Suchen Ihres Microsoft Sentinel-Daten-Konnektors

Artikel
01/27/2023
46 Minuten Lesezeit

In diesem Artikel wird die Bereitstellung von Daten-Konnektoren in Microsoft Sentinel beschrieben, wobei alle unterstützten, sofort einsatzbereiten Daten-Konnektoren sowie Links zu allgemeinen Bereitstellungsverfahren und zusätzlichen Schritten, die für bestimmte Konnektoren erforderlich sind, aufgeführt werden.

Einige Datenconnectors werden nur über Lösungen bereitgestellt. Weitere Informationen finden Sie unter Entdecken und Bereitstellen von vorkonfigurierten Microsoft Sentinel-Inhalten und -Lösungen. Sie finden auch andere, in der Community integrierte Daten-Konnektors im Microsoft Sentinel-GitHub Repository.

Wichtig

Für Connectors, die den Log Analytics-Agent verwenden, wird der Agent am 31. August 2024 eingestellt. Wenn Sie den Log Analytics-Agent in Ihrer Microsoft Sentinel-Bereitstellung verwenden, empfiehlt es sich, mit der Planung der Migration zum Azure Monitor-Agent zu beginnen. Weitere Informationen finden Sie unter AMA-Migration für Microsoft Sentinel.

Verwendung dieses Leitfadens

Suchen Sie zunächst den Connector für Ihr Produkt, Ihren Dienst oder Ihr Gerät im Menü mit den Überschriften auf der rechten Seite, und wählen Sie ihn aus.

Die erste Information, die zu jedem Connector angezeigt wird, ist die Datenerfassungsmethode. Die dort angezeigte Methode enthält einen Link zu einem der folgenden generischen Bereitstellungsverfahren, die die meisten Informationen enthalten, die Sie benötigen, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden:

Datenerfassungsmethode	Verknüpfter Artikel mit Anweisungen
Azure-Dienst-zu-Dienst-Integration	Verbinden mit Azure-, Windows-, Microsoft- und Amazon-Diensten
Common Event Format (CEF) über Syslog	Einlesen von CEF-formatierten Protokollen von Ihrem Gerät oder Ihrer Anwendung in Microsoft Sentinel
Microsoft Sentinel-Datensammler-API	Verbinden Ihrer Datenquelle an die Microsoft Sentinel-Datensammler-API, um Daten zu erfassen
Azure Functions und die REST-API	Verwenden Azure Functions, um Microsoft Sentinel mit Ihrer Datenquelle zu verbinden
Syslog	Sammeln von Daten aus Linux-basierten Quellen mithilfe von Syslog
Benutzerdefinierte Protokolle	Sammeln von Daten in benutzerdefinierten Protokollformaten für Microsoft Sentinel mit dem Log Analytics-Agent

Hinweis

Die Datenerfassungsmethode Azure-Dienst-zu-Dienst-Integration steht je nach Connectortyp mit drei verschiedenen Abschnitten in diesem Artikel in Zusammenhang. Der Abschnitt unten für jeden Connector gibt den Abschnitt in diesem Artikel an, mit dem er verknüpft ist.

Wenn Sie einen bestimmten Connector bereitstellen, wählen Sie den Artikel zur entsprechenden Datenerfassungsmethode aus und verwenden die Informationen und zusätzlichen Leitfäden im entsprechenden Abschnitt unten, als Ergänzung zu den Informationen in diesem Artikel.

Tipp

Viele Daten-Konnektoren können auch als Teil einer Microsoft Sentinel-Lösung eingesetzt werden, zusammen mit den zugehörigen Analyseregeln, Arbeitsmappen und Playbooks. Weitere Informationen finden Sie im Microsoft Sentinel-Lösungskatalog.
Weitere Daten-Konnektors werden von der Microsoft Sentinel-Community bereitgestellt und finden Sie im Azure Marketplace. Die Dokumentation dieser Communitydatenconnectors ist Verantwortung der Organisation, die den Connector erstellt hat.
Wenn Ihre Datenquelle nicht aufgeführt ist oder derzeit nicht unterstützt wird, können Sie auch einen eigenen, benutzerdefinierten Connector erstellen. Weitere Informationen finden Sie unter Ressourcen zum Erstellen von benutzerdefinierten Microsoft Sentinel-Konnektors.

Wichtig

Notierte Microsoft Sentinel-Daten-Konnektors befinden sich derzeit in der Vorschauversion. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.

Voraussetzungen für Datenkonnektoren

Jeder Datenconnector hat seine eigenen Voraussetzungen, z. B. erforderliche Berechtigungen für Ihren Azure-Arbeitsbereich, Ihr Abonnement oder Ihre Richtlinie usw., oder andere Anforderungen für die Partnerdatenquelle, mit der Sie eine Verbindung herstellen.

Die Voraussetzungen für jeden Datenconnector werden auf der entsprechenden Datenconnectorseite in Microsoft Sentinel auf der Registerkarte Anweisungen aufgelistet.

Agari Phishing Defense and Brand Protection (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API Vor der Bereitstellung:Aktivieren der Security Graph-API (optional) Nach der Bereitstellung:Zuweisen der erforderlichen Berechtigungen zu Ihrer Funktions-App
Log Analytics-Tabellen	agari_bpalerts_log_CL agari_apdtc_log_CL agari_apdpolicy_log_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/Sentinel-agari-functionapp
API-Anmeldeinformationen	Client-ID Geheimer Clientschlüssel (Optional: Graph-Mandanten-ID, Graph-Client-ID, Graph-Clientgeheimnis)
Lieferantendokumentation/ Installationsanweisungen	Schnellstart Agari-Website für Entwickler
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Anwendungseinstellungen	clientID clientSecret workspaceID workspaceKey enableBrandProtectionAPI (TRUE/FALSE) enablePhishingResponseAPI (TRUE/FALSE) enablePhishingDefenseAPI (TRUE/FALSE) resGroup (Ressourcengruppe eingeben) functionName subId (Abonnement-ID eingeben) enableSecurityGraphSharing (TRUE/FALSE; siehe unten) Erforderlich, wenn enableSecurityGraphSharing auf TRUE festgelegt ist (siehe unten): GraphTenantId GraphClientId GraphClientSecret logAnalyticsUri (optional)
Unterstützt von	Agari

Aktivieren der Security Graph-API (optional)

Wichtig

Wenn Sie diesen Schritt ausführen, sollte dies vor der Bereitstellung Ihres Datenconnectors erfolgen.

Mit der Funktionsapp von Agari können Sie Informationen zu Bedrohungen mit Microsoft Sentinel über die Security Graph-API teilen. Hierfür muss der Sentinel Threat Intelligence Platforms-Connector aktiviert werden. Außerdem muss eine Anwendung in Azure Active Directory registriert werden.

Dadurch erhalten Sie drei Informationen, die Sie beim Bereitstellen der Funktions-App verwenden: die Graph-Mandanten-ID, die Graph-Client-ID und das Graph-Clientgeheimnis (siehe Anwendungseinstellungen in der Tabelle unten).

Zuweisen der erforderlichen Berechtigungen zu Ihrer Funktions-App

Der Agari-Connector speichert Zeitstempel für Protokollzugriffe in einer Umgebungsvariablen. Damit die Anwendung in diese Variable schreiben kann, müssen der vom System zugewiesenen Identität Berechtigungen zugewiesen werden.

