信息，请参阅 API。	Microsoft Corporation
Samsung Knox 资产智能（预览版）借助 Samsung Knox 资产智能数据连接器，你可以集中移动安全事件和日志，以便使用工作簿模板查看自定义见解，并根据分析规则模板识别事件。 Log Analytics 表（s）： - `Samsung_Knox_Audit_CL` 数据收集规则支持：目前不支持先决条件： - Entra 应用：需要使用“Microsoft指标发布者”角色注册和预配 Entra 应用，并使用证书或客户端密码作为安全数据传输的凭据进行配置。请参阅日志引入教程，详细了解 Entra 应用创建、注册和凭据配置。	三星电子有限公司
SAP BTP SAP Business Technology Platform （SAP BTP）将数据管理、分析、人工智能、应用程序开发、自动化和集成汇集在一个统一的环境中。 Log Analytics 表（s）： - `SAPBTPAuditLog_CL` 数据收集规则支持：目前不支持先决条件： - 审核检索 API 的客户端 ID 和客户端密码：在 BTP 中启用 API 访问。	Microsoft Corporation
SAP 企业威胁检测，云版本 SAP 企业威胁检测（ETD）数据连接器支持将安全警报从 ETD 引入 Microsoft Sentinel，支持交叉关联、警报和威胁搜寻。 Log Analytics 表（s）： - `SAPETDAlerts_CL` 数据收集规则支持：目前不支持先决条件： - ETD 检索 API 的客户端 ID 和客户端密码：在 ETD 中启用 API 访问。	树液
SAP LogServ （RISE），S/4HANA 云私有云版 SAP LogServ 是一项 SAP Enterprise 云服务（ECS）服务，旨在收集、存储、转发和访问日志。 LogServ 集中了注册客户使用的所有系统、应用程序和 ECS 服务的日志。主要功能包括：近实时日志收集：能够作为 SIEM 解决方案集成到 Microsoft Sentinel 中。 LogServ 使用 SAP ECS 拥有的日志类型作为系统提供程序补充Microsoft Sentinel 中的现有 SAP 应用程序层威胁监视和检测。这包括：SAP 安全审核日志（AS ABAP）、HANA 数据库、AS JAVA、ICM、SAP Web 调度程序、SAP 云连接器、OS、SAP 网关、第三方数据库、网络、DNS、代理、防火墙 Log Analytics 表（s）： - `SAPLogServ_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft Entra：在 Microsoft Entra ID 中创建应用注册的权限。通常需要 Entra ID 应用程序开发人员角色或更高版本。 - Microsoft Azure：在数据收集规则上分配监视指标发布者角色的权限。通常需要 Azure RBAC 所有者或用户访问管理员角色。	树液
SenservaPro （预览版） SenservaPro 数据连接器为 SenservaPro 扫描日志提供查看体验。查看数据的仪表板，使用查询进行搜寻和探索，并创建自定义警报。 Log Analytics 表（s）： - `SenservaPro_CL` 数据收集规则支持：当前不支持	Senserva
SentinelOne SentinelOne 数据连接器允许将日志从 SentinelOne API 引入 Microsoft Sentinel。数据连接器基于 Microsoft Sentinel 无代码连接器框架构建。它使用 SentinelOne API 提取日志，并支持基于 DCR 的引入时间转换，该转换将收到的安全数据分析为自定义表，以便查询不需要再次分析它，从而提供更好的性能。 Log Analytics 表（s）： - `SentinelOneActivities_CL` - `SentinelOneAgents_CL` - `SentinelOneGroups_CL` - `SentinelOneThreats_CL` - `SentinelOneAlerts_CL` 数据收集规则支持：当前不支持	Microsoft Corporation
SentinelOne （使用 Azure Functions） SentinelOne 数据连接器提供通过 REST API 将常见 SentinelOne 服务器对象（例如威胁、代理、应用程序、活动、策略、组）和其他事件引入 Microsoft Sentinel 的功能。有关详细信息，请参阅 API 文档：`https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview`。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `SentinelOne_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：需要 SentinelOneAPIToken 。有关 API `https://<SOneInstanceDomain>.sentinelone.net/api-doc/overview`的详细信息，请参阅文档。	Microsoft Corporation
Seraphic Web 安全性 Seraphic Web Security 数据连接器提供将 Seraphic Web Security 事件和警报引入 Microsoft Sentinel 的功能。 Log Analytics 表（s）： - `SeraphicWebSecurity_CL` 数据收集规则支持：目前不支持先决条件： - Seraphic API 密钥：连接到 Seraphic Web Security 租户的 Microsoft Sentinel 的 API 密钥。若要获取租户的此 API 密钥，请阅读本文档。	Seraphic 安全性
Silverfort 管理控制台使用 Silverfort ITDR Admin Console 连接器解决方案可以引入 Silverfort 事件并登录 Microsoft Sentinel。 Silverfort 使用通用事件格式 (CEF) 提供基于 syslog 的事件和日志记录。通过将 Silverfort ITDR Admin Console CEF 数据转发到 Microsoft Sentinel 中，可以利用 Sentinels 的基于 Silverfort 数据的搜索和关联、警报和威胁智能扩充。请联系 Silverfort 或查阅 Silverfort 文档以获取更多信息。 Log Analytics 表（s）： - `CommonSecurityLog` 数据收集规则支持：工作区转换 DCR	Silverfort
