Verbinden von Microsoft Sentinel mit anderen Microsoft-Diensten über einen API-basierten Datenconnector
In diesem Artikel wird beschrieben, wie Sie API-basierte Verbindungen mit Microsoft Sentinel herstellen. Microsoft Sentinel verwendet Azure als Grundlage, um integrierte Dienst-zu-Dienst-Unterstützung für die Datenerfassung aus zahlreichen Azure- und Microsoft 365-Diensten, Amazon Web Services und verschiedenen Windows Server-Diensten bereitzustellen. Es gibt einige unterschiedliche Methoden, mit denen diese Verbindungen hergestellt werden.
Dieser Artikel enthält Informationen, die für Gruppen von API-basierten Datenconnectors gemeinsam zutreffen.
Hinweis
Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.
Voraussetzungen
Sie benötigen Lese- und Schreibberechtigungen für den Log Analytics-Arbeitsbereich.
Sie müssen über die Rolle „Globaler Administrator“ oder „Sicherheitsadministrator“ im Mandanten Ihres Microsoft Sentinel-Arbeitsbereichs verfügen.
Datenconnectorspezifische Anforderungen:
Datenconnector Lizenzierung, Kosten und andere Voraussetzungen Microsoft Entra ID-Schutz - Microsoft Entra-ID P2-Abonnement
- Möglicherweise fallen weitere Gebühren anDynamics 365 - Microsoft Dynamics 365-Produktionslizenz. Nicht für Sandboxumgebungen verfügbar.
- Mindestens ein Benutzer hat eine Microsoft-/Office 365-Lizenz vom Typ E1 oder höher zugewiesen.
– Überwachungsprotokollierung in Microsoft Purview aktiviert. Siehe Aktivieren oder Deaktivieren der Überwachung.
– Überwachungsprotokollierung in Ihrer Microsoft Dataverse-Umgebung aktiviert. Siehe Microsoft Dataverse- und modellgesteuerte App-Aktivitätsprotokollierung.
- Möglicherweise fallen weitere Gebühren an.Microsoft Defender for Cloud Apps Aktivieren Cloud Discovery Microsoft Sentinel als SIEM in Microsoft Defender für Cloud-Apps. Microsoft Defender für den Endpunkt Gültige Lizenz für die Bereitstellung von Microsoft Defender for Endpoint Microsoft Defender für Office 365 Gültige Lizenz für Office 365 ATP-Plan 2 Microsoft Office 365 - Ihre Office-365-Bereitstellung muss sich auf demselben Mandanten befinden wie Ihr Microsoft Sentinel-Arbeitsbereich.
- Möglicherweise fallen weitere Gebühren an.Microsoft Power BI - Ihre Office-365-Bereitstellung muss sich auf demselben Mandanten befinden wie Ihr Microsoft Sentinel-Arbeitsbereich.
- Möglicherweise fallen weitere Gebühren an.Microsoft Purview Information Protection - Ihre Office-365-Bereitstellung muss sich auf demselben Mandanten befinden wie Ihr Microsoft Sentinel-Arbeitsbereich.
- Möglicherweise fallen weitere Gebühren an.Insider-Risikomanagement (IRM) in Microsoft Purview - Gültiges Abonnement für Microsoft 365 E5/A5/G5 oder die zugehörigen Compliance- oder IRM-Add-Ons.
- Microsoft Purview Insider Risikomanagement vollständig eingebunden, IRM-Richtlinien definiert und Warnmeldungen erzeugt.
- Microsoft 365 IRM konfiguriert, um den Export von IRM-Warnungen an die Office 365 Management Activity API zu aktivieren, um die Warnmeldungen über den Microsoft Sentinel Konnektor zu empfangen.
Anweisungen
Wählen Sie im Microsoft Sentinel-Navigationsmenü die Option Datenconnectors aus.
Wählen Sie Ihren Dienst aus dem Katalog der Datenconnectors aus, und wählen Sie dann im Vorschaubereich Connectorseite öffnen aus.
Wählen Sie Verbinden aus, um das Streaming von Ereignissen und/oder Warnungen von Ihrem Dienst in Microsoft Sentinel zu starten.
Wenn auf der Connectorseite ein Abschnitt mit dem Titel Incidents erstellen – empfohlen! angezeigt wird, wählen Sie Aktivieren aus, wenn Sie aus Warnungen automatisch Incidents erstellen möchten.
Sie können die Daten für jeden Dienst mithilfe der Tabellennamen suchen und abfragen, die im Abschnitt für den Connector des Diensts auf der Referenzseite für Datenconnectors angezeigt werden.
Nächste Schritte
Weitere Informationen finden Sie unter