Navigieren Sie im Azure-Portal zu Funktions-App.
Wählen Sie auf der Seite Funktions-App in der Liste Ihre Funktions-App und dann im Navigationsmenü der Funktions-App Identität unter Einstellungen aus.
Legen Sie auf der Registerkarte Systemseitig zugewiesen den Status auf Ein fest.
Wählen Sie Speichern aus, woraufhin die Schaltfläche Azure-Rollenzuweisungen angezeigt wird. Wählen Sie ihn aus.
Wählen Sie auf dem Bildschirm Azure-Rollenzuweisungen die Option Rollenzuweisung hinzufügen aus. Legen Sie Bereich auf Abonnement fest. Wählen Sie in der Dropdownliste Abonnement Ihr Abonnement aus, und legen Sie Rolle auf App Configuration-Datenbesitzer fest.
Wählen Sie Speichern aus.

AI Analyst (AIA) von Darktrace (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog Konfigurieren der CEF-Protokollweiterleitung für AI Analyst
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Darktrace

Konfigurieren der CEF-Protokollweiterleitung für AI Analyst

Konfigurieren Sie Darktrace, um Syslog-Nachrichten im CEF-Format über den Log Analytics-Agent an Ihren Azure-Arbeitsbereich weiterzuleiten.

Navigieren Sie in Darktrace Threat Visualizer im Hauptmenü unter Admin zur Seite System Config (Systemkonfiguration).
Wählen Sie im Menü auf der linken Seite Module aus, und wählen Sie Microsoft Sentinel aus den verfügbaren Workflow- Integrationenaus.
Ein Konfigurationsfenster wird geöffnet. Suchen Sie Microsoft Sentinel Syslog CEF, und wählen Sie Neu aus, um die Konfigurationseinstellungen offenzulegen, sofern sie nicht bereits verfügbar gemacht wurden.
Geben Sie im Feld Server configuration (Serverkonfiguration) den Speicherort der Protokollweiterleitung ein, und ändern Sie optional den Kommunikationsport. Stellen Sie sicher, dass der Port auf 514 festgelegt ist und von allen zwischengeschalteten Firewalls zugelassen wird.
Konfigurieren Sie ggf. Warnungsschwellenwerte, Zeitoffsets oder zusätzliche Einstellungen.
Überprüfen Sie alle zusätzlichen Konfigurationsoptionen, die Sie möglicherweise aktivieren möchten, um die Syslog-Syntax anzupassen.
Aktivieren Sie Warnungen senden, und speichern Sie Ihre Änderungen.

AI Vectra Detect (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog Konfigurieren der CEF-Protokollweiterleitung für AI Vectra Detect
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Vectra AI

Konfigurieren der CEF-Protokollweiterleitung für AI Vectra Detect

Konfigurieren Sie den Vectra-Agent (X-Serie), um Syslog-Nachrichten im CEF-Format über den Log Analytics-Agent an Ihren Microsoft Sentinel-Arbeitsbereich weiterzuleiten.

Navigieren Sie in der Vectra-Schnittstelle zu Einstellungen > Benachrichtigungen und wählen Sie Syslog-Konfiguration bearbeiten. Folgen Sie den unten stehenden Anweisungen, um die Verbindung herzustellen:

Neues Ziel hinzufügen (der Hostname von Protokollweiterleitung)
Port als 514 festlegen
Protokoll als UDP festlegen
Format als CEF festlegen
Protokolltypen festlegen (alle verfügbaren Protokolltypen auswählen)
Wählen Sie Speichern aus.

Sie können die Schaltfläche Test auswählen, um das Senden einiger Testereignisse an die Protokollweiterleitung zu erzwingen.

Weitere Informationen finden Sie im Syslog-Leitfaden zu Cognito Detect, den Sie auf der Ressourcenseite der Benutzeroberfläche von Detect herunterladen können.

Akamai Security Events (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog mit einem Kusto-Funktionsparser
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	AkamaiSIEMEvent
Kusto-Funktions-URL:	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Akamai%20Security%20Events/Parsers/AkamaiSIEMEvent.txt
Lieferantendokumentation/ Installationsanweisungen	SIEM-Integration (Security Information & Event Management) konfigurieren Einrichten eines CEF-Connectors
Unterstützt von	Akamai

Alcide kAudit

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	alcide_kaudit_activity_1_CL: Alcide kAudit-Aktivitätsprotokolle alcide_kaudit_detections_1_CL: Alcide kAudit-Erkennungen alcide_kaudit_selections_count_1_CL: Alcide kAudit-Aktivitätsanzahl alcide_kaudit_selections_details_1_CL: Alcide kAudit-Aktivitätsdetails
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	Installationsleitfaden für Alcide kAudit
Unterstützt von	Alcide

Alsid for Active Directory

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Log Analytics-Agent: benutzerdefinierte Protokolle Zusätzliche Konfiguration für Alsid
Log Analytics-Tabellen	AlsidForADLog_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Kusto-Funktionsalias:	afad_parser
Kusto-Funktions-URL:	https://aka.ms/Sentinel-alsidforad-parser
Unterstützt von	Alsid

Zusätzliche Konfiguration für Alsid

Konfigurieren des Syslog-Servers

Sie benötigen zunächst einen Linux-Syslog-Server, an den Alsid for AD Protokolle sendet. Unter Ubuntu können Sie in der Regel rsyslog ausführen.

Sie können diesen Server dann wie gewünscht konfigurieren. Es wird jedoch empfohlen, AFAD-Protokolle in eine separate Datei auszugeben. Alternativ können Sie eine Schnellstartvorlage verwenden, um den Syslog-Server und den Microsoft-Agent bereitzustellen. Wenn Sie die Vorlage verwenden, können Sie die Installationsanweisungen für den Agent überspringen.
Konfigurieren von Alsid zum Senden von Protokollen an Ihren Syslog-Server

Wechseln Sie im Alsid for AD-Portal zu System, Konfiguration und dann Syslog. Dort können Sie eine neue Syslog-Warnung für Ihren Syslog-Server erstellen.

Nachdem Sie eine neue Syslog-Warnung erstellt haben, überprüfen Sie, ob die Protokolle ordnungsgemäß auf Ihrem Server in einer separaten Datei erfasst wurden. Um beispielsweise Ihre Protokolle zu prüfen, können Sie die Schaltfläche Konfiguration testen in der Syslog-Warnungskonfiguration in AFAD verwenden. Wenn Sie die Schnellstartvorlage verwendet haben, lauscht der Syslog-Server standardmäßig an Port 514 bei UDP und 1514 bei TCP ohne TLS.

Amazon Web Services

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Verbinden Sie Microsoft Sentinel mit Amazon Web Services, um AWS-Serviceprotokolldaten zu erfassen (Top Konnektor Artikel)
Log Analytics-Tabellen	AWSCloudTrail
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Microsoft

Amazon Web Services S3 (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Verbinden Sie Microsoft Sentinel mit Amazon Web Services, um AWS-Serviceprotokolldaten zu erfassen (Top Konnektor Artikel)
Log Analytics-Tabellen	AWSCloudTrail AWSGuardDuty AWSVPCFlow
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Microsoft

Apache HTTP Server

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Log Analytics-Agent: benutzerdefinierte Protokolle
Log Analytics-Tabellen	ApacheHTTPServer_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Kusto-Funktionsalias:	ApacheHTTPServer
Kusto-Funktions-URL:	https://aka.ms/Sentinel-apachehttpserver-parser
Beispieldatei für benutzerdefinierte Protokolle:	„access.log“ oder „error.log“

Apache Tomcat

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Log Analytics-Agent: benutzerdefinierte Protokolle
Log Analytics-Tabellen	Tomcat_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Kusto-Funktionsalias:	TomcatEvent
Kusto-Funktions-URL:	https://aka.ms/Sentinel-ApacheTomcat-parser
Beispieldatei für benutzerdefinierte Protokolle:	„access.log“ oder „error.log“