SINEC 安全防护通过适用于 Microsoft Sentinel 的 SINEC Security Guard 解决方案，可将工业网络的安全事件从 SINEC Security Guard 引入到 Microsoft Sentinel Log Analytics 表（s）： - `SINECSecurityGuard_CL` 数据收集规则支持：当前不支持	西门子 AG
SlackAudit （通过无代码连接器框架）（预览版） SlackAudit 数据连接器提供通过 REST API 将 Slack 审核日志引入 Microsoft Sentinel 的功能。详细信息请参阅 API 文档。 Log Analytics 表（s）： - `SlackAuditV2_CL` 数据收集规则支持：当前不支持	Microsoft Corporation
Snowflake （使用 Azure Functions） Snowflake 数据连接器提供使用 Snowflake Python 连接器将 Snowflake 登录日志和查询日志引入到 Microsoft Sentinel 的功能。详细信息请参阅 Snowflake 文档。 Log Analytics 表（s）： - `Snowflake_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Snowflake 凭据：需要 Snowflake 帐户标识符、 Snowflake 用户和 Snowflake 密码才能连接。若要详细了解 Snowflake 帐户标识符，请参阅文档。安装过程中会显示有关为此连接器创建用户的说明。	Microsoft Corporation
Sonrai 数据连接器使用此数据连接器与 Sonrai Security 集成，并获取直接发送到 Microsoft Sentinel 的 Sonrai 票证。 Log Analytics 表（s）： - `Sonrai_Tickets_CL` 数据收集规则支持：当前不支持	空值
Sophos Cloud Optix 通过 Sophos Cloud Optix 连接器，可轻松地将 Sophos Cloud Optix 日志与 Microsoft Sentinel 连接，以查看仪表板、创建自定义警报并改进调查。此功能可让你更深入地了解你组织的云安全性和符合性状况，并改进云安全操作功能。 Log Analytics 表（s）： - `SophosCloudOptix_CL` 数据收集规则支持：当前不支持	Sophos
Sophos Endpoint Protection （使用 Azure Functions） Sophos Endpoint Protection 数据连接器提供将 Sophos 事件引入 Microsoft Sentinel 的功能。有关详细信息，请参阅 Sophos Central Admin 文档。 Log Analytics 表（s）： - `SophosEP_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：需要 API 令牌。有关详细信息，请参阅 API 令牌	Microsoft Corporation
Sophos Endpoint Protection （使用 REST API） Sophos Endpoint Protection 数据连接器提供将 Sophos 事件和 Sophos 警报引入 Microsoft Sentinel 的功能。有关详细信息，请参阅 Sophos Central Admin 文档。 Log Analytics 表（s）： - `SophosEPEvents_CL` 数据收集规则支持：目前不支持先决条件： - Sophos Endpoint Protection API 访问：需要通过服务主体访问 Sophos Endpoint Protection API。	Microsoft Corporation
Symantec 集成网络防御交换 Symantec ICDx 连接器可让你轻松地将 Symantec 安全解决方案日志与 Microsoft Sentinel 连接，以查看仪表板、创建自定义警报，并改进调查。这样，用户就可以更深入地了解组织的网络并改善安全操作功能。 Log Analytics 表（s）： - `SymantecICDx_CL` 数据收集规则支持：当前不支持	Microsoft Corporation
通过 AMA 进行 Syslog Syslog 是普遍适用于 Linux 的事件日志记录协议。应用程序将发送可能存储在本地计算机或传递到 Syslog 收集器的消息。安装适用于 Linux 的代理后，它将配置本地 Syslog 守护程序，以将消息转发到代理。然后，代理会将消息发送到工作区。了解详细信息> Log Analytics 表（s）： - `Syslog` 数据收集规则支持：工作区转换 DCR	Microsoft Corporation
Talon Insights 通过 Trend Security 日志连接器，可以轻松地将 Talon 事件和审核日志与 Microsoft Sentinel 连接，以查看仪表板、创建自定义警报和改进调查。 Log Analytics 表（s）： - `Talon_CL` 数据收集规则支持：当前不支持	塔隆安全
