Verwenden von auf Diagnoseeinstellungen basierenden Verbindungen, um Microsoft Sentinel mit anderen Microsoft-Diensten verbinden

  • Artikel

In diesem Artikel erfahren Sie, wie Sie auf Diagnoseeinstellungen basierende Verbindungen verwenden, um eine Verbindung mit Microsoft Sentinel herzustellen. Microsoft Sentinel verwendet Azure als Grundlage, um integrierte Dienst-zu-Dienst-Unterstützung für die Datenerfassung aus zahlreichen Azure- und Microsoft 365-Diensten, Amazon Web Services und verschiedenen Windows Server-Diensten bereitzustellen. Es gibt einige verschiedene Methoden, mit denen diese Verbindungen hergestellt werden.

Dieser Artikel enthält Informationen, die für die Gruppe von Datenconnectors gelten, die auf Diagnoseeinstellungen basierende Verbindungen verwenden. Einige dieser Arten von Connectors werden mithilfe von Azure Policy verwaltet. Verwenden Sie für die anderen Connectors dieses Typs die Anleitung für eigenständige Connectors.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Eigenständige, auf Diagnoseeinstellungen basierende Connectors

In diesem Abschnitt werden Voraussetzungen und allgemeine Installationsanweisungen für die Gruppe von Datenconnectors behandelt, die eigenständige, auf Diagnoseeinstellungen basierende Verbindungen verwenden.

Voraussetzungen

Zum Erfassen von Daten in Microsoft Sentinel:

  • Sie benötigen Lese- und Schreibberechtigungen für den Microsoft Sentinel-Arbeitsbereich.

Anweisungen

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü die Option Datenconnectors aus.

  2. Wählen Sie Ihren Ressourcentyp aus dem Katalog der Datenconnectors aus, und wählen Sie dann im Vorschaubereich Connectorseite öffnen aus.

  3. Wählen Sie auf der Connectorseite im Abschnitt Konfiguration den Link aus, um die Ressourcenkonfigurationsseite zu öffnen.

    Wenn eine Liste der Ressourcen des gewünschten Typs angezeigt wird, wählen Sie den Link für eine Ressource aus, deren Protokolle Sie erfassen möchten.

  4. Wählen Sie im Navigationsmenü der Ressource Diagnoseeinstellungen aus.

  5. Wählen Sie am Ende der Liste + Diagnoseeinstellung hinzufügen aus.

  6. Geben Sie auf dem Bildschirm Diagnoseeinstellungen einen Namen in das Feld Name der Diagnoseeinstellungen ein.

    Aktivieren Sie das Kontrollkästchen An Log Analytics senden. Zwei neue Felder werden darunter angezeigt. Wählen Sie das relevante Abonnement und den Log Analytics-Arbeitsbereich (in dem sich Microsoft Sentinel befindet) aus.

  7. Aktivieren Sie die Kontrollkästchen der Protokolltypen und Metriken, die Sie erfassen möchten. Unsere empfohlenen Optionen für jeden Ressourcentyp finden Sie im Abschnitt für den Connector der Ressource auf der Referenzseite für Datenconnectors.

  8. Wählen Sie im oberen Bereich des Bildschirms Speichern aus.

Weitere Informationen finden Sie auch unter Erstellen von Diagnoseeinstellungen zum Senden von Metriken und Protokollen der Azure Monitor-Plattform an verschiedene Ziele in der Azure Monitor-Dokumentation.

Von Azure Policy verwaltete, auf Diagnoseeinstellungen basierende Connectors

In diesem Abschnitt werden Voraussetzungen und allgemeine Installationsanweisungen für die Gruppe von Datenconnectors behandelt, die von Azure Policy-verwaltete, auf Diagnoseeinstellungen basierende Verbindungen verwenden.

Voraussetzungen

Zum Erfassen von Daten in Microsoft Sentinel:

  • Sie benötigen Lese- und Schreibberechtigungen für den Microsoft Sentinel-Arbeitsbereich.

  • Wenn Sie Azure Policy verwenden möchten, um eine Richtlinie zum Protokollstreaming auf Ihre Ressourcen anzuwenden, müssen Sie die Rolle „Besitzer“ für den Zuweisungsbereich der Richtlinie besitzen.

  • Datenconnectorspezifische Anforderungen:

    Datenconnector Lizenzierung, Kosten und andere Informationen
    Azure-Aktivität Dieser Connector verwendet jetzt die Diagnoseeinstellungspipeline. Bei Verwendung der Legacymethode müssen die vorhandenen Abonnements von der Legacymethode getrennt werden, bevor der neue Azure-Aktivitätsprotokollconnector eingerichtet wird.