Aruba ClearPass (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog mit einem Kusto-Funktionsparser
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	ArubaClearPass
Kusto-Funktions-URL:	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Aruba%20ClearPass/Parsers/ArubaClearPass.txt
Lieferantendokumentation/ Installationsanweisungen	Befolgen Sie die Anweisungen von Aruba, um ClearPass zu konfigurieren.
Unterstützt von	Microsoft

Atlassian Confluence Audit (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API
Log Analytics-Tabellen	Confluence_Audit_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/Sentinel-confluenceauditapi-functionapp
API-Anmeldeinformationen	ConfluenceAccessToken ConfluenceUsername ConfluenceHomeSiteName
Lieferantendokumentation/ Installationsanweisungen	API-Dokumentation Anforderungen und Anweisungen zum Abrufen von Anmeldeinformationen Anzeigen des Überwachungsprotokolls
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Kusto-Funktionsalias	ConfluenceAudit
Kusto-Funktions-URL/ Parser-Konfigurationsanweisungen	https://aka.ms/Sentinel-confluenceauditapi-parser
Anwendungseinstellungen	ConfluenceUsername ConfluenceAccessToken ConfluenceHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (optional)
Unterstützt von	Microsoft

Atlassian Jira Audit (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API
Log Analytics-Tabellen	Jira_Audit_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/Sentinel-jiraauditapi-functionapp
API-Anmeldeinformationen	JiraAccessToken JiraUsername JiraHomeSiteName
Lieferantendokumentation/ Installationsanweisungen	API-Dokumentation: Überwachungsdatensätze Anforderungen und Anweisungen zum Abrufen von Anmeldeinformationen
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Kusto-Funktionsalias	JiraAudit
Kusto-Funktions-URL/ Parser-Konfigurationsanweisungen	https://aka.ms/Sentinel-jiraauditapi-parser
Anwendungseinstellungen	JiraUsername JiraAccessToken JiraHomeSiteName WorkspaceID WorkspaceKey logAnalyticsUri (optional)
Unterstützt von	Microsoft

Azure Active Directory

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Verbinden Sie Azure Active Directory-Daten mit Microsoft Sentinel (Top Konnektor Artikel)
Lizenzvoraussetzungen/ Kosteninformationen	Azure Active Directory P1- oder P2-Lizenz für Anmeldeprotokolle Eine beliebige Azure AD-Lizenz (Free/O365/P1/P2) für andere Protokolltypen Möglicherweise fallen weitere Gebühren an.
Log Analytics-Tabellen	SigninLogs AuditLogs AADNonInteractiveUserSignInLogs AADServicePrincipalSignInLogs AADManagedIdentitySignInLogs AADProvisioningLogs ADFSSignInLogs
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Microsoft

Azure Active Directory Identity Protection

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: API-basierte Verbindungen
Lizenzvoraussetzungen/ Kosteninformationen	Azure AD Premium P2-Abonnement Möglicherweise fallen weitere Gebühren an.
Log Analytics-Tabellen	SecurityAlert
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Microsoft

Azure-Aktivität

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Einstellungsbasierte Diagnoseverbindungen, verwaltet von Azure Policy Aktualisieren auf den neuen Azure-Aktivitätsconnector
Log Analytics-Tabellen	AzureActivity
DCR-Unterstützung	Derzeit nicht unterstützt
Unterstützt von	Microsoft

Aktualisieren auf den neuen Azure-Aktivitätsconnector

Änderungen der Datenstruktur

Bei diesem Connector wurde kürzlich der Back-End-Mechanismus für das Sammeln von Aktivitätsprotokollereignissen geändert. Er nutzt nun die Diagnoseeinstellungspipeline. Wenn Sie weiterhin die Legacymethode für diesen Connector verwenden, wird dringend empfohlen, ein Upgrade auf die neue Version durchzuführen, die eine bessere Funktionalität und höhere Konsistenz mit Ressourcenprotokollen bietet. Weitere Informationen finden Sie in den nachstehenden Anweisungen.

Die Methode Diagnoseeinstellungen sendet dieselben Daten, die die Legacymethode aus dem Aktivitätsprotokolldienst gesendet hat, obwohl es einige Änderungen an der Struktur der AzureActivity-Tabelle gegeben hat.

Im Folgenden finden Sie einige der wichtigsten Verbesserungen, die sich aus dem Umstieg auf die Diagnoseeinstellungspipeline ergeben:

Verbesserte Erfassungslatenz (Ereigniserfassung innerhalb von 2 bis 3 Minuten nach dem Auftreten anstelle von 15 bis 20 Minuten).
Verbesserte Zuverlässigkeit.
Diese Ebene bietet eine verbesserte Leistung.
Unterstützung für alle Kategorien von Ereignissen, die vom Aktivitätsprotokolldienst protokolliert werden (der Legacymechanismus unterstützt nur eine Teilmenge, z. B. gibt es keine Unterstützung für Service Health-Ereignisse).
Verwaltung im großen Stil mit Azure Policy.

In der Azure Monitor-Dokumentation finden Sie eine ausführlichere Behandlung des Azure-Aktivitätsprotokolls und der Diagnoseeinstellungspipeline.

Trennen der Verbindung mit der alten Pipeline

Bevor Sie den neuen Connector für das Azure-Aktivitätsprotokoll einrichten, müssen Sie die vorhandenen Abonnements von der Legacymethode trennen.

Wählen Sie im Navigationsmenü von Microsoft Sentinel die Option Daten-Konnektor aus. Klicken Sie in der Liste mit Connectoren auf Azure-Aktivität und dann unten rechts auf die Schaltfläche Connectorseite öffnen.
Überprüfen Sie unter der Registerkarte Anweisungen im Abschnitt Konfiguration in Schritt 1 die Liste Ihrer vorhandenen Abonnements, die mit der alten Methode verbunden sind (damit Sie wissen, welche Abonnements Sie der neuen Methode hinzufügen müssen), und trennen Sie diese alle auf einmal, indem Sie unten auf die Schaltfläche Alle trennen klicken.
Setzen Sie die Einrichtung des neuen Connectors mit den Anweisungen in der obigen Tabelle fort.

Azure DDoS Protection

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Einstellungsbasierte Diagnoseverbindungen
Lizenzvoraussetzungen/ Kosteninformationen	Sie müssen über einen konfigurierten Azure DDoS Protection-Standardplan verfügen. Sie müssen über ein konfiguriertes virtuelles Netzwerk mit Aktivierung von Azure DDoS Standard verfügen. Möglicherweise fallen weitere Gebühren an.
Log Analytics-Tabellen	AzureDiagnostics
DCR-Unterstützung	Derzeit nicht unterstützt
Empfohlene Diagnose	DDoSProtectionNotifications DDoSMitigationFlowLogs DDoSMitigationReports
Unterstützt von	Microsoft

Hinweis

Der Status des Azure DDoS Protection-Datenconnectors ändert sich nur in Verbunden, wenn die geschützten Ressourcen einem DDoS-Angriff ausgesetzt sind.

Azure Defender

Siehe Microsoft Defender für Cloud.

Azure Firewall

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Einstellungsbasierte Diagnoseverbindungen
Log Analytics-Tabellen	AzureDiagnostics
DCR-Unterstützung	Derzeit nicht unterstützt
Empfohlene Diagnose	AzureFirewallApplicationRule AzureFirewallNetworkRule AzureFirewallDnsProxy
Unterstützt von	Microsoft

Azure Information Protection (Preview)

Wichtig

Der AIP-Datenconnector (Azure Information Protection) verwendet das Feature für AIP-Überwachungsprotokolle (Public Preview). Am 31. März 2023 wird die öffentliche Vorschau der AIP-Analyse und -Überwachungsprotokolle eingestellt. In Zukunft wird die Überwachungslösung von Microsoft 365 verwendet.