团队 Cymru Scout 数据连接器（使用 Azure Functions） TeamCymruScout 数据连接器允许用户在 Microsoft Sentinel 中引入 Team Cymru Scout IP、域和帐户使用情况数据，以便进行扩充。 Log Analytics 表（s）： - `Cymru_Scout_Domain_Data_CL` - `Cymru_Scout_IP_Data_Foundation_CL` - `Cymru_Scout_IP_Data_Details_CL` - `Cymru_Scout_IP_Data_Communications_CL` - `Cymru_Scout_IP_Data_PDNS_CL` - `Cymru_Scout_IP_Data_Fingerprints_CL` - `Cymru_Scout_IP_Data_OpenPorts_CL` - `Cymru_Scout_IP_Data_x509_CL` - `Cymru_Scout_IP_Data_Summary_Details_CL` - `Cymru_Scout_IP_Data_Summary_PDNS_CL` - `Cymru_Scout_IP_Data_Summary_OpenPorts_CL` - `Cymru_Scout_IP_Data_Summary_Certs_CL` - `Cymru_Scout_IP_Data_Summary_Fingerprints_CL` - `Cymru_Scout_Account_Usage_Data_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - 团队 Cymru Scout 凭据/权限：需要 Cymru Scout 帐户凭据（用户名，密码）。	Cymru 团队
可公开标识 Tenable Identity Exposure 连接器允许将暴露指标、攻击指标和 trailflow 日志引入 Microsoft Sentinel。不同的工作簿和数据解析器使你能够更轻松地操作日志和监视 Active Directory 环境。通过分析模板，可以自动响应有关不同事件、曝光和攻击的响应。 Log Analytics 表（s）： - `Tenable_IE_CL` 数据收集规则支持：目前不支持先决条件： - 访问 TenableIE 配置：配置 syslog 警报引擎的权限	成立
Tenable 漏洞管理（使用 Azure Functions） TVM 数据连接器提供使用 TVM REST API 将资产、漏洞和合规性数据引入 Microsoft Sentinel 的功能。详细信息请参阅 API 文档。连接器提供获取数据的功能，有助于检查潜在的安全风险、深入了解计算资产、诊断配置问题等 Log Analytics 表（s）： - `Tenable_VM_Assets_CL` - `Tenable_VM_Vuln_CL` - `Tenable_VM_Compliance_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：访问 Tenable REST API 需要 TenableAccessKey 和 TenableSecretKey 。有关详细信息，请参阅 API。检查所有要求，并按照获取凭据的说明进行作。	成立
基于租户的 Microsoft Defender for Cloud （预览版） Microsoft Defender for Cloud 是一种安全管理工具，可用于检测并快速响应 Azure、混合和多云工作负载中的威胁。此连接器允许将 MDC 安全警报从 Microsoft 365 Defender 流式传输到 Microsoft Sentinel，以便可以利用将点连接到云资源、设备和标识的 XDR 相关性的优势，以及查看工作簿中的数据、查询和调查和响应事件。 Log Analytics 表（s）： - `SecurityAlert` 数据收集规则支持：当前不支持	Microsoft Corporation
TheHive 项目 - TheHive （使用 Azure Functions） TheHive 数据连接器提供通过 Webhook 将常见 TheHive 事件引入到 Microsoft Sentinel 的功能。 TheHive 可以实时通知外部系统修改事件（案例创建、警报更新、任务分配）。 TheHive 发生更改时，包含事件信息的 HTTPS POST 请求将被发送到回叫数据连接器 URL。详细信息请参阅 Webhook 文档。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `TheHive_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Webhook 凭据/权限：工作 Webhook 需要 HiveBearerToken、回调 URL 。请参阅文档，了解有关配置 Webhook 的详细信息。	Microsoft Corporation
Theom Theom 数据连接器使组织能够将其 Theom 环境连接到 Microsoft Sentinel。此解决方案使用户能够接收有关数据安全风险的警报、创建和扩充事件、检查统计信息以及触发 Microsoft Sentinel 中的 SOAR playbook Log Analytics 表（s）： - `TheomAlerts_CL` 数据收集规则支持：当前不支持	Theom
威胁情报 - TAXII Microsoft Sentinel 集成了 TAXII 2.0 和 2.1 数据源，你可以使用威胁情报来进行监视、发出警报和搜寻。使用此连接器将支持的 STIX 对象类型从 TAXII 服务器发送到 Microsoft Sentinel。威胁指标可以包括 IP 地址、域、URL 和文件哈希。有关详细信息，请参阅 Microsoft Sentinel 文档>。 Log Analytics 表（s）： - `ThreatIntelligenceIndicator` 数据收集规则支持：当前不支持	Microsoft Corporation
威胁情报平台 Microsoft Sentinel 集成了 Microsoft Graph 安全性 API 数据源，可以使用威胁情报来进行监视、警报和搜寻。使用此连接器，可将威胁指标从威胁情报平台 (TIP)（如 Threat Connect、Palo Alto Networks MindMeld、MISP 或其他集成应用程序）发送到 Microsoft Sentinel。威胁指标可以包括 IP 地址、域、URL 和文件哈希。有关详细信息，请参阅 Microsoft Sentinel 文档>。 Log Analytics 表（s）： - `ThreatIntelligenceIndicator` 数据收集规则支持：当前不支持	Microsoft Corporation
威胁情报上传 API （预览版） Microsoft Sentinel 提供了一个数据平面 API，用于从威胁情报平台 (TIP)（例如 Threat Connect、Palo Alto Networks MineMeld、MISP 或其他集成应用程序）引入威胁情报。威胁指标可能包括 IP 地址、域、URL、文件哈希和电子邮件地址。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `ThreatIntelligenceIndicator` 数据收集规则支持：当前不支持	Microsoft Corporation
