Forbind datakilder med Microsoft Sentinel ved hjælp af dataconnectors

Hvis du vil forbinde datakilder med Microsoft Sentinel, skal du installere og konfigurere dataconnectors. I denne artikel forklares det generelt, hvordan du installerer dataconnectors, der er tilgængelige i Microsoft Sentinel Content Hub, til at indtage og analysere data for at opnå forbedret trusselsregistrering.

• Microsoft Sentinel dataconnectors
• Find din Microsoft Sentinel dataconnector
• Find og administrer Microsoft Sentinel indbyggede indhold

Vigtigt!

Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.

Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.

Forudsætninger

Før du begynder, skal du sørge for, at du har den relevante adgang, og at du eller en person i din organisation installerer den relaterede løsning.

• Du skal have læse- og skrivetilladelser til det Microsoft Sentinel arbejdsområde.
• Installér den løsning, der indeholder dataconnectoren fra Indholdshub i Microsoft Sentinel. Du kan finde flere oplysninger under Find og administrer Microsoft Sentinel indhold, der er klar til brug.

Aktivér en dataconnector

Når du eller en person i din organisation installerer den løsning, der indeholder den dataconnector, du har brug for, skal du konfigurere dataconnectoren til at begynde at indtage data.

1. For Microsoft Sentinel på Defender-portalen skal du vælge Microsoft Sentinel>Konfigurationer>Dataconnectors. Vælg Dataconnectors under Konfiguration for Microsoft Sentinel i Azure Portal.

2. Søg efter og vælg connectoren. Hvis du ikke kan se den ønskede dataconnector, skal du igen kontrollere, at den relevante løsning er installeret i indholdshubben.

3. Vælg Åbn forbindelsesside.

   Defender-portal

   

   Azure Portal

   

4. Gennemse forudsætningerne for din dataconnector, og sørg for, at de opfyldes.

5. Følg de trin, der er beskrevet i afsnittet Konfigurationer for din dataconnector.

   For nogle connectors kan du finde mere specifikke konfigurationsoplysninger i afsnittet Indsaml data i dokumentationen til Microsoft Sentinel.

   • Opret forbindelse Microsoft Sentinel til tjenesterne Azure, Windows, Microsoft og Amazon
   • Forudsætninger for dataconnector

Konfigurer dataopbevaring og -niveauinddeling

Hvis du har onboardet til Microsoft Sentinel datasø, kan du konfigurere dataopbevaring og -niveauinddeling for dataconnectoren. Datasøen består af et analyseniveau – dine aktuelle Microsoft Sentinel arbejdsområder og et datasøniveau, hvor du kan gemme data i op til 12 år. Du kan få flere oplysninger om onboarding under Onboarding to Microsoft Sentinel data lake.

Når du aktiverer en connector, sendes dataene som standard til analyseniveauet og afspejles på data lake-niveauet. Konfigurer dataopbevaring på hvert niveau, eller send kun dataene til datasøniveauet. Opbevaring og niveauinddeling administreres fra siderne til konfiguration af connectorer eller ved hjælp af siden Til administration af tabeller på Defender-portalen. Du kan få flere oplysninger om tabeladministration og -opbevaring under Administrer dataniveauer og -opbevaring i Microsoft Defender Portal.

Når du har konfigureret din connector, skal du konfigurere dataopbevaring og -niveauinddeling ved hjælp af følgende trin:

1. Vælg den tabel, du vil administrere, i afsnittet Tabeladministration på siden Med connectordetaljer.

   

2. Tabelpanelet vises med de aktuelle opbevaringsindstillinger.

3. Hvis du vil konfigurere opbevaring, skal du vælge Administrer tabel.

4. Panelet Administrer tabel vises med de aktuelle opbevaringsindstillinger. Du kan ændre opbevaringsindstillingerne for analyseniveauet og datasøniveauet. Standarden er at afspejle dataene til niveauet data lake med den samme opbevaring som analyseniveauet.

5. Under Analyseopbevaring skal du vælge opbevaringsperioden for analyseniveauet.

6. Hvis du vil konfigurere datasøniveauet, skal du vælge en opbevaringsperiode på rullelisten Samlet opbevaring .

7. Hvis du kun vil ændre niveauet til datasø, skal du vælge niveauet Data lake og vælge en opbevaringsperiode på rullelisten Opbevaring . Hvis du vælger denne indstilling, stoppes yderligere indtagelse til analyseniveauet.

8. Vælg Gem for at gemme ændringerne.

Når du har konfigureret dataconnectoren, kan det tage noget tid, før dataene overføres til Microsoft Sentinel. Det tager 90-120 minutter, før data overføres til datasøen. Når dataconnectoren er forbundet, får du vist en oversigt over dataene i grafen Modtagne data og datatypernes forbindelsesstatus.

Aktivér UEBA (User and Entity Behavior Analytics) fra understøttede connectors

UEBA (User and Entity Behavior Analytics) i Microsoft Sentinel analyserer logge og beskeder fra forbundne datakilder for at oprette grundlæggende adfærdsprofiler for organisationens enheder – f.eks. brugere, værter, IP-adresser og programmer. Ved hjælp af maskinel indlæring identificerer UEBA unormal aktivitet, der kan indikere et kompromitteret aktiv.

Sådan aktiverer du UEBA fra understøttede dataconnectors på Microsoft Defender portal:

1. Vælg Microsoft Sentinel Konfigurationsdata-connectors > i navigationsmenuen på >Microsoft Defender portalen.

2. Vælg en UEBA-understøttet dataconnector, der understøtter UEBA. Du kan få flere oplysninger om de dataconnectors og tabeller, der understøttes af UEBA, i Microsoft Sentinel UEBA-reference.

3. Vælg Åbn forbindelsesside i ruden dataconnector.

4. På siden Connectordetaljer skal du vælge Avancerede indstillinger.

5. Under Konfigurer UEBA skal du skifte mellem de tabeller, du vil aktivere for UEBA.

   

Find dine data

Når du har aktiveret connectoren, begynder connectoren at streame data til de tabelskemaer, der er relateret til de datatyper, du har konfigureret.

På Defender-portalen skal du forespørge om data på siden Avanceret jagt eller i Azure Portal forespørge om data på siden Logge.
Gå til Data lake Explorer , KQL-forespørgsler for at forespørge om data i datasøen. Du kan få flere oplysninger under KQL og datasøen Microsoft Sentinel.

Find understøttelse af en dataconnector

Både Microsoft og andre organisationer opretter Microsoft Sentinel dataconnectors. Find supportkontakten fra dataconnectorsiden i Microsoft Sentinel.

1. Vælg den relevante connector på siden Microsoft Sentinel Dataconnectors.

2. Hvis du vil have adgang til support og vedligeholdelse af connectoren, skal du bruge linket supportkontakt i feltet Understøttet af på sidepanelet for connectoren.

   

Du kan få flere oplysninger under Understøttelse af dataconnector.

Relateret indhold

Du kan finde flere oplysninger om løsninger og dataconnectors i Microsoft Sentinel i følgende artikler.

• Microsoft Sentinel dataconnectors
• Find din Microsoft Sentinel dataconnector
• Opret forbindelse Microsoft Sentinel til tjenesterne Azure, Windows, Microsoft og Amazon
• Hvad er Microsoft Sentinel datasø?
• Onboarding til Microsoft Sentinel datasø
• Administrer dataniveauer og opbevaring i Microsoft Defender Portal.
• KQL og datasøen Microsoft Sentinel
• Jupyter-notesbøger og datasøen Microsoft Sentinel