Weitere Informationen finden Sie unter Entfernte und eingestellte Dienste.

Weitere Informationen finden Sie im Connector Microsoft Purview Information Protection, der diesen Connector ersetzt.

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration
Log Analytics-Tabellen	InformationProtectionLogs_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Unterstützt von	Microsoft

Azure-Schlüsseltresor

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Einstellungsbasierte Diagnoseverbindungen, verwaltet von Azure Policy
Log Analytics-Tabellen	KeyVaultData
DCR-Unterstützung	Derzeit nicht unterstützt
Unterstützt von	Microsoft

Azure Kubernetes Service (AKS)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Einstellungsbasierte Diagnoseverbindungen, verwaltet von Azure Policy
Log Analytics-Tabellen	kube-apiserver kube-audit kube-audit-admin kube-controller-manager kube-scheduler cluster-autoscaler guard
DCR-Unterstützung	Derzeit nicht unterstützt
Unterstützt von	Microsoft

Microsoft Purview

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Einstellungsbasierte Diagnoseverbindungen Weitere Informationen finden Sie unter Tutorial: Integrieren von Microsoft Sentinel und Microsoft Purview.
Log Analytics-Tabellen	PurviewDataSensitivityLogs
DCR-Unterstützung	Derzeit nicht unterstützt
Unterstützt von	Microsoft

Azure SQL-Datenbank-Instanzen

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Einstellungsbasierte Diagnoseverbindungen, verwaltet von Azure Policy Auch in Azure SQL und Microsoft Sentinel für SQL PaaS-Lösungen verfügbar
Log Analytics-Tabellen	SQLSecurityAuditEvents SQLInsights AutomaticTuning QueryStoreWaitStatistics Errors DatabaseWaitStatistics Timeouts Blöcke Deadlocks Basic InstanceAndAppAdvanced WorkloadManagement DevOpsOperationsAudit
DCR-Unterstützung	Derzeit nicht unterstützt
Unterstützt von	Microsoft

Azure Storage-Konto

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Einstellungsbasierte Diagnoseverbindungen Hinweise zur Konfiguration von Diagnoseeinstellungen für Speicherkonten
Log Analytics-Tabellen	StorageBlobLogs StorageQueueLogs StorageTableLogs StorageFileLogs
Empfohlene Diagnose	Kontoressource Transaktion Blob-/Warteschlangen-/Tabellen-/Dateiressourcen StorageRead StorageWrite StorageDelete Transaktion
DCR-Unterstützung	Derzeit nicht unterstützt
Unterstützt von	Microsoft

Hinweise zur Konfiguration von Diagnoseeinstellungen für Speicherkonten

Die (übergeordnete) Speicherkontoressource enthält andere (untergeordnete) Ressourcen für jeden Speichertyp: Dateien, Tabellen, Warteschlangen und Blobs.

Beim Konfigurieren von Diagnosen für ein Speicherkonto müssen Sie wiederum Folgendes auswählen und konfigurieren:

Die übergeordnete Kontoressource, die die Transaktionsmetrik exportiert.
Alle untergeordneten Speichertypressourcen, die alle Protokolle und Metriken exportieren (siehe Tabelle oben).

Es werden nur die Speichertypen angezeigt, für die Sie tatsächlich Ressourcen definiert haben.

Azure Web Application Firewall (WAF)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Einstellungsbasierte Diagnoseverbindungen
Log Analytics-Tabellen	AzureDiagnostics
DCR-Unterstützung	Derzeit nicht unterstützt
Empfohlene Diagnose	Application Gateway ApplicationGatewayAccessLog ApplicationGatewayFirewallLog Front Door FrontdoorAccessLog FrontdoorWebApplicationFirewallLog CDN-WAF-Richtlinie WebApplicationFirewallLogs
Unterstützt von	Microsoft

Barracuda CloudGen Firewall

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog
Log Analytics-Tabellen	Syslog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	CGFWFirewallActivity
Kusto-Funktions-URL:	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Barracuda%20CloudGen%20Firewall/Parsers/CGFWFirewallActivity.txt
Lieferantendokumentation/ Installationsanweisungen	https://aka.ms/Sentinel-barracudacloudfirewall-connector
Unterstützt von	Barracuda

Barracuda WAF

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog
Log Analytics-Tabellen	CommonSicherheitsprotokoll (Barracuda) Barracuda_CL
Lieferantendokumentation/ Installationsanweisungen	https://aka.ms/asi-barracuda-connector
Unterstützt von	Barracuda

Siehe Barracuda-Anweisungen – beachten Sie die zugewiesenen Einrichtungen für die verschiedenen Arten von Protokollen und stellen Sie sicher, dass Sie sie der Standard-Syslog-Konfiguration hinzufügen.

BETTER Mobile Threat Defense (MTD) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	BetterMTDDeviceLog_CL BetterMTDIncidentLog_CL BetterMTDAppLog_CL BetterMTDNetflowLog_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	Dokumentation zu BETTER MTD Einrichtung der Bedrohungsrichtlinie, die die Vorfälle definiert, die an Microsoft Sentinel gemeldet werden: Wählen Sie in der Better MTD Console in der Seitenleiste Richtlinien aus. Wählen Sie die Schaltfläche Edit (Bearbeiten) für die von Ihnen verwendete Richtlinie aus. Wechseln Sie für jeden Vorfallstyp, den Sie protokollieren möchten, zum Feld Send to Integrations (An Integrationen senden), und wählen Sie Sentinel aus.
Unterstützt von	Better Mobile

Beyond Security beSECURE

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	beSECURE_ScanResults_CL beSECURE_ScanEvents_CL beSECURE_Audit_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	Zugreifen auf das Menü Integration: Wählen Sie die Menüoption More (Weitere) aus. Wählen Sie Server aus. Wählen Sie Integration aus. Aktivieren von Microsoft Sentinel Fügen Sie die Werte für die Arbeitsbereichs-ID und den Primärschlüssel aus der beSECURE-Konfiguration ein. Wählen Sie Ändern aus.
Unterstützt von	Beyond Security

BlackBerry CylancePROTECT (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog
Log Analytics-Tabellen	Syslog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	CylancePROTECT
Kusto-Funktions-URL:	https://aka.ms/Sentinel-cylanceprotect-parser
Lieferantendokumentation/ Installationsanweisungen	Syslog-Leitfaden für Cylance
Unterstützt von	Microsoft

Broadcom Symantec Data Loss Prevention (DLP) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog mit einem Kusto-Funktionsparser
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	SymantecDLP
Kusto-Funktions-URL:	https://aka.ms/Sentinel-symantecdlp-parser
Lieferantendokumentation/ Installationsanweisungen	Konfigurieren der Aktion zur Protokollierung auf einem Syslog-Server
Unterstützt von	Microsoft

CEF (Common Event Format) über AMA

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Monitor Agent-basierte Verbindung
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Standard-DCR
Unterstützt von	Microsoft

Check Point

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog Verfügbar von der Check Point Lösung
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Log Exporter: Check Point-Protokollexport
Unterstützt von	Check Point

Cisco ASA

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog Verfügbar in der Cisco ASA Lösung
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	CLI-Konfigurationshandbuch für die Cisco ASA-Serie
Unterstützt von	Microsoft

Cisco Firepower eStreamer (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog Zusätzliche Konfiguration für Cisco Firepower eStreamer
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Betriebsleitfaden für eStreamer eNcore für Sentinel
Unterstützt von	Cisco