传输安全连接器（使用 Azure Functions） [传输安全性] 数据连接器提供通过 REST API 将常见的传输安全 API 事件引入 Microsoft Sentinel 的功能。请参阅 API 文档了解详细信息。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `TransmitSecurityActivity_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 客户端 ID：需要 TransmitSecurityClientID 。请参阅 `https://developer.transmitsecurity.com/` 上的文档以详细了解 API。 - REST API 客户端机密：需要 TransmitSecurityClientSecret 。有关 API `https://developer.transmitsecurity.com/`的详细信息，请参阅文档。	传输安全性
趋势视觉一（使用 Azure Functions）通过 Trend Vision One 连接器，可轻松地将 Workbench 警报数据与 Microsoft Sentinel 连接，以查看仪表板、创建自定义警报并改进监视和调查功能。这样，用户就可以更深入地了解组织的网络/系统并改进安全操作功能。可在以下区域中的 Microsoft Sentinel 中使用 Trend Vision One 连接器：澳大利亚东部、澳大利亚东南部、巴西南部、加拿大中部、加拿大东部、印度中部、美国中部、东亚、美国东部、美国东部 2、法国中部、日本东部、韩国中部、美国中北部、北欧、挪威东部、南非北部、美国中南部、东南亚、瑞典中部、瑞士北部、阿联酋北部、英国南部、英国西部、西欧、美国西部、美国西部 2、美国西部 3。 Log Analytics 表（s）： - `TrendMicro_XDR_WORKBENCH_CL` - `TrendMicro_XDR_RCA_Task_CL` - `TrendMicro_XDR_RCA_Result_CL` - `TrendMicro_XDR_OAT_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - 趋势视觉一个 API 令牌：需要趋势视觉一个 API 令牌。请参阅文档，了解有关趋势视觉 One API 的详细信息。	Trend Micro
Varonis SaaS Varonis SaaS 提供将 Varonis 警告引入 Microsoft Sentinel 的功能。 Varonis 优先考虑深度数据可见性、分类功能和自动修正数据访问。 Varonis 为你的数据构建了风险的单个优先视图，因此你可以主动并系统性地消除内部威胁和网络攻击的风险。 Log Analytics 表（s）： - `VaronisAlerts_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。	瓦罗尼斯
Vectra XDR （使用 Azure Functions） Vectra XDR 连接器提供通过 Vectra REST API 将 Vectra 检测、审核、实体评分、锁定、运行状况和实体数据引入 Microsoft Sentinel 的功能。请参阅 API 文档 `https://support.vectra.ai/s/article/KB-VS-1666`，了解详细信息。 Log Analytics 表（s）： - `Detections_Data_CL` - `Audits_Data_CL` - `Entity_Scoring_Data_CL` - `Lockdown_Data_CL` - `Health_Data_CL` - `Entities_Data_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限： Vectra 客户端 ID 和客户端密码是运行状况、实体评分、实体、检测、锁定和审核数据收集所必需的。有关 API `https://support.vectra.ai/s/article/KB-VS-1666`的详细信息，请参阅文档。	Vectra 支持
VMware Carbon Black Cloud （使用 Azure Functions） VMware Carbon Black Cloud 连接器提供将 Carbon Black 数据引入 Microsoft Sentinel 的功能。该连接器为 Microsoft Sentinel 中审核、通知和事件日志提供可见性，以查看仪表板、创建自定义警报以及改进监视和调查功能。 Log Analytics 表（s）： - `CarbonBlackEvents_CL` - `CarbonBlackNotifications_CL` - `CarbonBlackAuditLogs_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - VMware Carbon Black API 密钥（s）：需要碳黑 API 和/或 SIEM 级别 API 密钥（s）。请参阅文档以详细了解 Carbon Black API。 - 审核和事件日志需要碳黑 API 访问级别 API ID 和密钥。 - 通知警报需要碳黑 SIEM 访问级别 API ID 和密钥。 - Amazon S3 REST API 凭据/权限：Amazon S3 REST API 需要 AWS 访问密钥 ID、 AWS 机密访问密钥、 AWS S3 存储桶名称、 AWS S3 存储桶中的文件夹名称。	Microsoft
VMware Carbon Black Cloud via AWS S3 VMware Carbon Black Cloud via AWS S3 数据连接器提供通过 AWS S3 引入监视列表、警报、身份验证和终结点事件的功能，并将其流式传输到 ASIM 规范化表。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `CarbonBlack_Alerts_CL` 数据收集规则支持：目前不支持先决条件： - 环境：必须定义并配置以下 AWS 资源：S3、简单队列服务（SQS）、IAM 角色和权限策略 - 环境：必须具有碳黑帐户和所需的权限才能创建转发到 AWS S3 存储桶的数据。有关详细信息，请参阅 Carbon Black 数据转发器文档	Microsoft