    1. Wählen Sie im Navigationsmenü von Microsoft Sentinel die Option Datenconnectors aus. Klicken Sie in der Liste mit Connectoren auf Azure-Aktivität und dann unten rechts auf die Schaltfläche Connectorseite öffnen.
    2. Überprüfen Sie auf der Registerkarte Anweisungen im Abschnitt Konfiguration in Schritt 1 die Liste Ihrer vorhandenen Abonnements, die mit der Legacymethode verbunden sind, und trennen Sie alle auf einmal, indem Sie unten auf die Schaltfläche Alle trennen klicken.
    3. Setzen Sie die Einrichtung des neuen Connectors gemäß der Anleitung in diesem Abschnitt fort.
    Azure DDoS Protection - Konfigurierter Azure-DDoS-Standardschutzplan
    - Konfiguriertes virtuelles Netzwerk mit aktiviertem Azure-DDoS-Standardschutz
    - Möglicherweise fallen weitere Gebühren an.
    - Der Status des Azure DDoS Protection-Datenconnectors ändert sich nur in Verbunden, wenn die geschützten Ressourcen einem DDoS-Angriff ausgesetzt sind.
    Azure Storage-Konto Die (übergeordnete) Speicherkontoressource enthält andere (untergeordnete) Ressourcen für jeden Speichertyp: Dateien, Tabellen, Warteschlangen und Blobs.
    Beim Konfigurieren von Diagnosen für ein Speicherkonto muss Folgendes ausgewählt und konfiguriert werden:

    - Die übergeordnete Kontoressource, die die Metrik Transaktion exportiert
    - Die einzelnen untergeordneten Speichertypressourcen zum Exportieren aller Protokolle und Metriken

    Es werden nur die Speichertypen angezeigt, für die Sie tatsächlich Ressourcen definiert haben.

Anweisungen

Connectors dieses Typs verwenden Azure Policy, um eine einzelne Diagnoseeinstellungskonfiguration auf eine Sammlung von Ressourcen eines einzelnen Typs anzuwenden, die als Bereich definiert sind. Sie können die Protokolltypen, die von einem bestimmten Ressourcentyp erfasst werden, auf der linken Seite der Connectorseite für diese Ressource unter Datentypen anzeigen.

  1. Wählen Sie im Microsoft Sentinel-Navigationsmenü die Option Datenconnectors aus.

  2. Wählen Sie Ihren Ressourcentyp aus dem Katalog der Datenconnectors aus, und wählen Sie dann im Vorschaubereich Connectorseite öffnen aus.

  3. Erweitern Sie auf der Connectorseite im Abschnitt Konfiguration alle dort angezeigten Expander, und wählen Sie die Schaltfläche Azure Policy-Zuweisungs-Assistenten starten aus.

    Der Richtlinienzuweisungs-Assistent wird geöffnet, um eine neue Richtlinie zu erstellen, wobei ein Richtlinienname bereits ausgefüllt ist.

    1. Wählen Sie auf der Registerkarte Grundlagen unter Bereich die Schaltfläche mit den drei Punkten aus, um Ihr Abonnement (und optional eine Ressourcengruppe) auszuwählen. Sie können auch eine Beschreibung hinzufügen.

    2. In der Registerkarte Parameter:

      • Deaktivieren Sie das Kontrollkästchen Nur Parameter anzeigen, die Eingaben erfordern.
      • Wenn die Felder Auswirkung und Einstellung angezeigt werden, lassen Sie diese unverändert.
      • Wählen Sie in der Dropdownliste Log Analytics-Arbeitsbereich Ihren Microsoft Sentinel-Arbeitsbereich aus.
      • Die übrigen Dropdownfelder stellen die verfügbaren Diagnoseprotokolltypen dar. Behalten Sie für alle Protokolltypen, die erfasst werden sollen, die Markierung „True“ bei.

    3. Die Richtlinie wird auf Ressourcen angewendet, die in Zukunft hinzugefügt werden. Wählen Sie zum Anwenden der Richtlinie auf Ihre vorhandenen Ressourcen die Registerkarte Wartung aus, und aktivieren Sie das Kontrollkästchen Wartungstask erstellen.

    4. Klicken Sie auf der Registerkarte Überprüfen + erstellen auf Erstellen. Damit ist die Richtlinie dem ausgewählten Bereich zugewiesen.

Mit diesem Typ von Datenconnector werden die Konnektivitätsstatusindikatoren (ein Farbstreifen im Datenconnectors-Katalog sowie Verbindungssymbole neben den Datentypnamen) nur dann als verbunden (grün) angezeigt, wenn Daten irgendwann innerhalb der letzten 14 Tage erfasst wurden. Wenn 14 Tage ohne Datenerfassung vergangen sind, wird der Connector als „getrennt“ angezeigt. In dem Moment, in dem weitere Daten den Connector passieren, wird der Status wieder als verbunden angezeigt.

Sie können die Daten für jeden Ressourcentyp mithilfe der Tabellennamen suchen und abfragen, die im Abschnitt für den Connector der Ressource auf der Referenzseite für Datenconnectors angezeigt werden. Weitere Informationen finden Sie unter Erstellen von Diagnoseeinstellungen zum Senden von Metriken und Protokollen der Azure Monitor-Plattform an verschiedene Ziele in der Azure Monitor-Dokumentation.

Nächste Schritte

Weitere Informationen finden Sie unter