Zusätzliche Konfiguration für Cisco Firepower eStreamer

Installieren des Firepower eNcore-Clients
Installieren und konfigurieren Sie den Firepower eNcore eStreamer-Client. Weitere Informationen finden Sie im vollständigen Installationsleitfaden von Cisco.
Herunterladen des Firepower-Connectors von GitHub
Laden Sie die neueste Version des Firepower eNcore-Konnektors für Microsoft Sentinel aus dem Cisco GitHub-Repository herunter. Wenn Sie Python3 verwenden möchten, nutzen Sie den eStreamer-Connector für Python3.
Erstellen einer PKCS12-Datei mithilfe der Azure-/VM-IP-Adresse
Erstellen Sie ein pkcs12-Zertifikat mit der öffentlichen IP-Adresse der VM-Instanz in Firepower unter System > Integration > eStreamer. Weitere Informationen finden Sie im Installationsleitfaden.
Testen der Konnektivität zwischen Azure/VM-Client und dem FMC
Kopieren Sie die PKCS12-Datei aus dem FMC auf die Azure/VM-Instanz, und stellen Sie mithilfe des Testhilfsprogramms (./encore.sh test) sicher, dass eine Verbindung hergestellt werden kann. Weitere Informationen finden Sie im Einrichtungsleitfaden.
Konfigurieren von eNcore zum Streamen von Daten an den Agent
Konfigurieren Sie eNcore für das Streamen von Daten über TCP an den Log Analytics-Agent. Diese Konfiguration sollte standardmäßig aktiviert sein, aber abhängig von Ihrem Netzwerksicherheitsstatus können zusätzliche Ports und Streamingprotokolle konfiguriert werden. Es ist auch möglich, die Daten im Dateisystem zu speichern. Weitere Informationen finden Sie unter Konfigurieren von eNcore.

Cisco Meraki (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog Verfügbar in der Cisco ISE Lösung
Log Analytics-Tabellen	Syslog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	CiscoMeraki
Kusto-Funktions-URL:	https://aka.ms/Sentinel-ciscomeraki-parser
Lieferantendokumentation/ Installationsanweisungen	Dokumentation zu Meraki Device Reporting
Unterstützt von	Microsoft

Cisco Umbrella (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API Verfügbar in der Cisco Umbrella Lösung
Log Analytics-Tabellen	Cisco_Umbrella_dns_CL Cisco_Umbrella_proxy_CL Cisco_Umbrella_ip_CL Cisco_Umbrella_cloudfirewall_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/Sentinel-CiscoUmbrellaConn-functionapp
API-Anmeldeinformationen	ID des AWS-Zugriffsschlüssels Geheimnis für den AWS-Zugriffsschlüssel Name des AWS S3-Buckets
Lieferantendokumentation/ Installationsanweisungen	Protokollierung bei Amazon S3
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Kusto-Funktionsalias	Cisco_Umbrella
Kusto-Funktions-URL/ Parser-Konfigurationsanweisungen	https://aka.ms/Sentinel-ciscoumbrella-function
Anwendungseinstellungen	WorkspaceID WorkspaceKey S3Bucket AWSAccessKeyId AWSSecretAccessKey logAnalyticsUri (optional)
Unterstützt von	Microsoft

Cisco Unified Computing System (UCS) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog
Log Analytics-Tabellen	Syslog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	CiscoUCS
Kusto-Funktions-URL:	https://aka.ms/Sentinel-ciscoucs-function
Lieferantendokumentation/ Installationsanweisungen	Einrichten von Syslog für Cisco UCS – Cisco
Unterstützt von	Microsoft

Citrix Analytics (Security)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	CitrixAnalytics_SAlerts_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	Verbinden Citrix zu Microsoft Sentinel
Unterstützt von	Citrix Systems

Citrix Web App Firewall (WAF) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Informationen zum Konfigurieren von WAF finden Sie unter Support-WIKI: WAF-Konfiguration mit NetScaler. Weitere Informationen zum Konfigurieren von CEF-Protokollen finden Sie unter Unterstützung für CEF-Protokollierung (Common Event Format) in der Anwendungsfirewall. Informationen zum Weiterleiten der Protokolle an den Proxy finden Sie unter Konfigurieren der Citrix ADC-Appliance für Überwachungsprotokollierung.
Unterstützt von	Citrix Systems

Cognni (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	CognniIncidents_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	Herstellen einer Verbindung mit Cognni Navigieren Sie zur Integrationsseite von Cognni. Wählen Sie Verbinden im Feld Microsoft Sentinel aus. Fügen Sie auf der Integrationsseite von Cognni die workspaceId und den sharedKey (Primärschlüssel) in die entsprechenden Felder ein. Wählen Sie die Schaltfläche Connect (Verbinden) aus, um die Konfiguration abzuschließen.
Unterstützt von	Cognni

Kontinuierliche Bedrohungsüberwachung für SAP (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Nur verfügbar nach der Installation der kontinuierlichen Bedrohungsüberwachung für SAP-Lösung
Log Analytics-Tabellen	Siehe Datenreferenz für die Microsoft Sentinel-Lösung für SAP
Lieferantendokumentation/ Installationsanweisungen	Bereitstellen der kontinuierlichen Bedrohungsüberwachung in SAP
Unterstützt von	Microsoft

CyberArk Enterprise Password Vault (EPV) Events (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	SIEM-Anwendungen (Security Information & Event Management)
Unterstützt von	CyberArk

Cyberpion Security Logs (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	CyberpionActionItems_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	Erwerben eines Cyberpion-Abonnements Integrieren von Cyberpion-Sicherheitswarnungen in Microsoft Sentinel
Unterstützt von	Cyberpion

DNS (Vorschau)

Wichtig

Der Log Analytics-Agent wird am 31. August 2024 außer Betrieb genommen. Wenn Sie den Log Analytics-Agent in Ihrer Microsoft Sentinel-Bereitstellung verwenden, empfiehlt es sich, mit der Planung der Migration zum Azure Monitor-Agent zu beginnen. Weitere Informationen finden Sie unter AMA-Migration für Microsoft Sentinel.

Weitere Informationen finden Sie unter Windows DNS-Ereignisse über AMA (Vorschau) oder Windows DNS-Server (Vorschau).

Dynamics 365

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: API-basierte Verbindungen Auch als Teil der Microsoft Sentinel 4 Dynamics 365-Lösung verfügbar
Lizenzvoraussetzungen/ Kosteninformationen	Microsoft Dynamics 365-Produktionslizenz. Nicht für Sandboxumgebungen verfügbar. Mindestens ein Benutzer hat eine Microsoft-/Office 365-Lizenz vom Typ E1 oder höher zugewiesen. Möglicherweise fallen weitere Gebühren an.
Log Analytics-Tabellen	Dynamics365Activity
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Microsoft

ESET Enterprise Inspector (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API Erstellen eines API-Benutzers
Log Analytics-Tabellen	ESETEnterpriseInspector_CL
DCR-Unterstützung	Derzeit nicht unterstützt
API-Anmeldeinformationen	EEI-Benutzername EEI-Kennwort Basis-URL
Lieferantendokumentation/ Installationsanweisungen	REST-API-Dokumentation für ESET Enterprise Inspector
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
Unterstützt von	ESET

Erstellen eines API-Benutzers

Melden Sie sich im ESET Security Management Center mit einem Administratorkonto an der ESET PROTECT-Konsole an, und wählen Sie die Registerkarte More (Mehr) und die Unterregisterkarte Users (Benutzer) aus.
Wählen Sie die Schaltfläche ADD NEW (NEU HINZUFÜGEN) aus, um einen nativen Benutzer hinzuzufügen.
Erstellen Sie einen neuen Benutzer für das API-Konto. Optional: Wählen Sie eine andere Home group (Startgruppe) als All (Alle) aus, um die erfassten Erkennungen zu begrenzen.
Weisen Sie auf der Registerkarte Permission Sets (Berechtigungssätze) den Berechtigungssatz Enterprise Inspector reviewer (Enterprise Inspector-Prüfer) zu.
Melden Sie sich beim Administratorkonto ab, und melden Sie sich zur Überprüfung mit den neuen API-Anmeldeinformationen an der Konsole an. Melden Sie sich nach der Überprüfung beim API-Konto ab.