通过 AMA 的 Windows DNS 事件通过 Windows DNS 日志连接器，可以使用 Azure Monitoring Agent (AMA) 轻松筛选所有分析日志并将其从 Windows DNS 服务器流式传输到 Microsoft Sentinel 工作区。在 Microsoft Sentinel 中提供此数据有助于识别问题和安全威胁，例如： - 尝试解析恶意域名。 - 过时的资源记录。 - 经常查询域名和对话 DNS 客户端。 - 对 DNS 服务器执行的攻击。可以从 Microsoft Sentinel 获取对 Windows DNS 服务器的以下见解： - 将所有日志集中到一个位置。 - 在 DNS 服务器上请求负载。 - 动态 DNS 注册失败。高级 SIEM 信息模型 (ASIM) 支持 Windows DNS 事件，并将数据流式传输到 ASimDnsActivityLogs 表。了解详细信息。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `ASimDnsActivityLogs` 数据收集规则支持：当前不支持	Microsoft Corporation
Windows 防火墙 Windows 防火墙是一款 Microsoft Windows 应用程序，用于筛选从 Internet 传入系统的信息并阻止可能有害的程序。该软件通过防火墙阻止大多数程序进行通信。用户只需将程序添加到允许的程序列表中即可允许它通过防火墙进行通信。使用公用网络时，Windows 防火墙还可以通过阻止所有未经请求的尝试连接到计算机来保护系统。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `WindowsFirewall` 数据收集规则支持：当前不支持	Microsoft Corporation
通过 AMA 的 Windows 防火墙事件 Windows 防火墙是一款 Microsoft Windows 应用程序，用于筛选从 Internet 传入系统的信息并阻止可能有害的程序。防火墙软件通过防火墙阻止大多数程序进行通信。要流式传输从你的计算机收集的 Windows 防火墙应用程序日志，请使用 Azure Monitor 代理 (AMA) 将这些日志流式传输到 Microsoft Sentinel 工作区。需要将配置的数据收集终结点 (DCE) 与为 AMA 创建的数据收集规则 (DCR) 链接在一起，以收集日志。对于此连接器，将在与工作区相同的区域中创建 DCE。如果已使用存储在同一区域中的 DCE，则可以更改默认创建的 DCE 并通过 API 使用现有 DCE。 DCE 可以位于资源名称中具有“SentinelDCE”前缀的资源中。有关详细信息，请参阅以下文章： - Azure Monitor 中的数据收集终结点 - Microsoft Sentinel 文档 Log Analytics 表（s）： - `ASimNetworkSessionLogs` 数据收集规则支持：当前不支持	Microsoft Corporation
Windows 转发事件可以使用 Azure Monitor 代理 (AMA) 从连接到 Microsoft Sentinel 工作区的 Windows Server 流式传输所有 Windows 事件转发 (WEF) 日志。通过此连接，能够查看仪表板、创建自定义警报和改进调查。这样，用户就可以更深入地了解组织的网络并改善安全操作功能。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `WindowsEvent` 数据收集规则支持：当前不支持	Microsoft Corporation
通过 AMA 的 Windows 安全事件可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有安全事件。通过此连接，能够查看仪表板、创建自定义警报和改进调查。这样，用户就可以更深入地了解组织的网络并改善安全操作功能。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `SecurityEvent` 数据收集规则支持：当前不支持	Microsoft Corporation
WithSecure 元素 API （Azure 函数） WithSecure Elements 是基于云的统一网络安全平台，旨在降低风险、复杂性和提高效率。提升从终结点到云应用程序的安全性。自行抵御从有针对性的攻击到零日勒索软件在内的各种网络威胁。 WithSecure Elements 结合了强大的预测、预防和响应安全功能 - 所有相关操作都可以通过单一安全中心进行管理和监视。我们的模块化结构和灵活的定价模型让你可以自由演进解决方案。凭借我们的专业知识和见解，你始终可以获得强大的支援 - 你永远无需独自抵御风险。通过 Microsoft Sentinel 集成，可以将来自 WithSecure Elements 解决方案的安全事件数据与来自其他源的数据关联起来，从而获得整个环境的概况并更快地针对威胁做出反应。通过此解决方案，可将 Azure Function 部署到租户中，并定期轮询 WithSecure Elements 安全事件。有关详细信息，请访问我们的网站：https://www.withsecure.com。 Log Analytics 表（s）： - `WsSecurityEvents_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - WithSecure Elements API 客户端凭据：需要客户端凭据。有关详细信息，请参阅文档。	WithSecure
