通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

使用数据连接器将数据源连接到 Microsoft Sentinel

  • 适用于: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

若要将数据源连接到 Microsoft Sentinel,需要安装和配置数据连接器。 本文一般介绍如何在 Microsoft Sentinel 内容中心 安装可用的数据连接器,以便引入和分析数据以提高威胁检测。

重要说明

Microsoft Sentinel 在 Microsoft Defender 门户中正式发布,包括没有 Microsoft Defender XDR 或 E5 许可证的客户。

2026 年 7 月开始,在 Azure 门户中使用 Microsoft Sentinel 的所有客户都将 重定向到 Defender 门户,并将仅在 Defender 门户中使用 Microsoft Sentinel。 从 2025 年 7 月开始,许多新客户 会自动加入并重定向到 Defender 门户

如果仍在 Azure 门户中使用 Microsoft Sentinel,建议开始计划 过渡到 Defender 门户 ,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全作体验。 有关详细信息,请参阅《是时候移动:停用 Microsoft Sentinel 的 Azure 门户以提高安全性》

Prerequisites

在开始之前,请确保你拥有适当的访问权限,并且你或组织中的某人安装了相关解决方案。

  • 必须对 Microsoft Sentinel 工作区拥有读取和写入权限。
  • 从 Microsoft Sentinel 中的“内容中心”安装包含数据连接器的解决方案。 有关详细信息,请参阅发现和管理 Microsoft Sentinel 现成内容

启用数据连接器

在你或组织中的某人安装包含所需数据连接器的解决方案后,配置数据连接器以开始引入数据。

  1. 对于 Defender 门户中的 Microsoft Sentinel,请选择“Microsoft Sentinel”“配置”>“数据连接器”。> 对于 Azure 门户中的 Microsoft Sentinel,请在“配置”下选择“数据连接器”。

  2. 搜索并选择连接器。 如果未看到所需的数据连接器,请再次检查内容 中心中是否安装了相关解决方案。

  3. 选择“打开连接器页”

  4. 查看数据连接器的先决条件,并确保满足这些 先决条件

  5. 按照数据连接器的 “配置” 部分中概述的步骤进行作。

    对于某些连接器,请在 Microsoft Sentinel 文档的“收集数据”部分找到更具体的配置信息

配置数据保留和分层

如果你已加入 Microsoft Sentinel 数据湖,可以为数据连接器配置数据保留和分层。 Data Lake 由分析层(当前Microsoft Sentinel 工作区)和一个数据湖层组成,可在其中存储最多 12 年的数据。 有关加入的详细信息,请参阅加入 Microsoft Sentinel 数据湖

启用连接器时,默认情况下,数据将发送到分析层并在 Data Lake 层中镜像。 在每个层中配置数据保留,或仅将数据发送到 Data Lake 层。 您可以通过连接器设置页或使用 Defender 门户中的 “表管理” 页来管理保留和分层。 有关表管理和保留的详细信息,请参阅 在 Microsoft Defender 门户中管理数据分层和保留

设置连接器后,按照以下步骤配置数据保留和分层:

  1. “连接器详细信息 ”页上的 “表管理 ”部分中,选择要管理的表。

    显示连接器详细信息页的屏幕截图。

  2. 表格面板显示当前保存设置。

  3. 若要配置保留期,请选择“ 管理表”。 显示“管理表”面板的屏幕截图。

  4. 将显示 “管理表 ”面板,其中显示了当前的保留设置。 可以更改分析层和数据湖层的保留设置。 默认值是将数据镜像到数据湖层,保留期与分析层相同。

  5. “分析保留 期”下,选择分析层的保留期。

  6. 若要配置 Data Lake 层,请从 “总保留 期”下拉列表中选择一个保留期。 显示分析和数据湖层选项的屏幕截图。

  7. 若要仅将层更改为 Data Lake,请选择 Data Lake 层 ,然后从“ 保留” 下拉列表中选择保留期。 选择此选项将停止对分析层的进一步引入。

  8. 选择“保存”,保存更改。

显示仅保留数据湖层选项的屏幕截图。

配置数据连接器后,可能需要花费一些时间才能将数据引入 Microsoft Sentinel。 将数据引入数据湖需要 90 - 120 分钟。 连接数据连接器后,可以在“收到的数据”图表中看到数据摘要以及数据类型的连接状态

数据连接器页的屏幕截图,其中包含连接状态和显示收到的数据的图表。

查找您的数据

成功启用连接器后,连接器开始将数据流式传输到与配置的数据类型相关的表架构。

在 Defender 门户中,在 “高级搜寻 ”页或 Azure 门户中查询“ 日志 ”页中的数据。
导航到 Data Lake 资源管理器KQL 查询 以查询 Data Lake 中的数据。 有关详细信息,请参阅 KQL 和 Microsoft Sentinel data lake

查找数据连接器的支持

Microsoft 和其他组织都会创作 Microsoft Sentinel 数据连接器。 从 Microsoft Sentinel 中的数据连接器页查找支持联系人。

  1. 在 Microsoft Sentinel“数据连接器”页中,选择相关连接器。

  2. 若要访问连接器的支持和维护,请使用连接器侧面板上“ 支持的 ”字段中的支持联系人链接。

    显示 Microsoft Sentinel 中数据连接器的“支持者”字段的屏幕截图。

有关详细信息,请参阅数据连接器支持

相关内容

有关 Microsoft Sentinel 中的解决方案和数据连接器的详细信息,请参阅以下文章。