ESET Security Management Center (SMC) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog Konfigurieren der zu erfassenden ESET SMC-Protokolle Konfigurieren des OMS-Agents, sodass ESET SMC-Daten im API-Format übergeben werden Ändern der OMS-Agent-Konfiguration für das Abfangen des Tags „oms.api.eset“ und das Analysieren strukturierter Daten Deaktivieren der automatische Konfiguration und Neustarten des Agents
Log Analytics-Tabellen	eset_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	Dokumentation zum ESET-Syslog-Server
Unterstützt von	ESET

Konfigurieren der zu erfassenden ESET SMC-Protokolle

Konfigurieren Sie rsyslog so, dass Protokolle von Ihrer ESET-SMC-IP-Adresse akzeptiert werden.

    sudo -i
    # Set ESET SMC source IP address
    export ESETIP={Enter your IP address}

    # Create rsyslog configuration file
    cat > /etc/rsyslog.d/80-remote.conf << EOF
    \$ModLoad imudp
    \$UDPServerRun 514
    \$ModLoad imtcp
    \$InputTCPServerRun 514
    \$AllowedSender TCP, 127.0.0.1, $ESETIP
    \$AllowedSender UDP, 127.0.0.1, $ESETIP user.=alert;user.=crit;user.=debug;user.=emerg;user.=err;user.=info;user.=notice;user.=warning  @127.0.0.1:25224
    EOF

    # Restart rsyslog
    systemctl restart rsyslog

Konfigurieren des OMS-Agents, sodass ESET SMC-Daten im API-Format übergeben werden

Um Eset-Daten leicht erkennen zu können, pushen Sie sie in eine separate Tabelle, und analysieren Sie sie beim Agent, um Ihre Microsoft Sentinel-Abfrage zu vereinfachen und zu beschleunigen.

Ändern Sie in der Datei /etc/opt/microsoft/omsagent/{IhreArbeitsbereichsID}/conf/omsagent.conf den Abschnitt match oms.** so, dass Daten als API-Objekte gesendet werden. Ändern Sie dazu den Typ in out_oms_api.

Der folgende Code ist ein Beispiel für den vollständigen match oms.**Abschnitt :

    <match oms.** docker.**>
      type out_oms_api
      log_level info
      num_threads 5
      run_in_background false

      omsadmin_conf_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/conf/omsadmin.conf
      cert_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.crt
      key_path /etc/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/certs/oms.key

      buffer_chunk_limit 15m
      buffer_type file
      buffer_path /var/opt/microsoft/omsagent/{REPLACEyourworkspaceid}/state/out_oms_common*.buffer

      buffer_queue_limit 10
      buffer_queue_full_action drop_oldest_chunk
      flush_interval 20s
      retry_limit 10
      retry_wait 30s
      max_retry_wait 9m
    </match>

Ändern der OMS-Agent-Konfiguration für das Abfangen des Tags „oms.api.eset“ und das Analysieren strukturierter Daten

Ändern Sie die Datei /etc/opt/microsoft/omsagent/{IhreArbeitsbereichsID}/conf/omsagent.d/syslog.conf.

Beispiel:

    <source>
      type syslog
      port 25224
      bind 127.0.0.1
      protocol_type udp
      tag oms.api.eset
    </source>

    <filter oms.api.**>
      @type parser
      key_name message
      format /(?<message>.*?{.*})/
    </filter>

    <filter oms.api.**>
      @type parser
      key_name message
      format json
    </filter>

Deaktivieren der automatische Konfiguration und Neustarten des Agents

Beispiel:

    # Disable changes to configuration files from Portal
    sudo su omsagent -c 'python /opt/microsoft/omsconfig/Scripts/OMS_MetaConfigHelper.py --disable'

    # Restart agent
    sudo /opt/microsoft/omsagent/bin/service_control restart

    # Check agent logs
    tail -f /var/opt/microsoft/omsagent/log/omsagent.log

Konfigurieren von ESET SMC zum Senden von Protokollen an den Connector

Konfigurieren Sie ESET-Protokolle im BSD-Stil und im JSON-Format.

Wechseln Sie zur Syslog-Serverkonfiguration, konfigurieren Sie den Host (Ihr Connector), ändern Sie das Format in „BSD“ und legen Sie als Übertragungsprotokoll „TCP“ fest.
Wechseln Sie zum Abschnitt „Logging“ (Protokollierung), und aktivieren Sie „JSON“.

Weitere Informationen finden Sie in der ESET-Dokumentation.

Exabeam Advanced Analytics (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog
Log Analytics-Tabellen	Syslog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	ExabeamEvent
Kusto-Funktions-URL:	https://aka.ms/Sentinel-Exabeam-parser
Lieferantendokumentation/ Installationsanweisungen	Konfigurieren von Advanced Analytics-Systemaktivitätsbenachrichtigungen
Unterstützt von	Microsoft

ExtraHop Reveal(x)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	ExtraHop Detection-SIEM-Connector
Unterstützt von	ExtraHop

F5 BIG-IP

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	F5Telemetry_LTM_CL F5Telemetry_system_CL F5Telemetry_ASM_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	Integrieren von F5 BIG-IP in Microsoft Sentinel
Unterstützt von	F5 Networks

F5 Networks (ASM)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Konfigurieren der Ereignisprotokollierung zur Anwendungssicherheit
Unterstützt von	F5 Networks

Forcepoint Cloud Access Security Broker (CASB) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Forcepoint CASB und Microsoft Sentinel
Unterstützt von	Forcepoint

Forcepoint Cloud Security Gateway (CSG) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Forcepoint Cloud Security Gateway und Microsoft Sentinel
Unterstützt von	Forcepoint

Forcepoint Data Loss Prevention (DLP) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	ForcepointDLPEvents_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	Verhinderung von Datenverlust durch Forcepoint und Microsoft Sentinel
Unterstützt von	Forcepoint

Forcepoint Next Generation Firewall (NGFW) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Forcepoint Next-Gen-Firewall und Microsoft Sentinel
Unterstützt von	Forcepoint

ForgeRock Common Audit (CAUD) für CEF (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Bitte Installieren Sie dies zuerst! ForgeRock Common Audit (CAUD) für Microsoft Sentinel
Unterstützt von	ForgeRock

Fortinet

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog Senden von Fortinet-Protokollen an die Protokollweiterleitung Verfügbar in der Fortinet Fortigate-Lösung)
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Fortinet-Dokumentbibliothek Wählen Sie Ihre Version aus, und nutzen Sie die PDFs mit dem Handbuch (Handbook) und der Referenz für Protokollmeldungen (Log Message Reference).
Unterstützt von	Fortinet

Senden von Fortinet-Protokollen an die Protokollweiterleitung

Öffnen Sie die Befehlszeilenschnittstelle für Ihre Fortinet-Appliance, und führen Sie die folgenden Befehle aus:

config log syslogd setting
set status enable
set format cef
set port 514
set server <ip_address_of_Forwarder>
end

Ersetzen Sie die IP-Adresse des Servers durch die IP-Adresse der Protokollweiterleitung.
Legen Sie den Syslog-Port auf 514 fest oder auf den Port, den Sie für den Syslog-Daemon in der Weiterleitung festgelegt haben.
In frühen Versionen von FortiOS muss zum Aktivieren des CEF-Formats ggf. der Befehl set csv disable ausgeführt werden.