Wiz （使用 Azure Functions）借助 Wiz 连接器，可以轻松地将 Wiz 问题、漏洞发现和审核日志发送到 Microsoft Sentinel。 Log Analytics 表（s）： - `union isfuzzy=true <br>(WizIssues_CL),<br>(WizIssuesV2_CL)` - `union isfuzzy=true <br>(WizVulnerabilities_CL),<br>(WizVulnerabilitiesV2_CL)` - `union isfuzzy=true <br>(WizAuditLogs_CL),<br>(WizAuditLogsV2_CL)` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Wiz 服务帐户凭据：确保拥有 Wiz 服务帐户客户端 ID 和客户端密码、API 终结点 URL 和身份验证 URL。可以在 Wiz 文档中找到说明。	奇才
Workday 用户活动 Workday 用户活动数据连接器提供将用户活动日志从 Workday API 引入 Microsoft Sentinel 的功能。 Log Analytics 表（s）： - `ASimAuditEventLogs` 数据收集规则支持：目前不支持先决条件： - Workday 用户活动 API 访问权限：需要通过 Oauth 访问 Workday 用户活动 API。 API 客户端需要具有范围：系统，并且需要由具有系统审核权限的帐户授权。	Microsoft Corporation
来自 Facebook 的工作区（使用 Azure Functions） Workplace 数据连接器提供通过 Webhook 将常见 Workplace 事件引入 Microsoft Sentinel 的功能。 Webhook 允许自定义集成应用订阅 Workplace 中的事件并实时接收更新。 Workplace 中发生更改时，包含事件信息的 HTTPS POST 请求将发送到回调数据连接器 URL。详细信息请参阅 Webhook 文档。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `Workplace_Facebook_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Webhook 凭据/权限：工作 Webhook 需要 WorkplaceAppSecret、WorkplaceVerifyToken、回调 URL。请参阅文档以详细了解如何配置 Webhook 和配置权限。	Microsoft Corporation
零网络段审核 Zero Networks Segment Audit 数据连接器提供通过 REST API 将 Zero Networks Audit 事件引入 Microsoft Sentinel 的功能。此数据连接器使用 Microsoft Sentinel 本机轮询功能。 Log Analytics 表（s）： - `ZNSegmentAuditNativePoller_CL` 数据收集规则支持：目前不支持先决条件： - 零网络 API 令牌：REST API 需要 ZeroNetworksAPIToken 。请参阅 API 指南并按照获取凭据的说明进行作。	零网络
零网络段审核（函数）（使用 Azure Functions）零网络段审核数据连接器提供通过 REST API 将审核事件引入 Microsoft Sentinel 的功能。有关详细信息，请参阅 API 指南。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `ZNSegmentAudit_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据：REST API 需要零网络段API 令牌。请参阅 API 指南。	零网络
ZeroFox CTI （使用 Azure Functions） ZeroFox CTI 数据连接器提供将不同 ZeroFox 网络威胁情报警报引入 Microsoft Sentinel 的功能。 Log Analytics 表（s）： - `ZeroFox_CTI_advanced_dark_web_CL` - `ZeroFox_CTI_botnet_CL` - `ZeroFox_CTI_breaches_CL` - `ZeroFox_CTI_C2_CL` - `ZeroFox_CTI_compromised_credentials_CL` - `ZeroFox_CTI_credit_cards_CL` - `ZeroFox_CTI_dark_web_CL` - `ZeroFox_CTI_discord_CL` - `ZeroFox_CTI_disruption_CL` - `ZeroFox_CTI_email_addresses_CL` - `ZeroFox_CTI_exploits_CL` - `ZeroFox_CTI_irc_CL` - `ZeroFox_CTI_malware_CL` - `ZeroFox_CTI_national_ids_CL` - `ZeroFox_CTI_phishing_CL` - `ZeroFox_CTI_phone_numbers_CL` - `ZeroFox_CTI_ransomware_CL` - `ZeroFox_CTI_telegram_CL` - `ZeroFox_CTI_threat_actors_CL` - `ZeroFox_CTI_vulnerabilities_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - ZeroFox API 凭据/权限： ZeroFox 用户名、 ZeroFox 个人访问令牌是 ZeroFox CTI REST API 所必需的。	ZeroFox
ZeroFox Enterprise - 警报（轮询 CCF）从 ZeroFox API 收集警报。 Log Analytics 表（s）： - `ZeroFoxAlertPoller_CL` 数据收集规则支持：目前不支持先决条件： - ZeroFox 个人访问令牌（PAT）：需要 ZeroFox PAT。可以在数据连接器 >API 数据馈送中获取它。	ZeroFox
Zimperium 移动威胁防御借助 Zimperium Mobile Threat Defense 连接器，可以将 Zimperium 威胁日志与 Microsoft Sentinel 连接，以查看仪表板、创建自定义警报并改进调查。这样，可以更深入地了解组织的移动威胁态势，并增强安全操作能力。 Log Analytics 表（s）： - `ZimperiumThreatLog_CL` 数据收集规则支持：当前不支持	Zimperium