GitHub (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API Nur verfügbar nach der Installation der Lösung Kontinuierliche Bedrohungsüberwachung (Continuous Threat Monitoring) für GitHub.
Log Analytics-Tabellen	GitHubAuditLogPolling_CL
DCR-Unterstützung	Derzeit nicht unterstützt
API-Anmeldeinformationen	GitHub-Zugriffstoken
Anweisungen zur Connectorbereitstellung	Zusatzkonfiguration für den GitHub-Konnektor
Unterstützt von	Microsoft

Zusatzkonfiguration für den GitHub-Konnektor

Voraussetzung: Sie müssen über ein GitHub-Unternehmenskonto und eine zugängliche Organisation verfügen, um von Microsoft Sentinel aus eine Verbindung zu GitHub herzustellen.

Installieren Sie die Lösung Kontinuierliche Bedrohungsüberwachung (Continuous Threat Monitoring) für GitHub in Ihrem Microsoft Sentinel-Arbeitsbereich. Weitere Informationen finden Sie unter Entdecken und verteilen Sie betriebsbereite Inhalte und -lösungen von Microsoft Sentinel (öffentliche Vorschau).
Erstellen Sie ein persönliches GitHub-Zugriffstoken zur Verwendung im Microsoft Sentinel-Konnektor. Weitere Informationen finden Sie in der entsprechenden GitHub-Dokumentation.
Suchen und lokalisieren Sie den GitHub Konnektor im Bereich Datenkonnektor von Microsoft Sentinel. Wählen Sie rechts Konnektor-Seite öffnen aus.
Geben Sie auf der Registerkarte Anleitung im Bereich Konfiguration die folgenden Details ein:
- Organisationsname: Geben Sie den Namen der Organisation ein, zu deren Protokollen Sie eine Verbindung herstellen möchten.
- API-Schlüssel: Geben Sie das persönliche GitHub-Zugriffstoken ein, das Sie zuvor in diesem Verfahren erstellt haben.
Wählen Sie Verbinden aus, um mit der Aufnahme Ihrer GitHub-Protokolle in Microsoft Sentinel zu beginnen.

Google Workspace (G-Suite) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API Zusätzliche Konfiguration für die Google Reports-API
Log Analytics-Tabellen	GWorkspace_ReportsAPI_admin_CL GWorkspace_ReportsAPI_calendar_CL GWorkspace_ReportsAPI_drive_CL GWorkspace_ReportsAPI_login_CL GWorkspace_ReportsAPI_mobile_CL GWorkspace_ReportsAPI_token_CL GWorkspace_ReportsAPI_user_accounts_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/Sentinel-GWorkspaceReportsAPI-functionapp
API-Anmeldeinformationen	GooglePickleString
Lieferantendokumentation/ Installationsanweisungen	API-Dokumentation Rufen Sie die Anmeldeinformationen unter Ausführen von domänenweiter Google Workspace-Delegierung der Autorität ab. Konvertieren der Datei „token.pickle“ in eine pickle-Zeichenfolge
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Kusto-Funktionsalias	GWorkspaceActivityReports
Kusto-Funktions-URL/ Parser-Konfigurationsanweisungen	https://aka.ms/Sentinel-GWorkspaceReportsAPI-parser
Anwendungseinstellungen	GooglePickleString WorkspaceID workspaceKey logAnalyticsUri (optional)
Unterstützt von	Microsoft

Zusätzliche Konfiguration für die Google Reports-API

Fügen Sie unter Authorized redirect URIs (Autorisierte Umleitungs-URIs) den Eintrag http://localhost:8081/ hinzu, während Sie die Anmeldeinformationen für Webanwendungen erstellen.

Befolgen Sie die Anweisungen zum Abrufen der Datei „credentials.json“.
Um die pickle-Zeichenfolge von Google abzurufen, führen Sie dieses Python-Skript (im gleichen Pfad wie „credentials.json“) aus.
Kopieren Sie die Ausgabe der pickle-Zeichenfolge in einfache Anführungszeichen, und speichern Sie sie. Sie wird für die Bereitstellung der Funktions-App benötigt.

Illusive Attack Management System (AMS) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Administratorleitfaden für Illusive Networks
Unterstützt von	Illusive Networks

Imperva WAF Gateway (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog Verfügbar in der Imperva Cloud WAF Lösung
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Schritte zum Aktivieren der Imperva WAF Gateway-Alarm-Protokollierung in Microsoft Sentinel
Unterstützt von	Imperva

Infoblox Network Identity Operating System (NIOS) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog verfügbar in der InfoBlox Bedrohungsabwehr-Lösung
Log Analytics-Tabellen	Syslog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	InfobloxNIOS
Kusto-Funktions-URL:	https://aka.ms/sentinelgithubparsersinfoblox
Lieferantendokumentation/ Installationsanweisungen	Syslog-Bereitstellungsleitfaden für NIOS SNMP
Unterstützt von	Microsoft

Juniper SRX (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog
Log Analytics-Tabellen	Syslog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	JuniperSRX
Kusto-Funktions-URL:	https://aka.ms/Sentinel-junipersrx-parser
Lieferantendokumentation/ Installationsanweisungen	Konfigurieren der Datenverkehrsprotokollierung (Sicherheitsrichtlinienprotokolle) für SRX Branch-Geräte Konfigurieren der Systemprotokollierung
Unterstützt von	Juniper Networks

Lookout Mobile Bedrohungsabwehr (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API Nur verfügbar nach Installation der Lookout Mobile Threat Defense für Microsoft Sentinel Lösung
Log Analytics-Tabellen	Lookout_CL
DCR-Unterstützung	Derzeit nicht unterstützt
API-Anmeldeinformationen	Lookout-Anwendungsschlüssel
Lieferantendokumentation/ Installationsanweisungen	Installationshandbuch (Anmeldung erforderlich) API-Dokumentation (Anmeldung erforderlich) Lookout Mobile Endpoint-Sicherheit
Unterstützt von	Lookout

Microsoft 365 Defender

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Verbinden Sie Daten von Microsoft 365 Defender mit Microsoft Sentinel (Top Konnektor Artikel)
Lizenzvoraussetzungen/ Kosteninformationen	Gültige Lizenz für Microsoft 365 Defender
Log Analytics-Tabellen	Alerts: SecurityAlert SecurityIncident Defender für Endpunktereignisse: DeviceEvents DeviceFileEvents DeviceImageLoadEvents DeviceInfo DeviceLogonEvents DeviceNetworkEvents DeviceNetworkInfo DeviceProcessEvents DeviceRegistryEvents DeviceFileCertificateInfo Defender für Office 365-Ereignisse: EmailAttachmentInfo EmailUrlInfo EmailEvents EmailPostDeliveryEvents Defender for Identity-Ereignisse: IdentityDirectoryEvents IdentityInfo IdentityLogonEvents IdentityQueryEvents Defender for Cloud Apps-Ereignisse: CloudAppEvents Defender-Warnungen als Ereignisse: AlertInfo AlertEvidence
DCR-Unterstützung	Derzeit nicht unterstützt
Unterstützt von	Microsoft

Microsoft Purview Insider Risk Management (IRM) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: API-basierte Verbindungen Auch verfügbar in der Microsoft Purview Insider Risikomanagement-Lösung
Lizenz und weitere Voraussetzungen	Gültiges Abonnement für Microsoft 365 E5/A5/G5 oder die zugehörigen Compliance- oder IRM-Add-Ons. Microsoft Purview Insider Risikomanagement vollständig eingebunden, IRM-Richtlinien definiert und Warnmeldungen erzeugt. Microsoft 365 IRM konfiguriert, um den Export von IRM-Warnungen an die Office 365 Management Activity API zu aktivieren, um die Warnmeldungen über den Microsoft Sentinel Konnektor zu empfangen).
Log Analytics-Tabellen	SecurityAlert
Datenabfragefilter	`SecurityAlert` `\| where ProductName == "Microsoft Purview Insider Risk Management"`
Unterstützt von	Microsoft