缩放报表（使用 Azure Functions） Zoom Reports 数据连接器提供通过 REST API 将 Zoom Reports 事件引入 Microsoft Sentinel 的功能。详细信息请参阅 API 文档。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。 Log Analytics 表（s）： - `Zoom_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：Zoom API 需要 AccountID、 ClientID 和 ClientSecret 。有关详细信息，请参阅缩放 API。按照缩放 API 配置的说明进行作。	Microsoft Corporation

已弃用的 Sentinel 数据连接器

注意

下表列出了已弃用和旧数据连接器。不再支持弃用的连接器。

连接器	支持的服务
[已弃用]Atlassian Confluence Audit （使用 Azure Functions） Atlassian Confluence Audit 数据连接器提供了引入 Confluence 审核记录以获取详细信息的功能。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。注意：此数据连接器已被弃用，请考虑迁移到解决方案中提供的 CCF 数据连接器，该连接器通过已弃用的 HTTP 数据收集器 API 替换引入。 Log Analytics 表（s）： - `Confluence_Audit_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：REST API 需要 ConfluenceAccessToken、 ConfluenceUsername 。有关详细信息，请参阅 API。检查所有要求，并按照获取凭据的说明进行作。	Microsoft Corporation
[已弃用]Google Cloud Platform DNS （使用 Azure Functions） Google Cloud Platform DNS 数据连接器提供使用 GCP 日志记录 API 将云 DNS 查询日志和云 DNS 审核日志引入 Microsoft Sentinel 的功能。详细信息请参阅 GCP 日志记录 API 文档。注意：此数据连接器已被弃用，请考虑迁移到解决方案中提供的 CCF 数据连接器，该连接器通过已弃用的 HTTP 数据收集器 API 替换引入。 Log Analytics 表（s）： - `GCP_DNS_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - GCP 服务帐户：GCP 日志记录 API 需要具有读取日志的权限（具有“logging.logEntries.list”权限）的 GCP 服务帐户。此外，还需要包含服务帐户密钥的 json 文件。请参阅文档，详细了解权限、创建服务帐户和创建服务帐户密钥。	Microsoft Corporation
[已弃用]Google Cloud Platform IAM （使用 Azure Functions） Google Cloud Platform 标识和访问管理 (IAM) 数据连接器提供使用 GCP 日志记录 API 将 GCP IAM 日志引入 Microsoft Sentinel 的功能。详细信息请参阅 GCP 日志记录 API 文档。注意：此数据连接器已被弃用，请考虑迁移到解决方案中提供的 CCF 数据连接器，该连接器通过已弃用的 HTTP 数据收集器 API 替换引入。 Log Analytics 表（s）： - `GCP_IAM_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - GCP 服务帐户：GCP 日志记录 API 需要具有读取日志权限的 GCP 服务帐户。此外，还需要包含服务帐户密钥的 json 文件。请参阅文档，了解有关所需权限、创建服务帐户和创建服务帐户密钥的详细信息。	Microsoft Corporation
[已弃用]通过旧代理的 Infoblox SOC Insight 数据连接器利用 Infoblox SOC Insight Data Connector，可以轻松地将 Infoblox BloxOne SOC Insight 数据与 Microsoft Sentinel 相连接。通过将日志连接到 Microsoft Sentinel，可以针对每个日志使用搜索和关联、警报以及威胁情报扩充功能。此数据连接器使用旧版 Log Analytics 代理将 Infoblox SOC Insight CDC 日志引入 Log Analytics 工作区。 Microsoft建议通过 AMA 连接器安装 Infoblox SOC Insight 数据连接器。旧连接器使用 Log Analytics 代理，该代理将于 2024 年 8 月 31 日弃用，并且仅应在不支持 AMA 的情况下安装。在同一台计算机上使用 MMA 和 AMA 可能会导致日志重复和额外的引入成本。更多详细信息。 Log Analytics 表（s）： - `CommonSecurityLog` 数据收集规则支持：工作区转换 DCR	Infoblox
[已弃用]Microsoft Exchange 日志和事件已弃用，请使用“ESI-Opt”dataconnectors。可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有 Exchange 审核事件、IIS 日志、HTTP 代理日志和安全事件日志。通过此连接，能够查看仪表板、创建自定义警报和改进调查。 Microsoft Exchange Security Workbooks 使用此它来提供本地 Exchange 环境的安全性见解 Log Analytics 表（s）： - `Event` - `SecurityEvent` - `W3CIISLog` - `MessageTrackingLog_CL` - `ExchangeHttpProxy_CL` 数据收集规则支持：目前不支持先决条件： - 建议弃用 Azure Log Analytics，以便从非 Azure VM 收集数据。了解详细信息 - 详细文档：>有关安装过程和用法的详细文档，可在此处找到	社区
[已弃用]Proofpoint On Demand 电子邮件安全（使用 Azure Functions） Proofpoint On Demand Email Security 数据连接器提供获取 Proofpoint on Demand Email Protection 数据的功能，允许用户检查邮件可跟踪性、监视电子邮件活动、威胁以及攻击者和恶意内部成员的数据外泄。连接器提供加速查看组织中事件、按小时增量获取最近活动的事件日志文件的功能。注意：此数据连接器已被弃用，请考虑迁移到解决方案中提供的 CCF 数据连接器，该连接器通过已弃用的 HTTP 数据收集器 API 替换引入。 Log Analytics 表（s）： - `ProofpointPOD_message_CL` - `ProofpointPOD_maillog_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Websocket API 凭据/权限： ProofpointClusterID、 ProofpointToken 是必需的。有关详细信息，请参阅 API。	Microsoft Corporation
[已弃用]Proofpoint TAP （使用 Azure Functions） Proofpoint Targeted Attack Protection (TAP) 连接器提供将 Proofpoint TAP 日志和事件引入 Microsoft Sentinel 的功能。该连接器支持在 Microsoft Sentinel 中查看消息事件和单击事件，以便查看仪表板、创建自定义警报以及改进监视和调查功能。注意：此数据连接器已被弃用，请考虑迁移到解决方案中提供的 CCF 数据连接器，该连接器通过已弃用的 HTTP 数据收集器 API 替换引入。 Log Analytics 表（s）： - `ProofPointTAPMessagesDelivered_CL` - `ProofPointTAPMessagesBlocked_CL` - `ProofPointTAPClicksPermitted_CL` - `ProofPointTAPClicksBlocked_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Proofpoint TAP API 密钥：需要 Proofpoint TAP API 用户名和密码。有关详细信息，请参阅 Proofpoint SIEM API。	Microsoft Corporation
[已弃用]Qualys 漏洞管理（使用 Azure Functions） Qualys 漏洞管理 (VM) 数据连接器提供通过 Qualys API 将漏洞主机检测数据引入 Microsoft Sentinel 的功能。此连接器为漏洞扫描中的主机检测数据提供可见性。此连接器提供 Microsoft Sentinel 查看仪表板、创建自定义警报和改进调查的功能注意：此数据连接器已被弃用，请考虑迁移到解决方案中提供的 CCF 数据连接器，该连接器通过已弃用的 HTTP 数据收集器 API 替换引入。 Log Analytics 表（s）： - `QualysHostDetectionV2_CL` - `QualysHostDetection_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - Qualys API 密钥：需要 Qualys VM API 用户名和密码。有关详细信息，请参阅 Qualys VM API。	Microsoft Corporation
[已弃用]Slack 审核（使用 Azure Functions） Slack Audit 数据连接器提供通过 REST API 将 Slack Audit Records 事件引入 Microsoft Sentinel 的功能。详细信息请参阅 API 文档。连接器使事件检索能够评估潜在的安全风险、监视协作以及诊断和排查配置问题。注意：此数据连接器已被弃用，请考虑迁移到解决方案中提供的 CCF 数据连接器，该连接器通过已弃用的 HTTP 数据收集器 API 替换引入。 Log Analytics 表（s）： - `SlackAudit_CL` 数据收集规则支持：目前不支持先决条件： - Microsoft.Web/sites 权限：需要读取和写入 Azure Functions 以创建 Function App 的权限。有关详细信息，请参阅 Azure Functions。 - REST API 凭据/权限：REST API 需要 SlackAPIBearerToken 。有关详细信息，请参阅 API。检查所有要求，并按照获取凭据的说明进行作。	Microsoft Corporation
通过旧代理的安全事件可以使用 Windows 代理从连接到 Microsoft Sentinel 工作区的 Windows 计算机流式传输所有安全事件。通过此连接，能够查看仪表板、创建自定义警报和改进调查。这样，用户就可以更深入地了解组织的网络并改善安全操作功能。有关详细信息，请参阅 Microsoft Sentinel 文档。 Log Analytics 表（s）： - `SecurityEvent` 数据收集规则支持：当前不支持	Microsoft Corporation
基于订阅的 Microsoft Defender for Cloud （旧版） Microsoft Defender for Cloud 是一种安全管理工具，可用于检测并快速响应 Azure、混合和多云工作负载中的威胁。此连接器允许将安全警报从 Microsoft Defender for Cloud 流式传输到 Microsoft Sentinel，以便你可以在工作簿中查看 Defender 数据，对其进行查询以生成警报，以及调查和响应事件。详细信息> Log Analytics 表（s）： - `SecurityAlert` 数据收集规则支持：当前不支持	Microsoft Corporation
通过旧代理的 Syslog Syslog 是普遍适用于 Linux 的事件日志记录协议。应用程序将发送可能存储在本地计算机或传递到 Syslog 收集器的消息。安装适用于 Linux 的代理后，它将配置本地 Syslog 守护程序，以将消息转发到代理。然后，代理会将消息发送到工作区。了解详细信息> Log Analytics 表（s）： - `Syslog` 数据收集规则支持：工作区转换 DCR	Microsoft Corporation

后续步骤

有关详细信息，请参阅：

通过