Microsoft Defender für Cloud

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Verbinden Sie Sicherheitswarnungen von Microsoft Defender für Cloud (Top Konnektor Artikel)
Log Analytics-Tabellen	SecurityAlert
Unterstützt von	Microsoft

Microsoft Defender für Cloud-Apps

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: API-basierte Verbindungen Aktivieren Cloud Discovery Microsoft Sentinel als SIEM in Microsoft Defender für Cloud-Apps.
Log Analytics-Tabellen	SecurityAlert: für Warnungen McasShadowItReporting – für Cloud Discovery-Protokolle
Unterstützt von	Microsoft

Microsoft Defender für den Endpunkt

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: API-basierte Verbindungen
Lizenzvoraussetzungen/ Kosteninformationen	Gültige Lizenz für die Bereitstellung von Microsoft Defender für Endpunkt
Log Analytics-Tabellen	SecurityAlert
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Microsoft

Microsoft Defender for Identity

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: API-basierte Verbindungen
Log Analytics-Tabellen	SecurityAlert
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Microsoft

Microsoft Defender für IoT

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: API-basierte Verbindungen
Log Analytics-Tabellen	SecurityAlert
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Microsoft

Microsoft Defender für Office 365

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: API-basierte Verbindungen
Lizenzvoraussetzungen/ Kosteninformationen	Sie benötigen eine gültige Lizenz für Office 365 ATP-Plan 2.
Log Analytics-Tabellen	SecurityAlert
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Microsoft

Microsoft Office 365

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: API-basierte Verbindungen
Lizenzvoraussetzungen/ Kosteninformationen	Ihre Office-365-Bereitstellung muss sich auf demselben Mandanten befinden wie Ihr Microsoft Sentinel-Arbeitsbereich. Möglicherweise fallen weitere Gebühren an.
Log Analytics-Tabellen	OfficeActivity
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Microsoft

Microsoft Power BI (Vorschauversion)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: API-basierte Verbindungen
Lizenzvoraussetzungen/ Kosteninformationen	Ihre Office-365-Bereitstellung muss sich auf demselben Mandanten befinden wie Ihr Microsoft Sentinel-Arbeitsbereich. Möglicherweise fallen weitere Gebühren an.
Log Analytics-Tabellen	PowerBIActivity
Unterstützt von	Microsoft

Microsoft Project (Vorschauversion)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: API-basierte Verbindungen
Lizenzvoraussetzungen/ Kosteninformationen	Ihre Office-365-Bereitstellung muss sich auf demselben Mandanten befinden wie Ihr Microsoft Sentinel-Arbeitsbereich. Möglicherweise fallen weitere Gebühren an.
Log Analytics-Tabellen	ProjectActivity
Unterstützt von	Microsoft

Microsoft Purview Information Protection (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: API-basierte Verbindungen
Lizenzvoraussetzungen/ Kosteninformationen	Ihre Office-365-Bereitstellung muss sich auf demselben Mandanten befinden wie Ihr Microsoft Sentinel-Arbeitsbereich. Möglicherweise fallen weitere Gebühren an.
Log Analytics-Tabellen	MicrosoftPurviewInformationProtection
Unterstützt von	Microsoft

Microsoft Sysmon für Linux (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Syslog, mit ASIM-Parsern auf der Basis von Kusto-Funktionen
Log Analytics-Tabellen	Syslog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Microsoft

Morphisec UTPP (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog mit einem Kusto-Funktionsparser
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	Morphisec
Kusto-Funktions-URL	https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Morphisec/Parsers/Morphisec/
Unterstützt von	Morphisec

Netskope (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API
Log Analytics-Tabellen	Netskope_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/Sentinel-netskope-functioncode
API-Anmeldeinformationen	Netskope-API-Token
Lieferantendokumentation/ Installationsanweisungen	Netskope Cloud Security Platform Dokumentation zur Netskope-API Abrufen eines API-Tokens
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Kusto-Funktionsalias	Netskope
Kusto-Funktions-URL/ Parser-Konfigurationsanweisungen	https://aka.ms/Sentinel-netskope-parser
Anwendungseinstellungen	apikey workspaceID workspaceKey URI (hängt von der Region ab, hat das Schema: `https://<Tenant Name>.goskope.com`) timeInterval (auf 5 festgelegt) logTypes logAnalyticsUri (optional)
Unterstützt von	Microsoft

NGINX HTTP Server (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Log Analytics-Agent: benutzerdefinierte Protokolle
Log Analytics-Tabellen	NGINX_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Kusto-Funktionsalias:	NGINXHTTPServer
Kusto-Funktions-URL	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/NGINX%20HTTP%20Server/Parsers/NGINXHTTPServer.txt
Lieferantendokumentation/ Installationsanweisungen	Module ngx_http_log_module
Beispieldatei für benutzerdefinierte Protokolle:	„access.log“ oder „error.log“
Unterstützt von	Microsoft

NXLog Basic Security Module (BSM) macOS (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	BSMmacOS_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	NXLog Microsoft Sentinel-Benutzerhandbuch
Unterstützt von	NXLog

NXLog DNS Logs (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	DNS_Logs_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	NXLog Microsoft Sentinel-Benutzerhandbuch
Unterstützt von	NXLog

NXLog LinuxAudit (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	LinuxAudit_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	NXLog Microsoft Sentinel-Benutzerhandbuch
Unterstützt von	NXLog

Okta Single Sign-On (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API
Log Analytics-Tabellen	Okta_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/sentineloktaazurefunctioncodev2
API-Anmeldeinformationen	API-Token
Lieferantendokumentation/ Installationsanweisungen	Dokumentation zur Okta-Systemprotokoll-API Erstellen eines API-Tokens Verbinden des einmaligen Anmeldens von Okta bei Microsoft Sentinel
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Anwendungseinstellungen	apiToken workspaceID workspaceKey uri (hat das Schema `https://<OktaDomain>/api/v1/logs?since=`. Ermitteln Sie Ihren Domänennamespace.) logAnalyticsUri (optional)
Unterstützt von	Microsoft

Onapsis Platform (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog mit Kusto-Funktionen für Lookup und Anreicherung Konfigurieren von Onapsis zum Senden von CEF-Protokollen an die Protokollweiterleitung
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	incident_lookup
Kusto-Funktions-URL	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Onapsis%20Platform/Parsers/OnapsisLookup.txt
Unterstützt von	Onapsis

Konfigurieren von Onapsis zum Senden von CEF-Protokollen an die Protokollweiterleitung

Informationen zum Einrichten der Protokollweiterleitung an den Log Analytics-Agent finden Sie in der internen Onapsis-Produkthilfe.

Gehen Sie zu Einrichtung (Setup)> Integrationen von Drittanbietern > Alarmverteidigung und befolgen Sie die Anweisungen für Microsoft Sentinel.
Stellen Sie sicher, dass die Onapsis-Konsole den Protokollweiterleitungscomputer erreichen kann, auf dem der Agent installiert ist. Protokolle sollten per TCP über Port 514 gesendet werden.

One Identity Safeguard (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Administratorleitfaden für One Identity Safeguard for Privileged Sessions
Unterstützt von	One Identity

Oracle WebLogic Server (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Log Analytics-Agent: benutzerdefinierte Protokolle
Log Analytics-Tabellen	OracleWebLogicServer_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Kusto-Funktionsalias:	OracleWebLogicServerEvent
Kusto-Funktions-URL:	https://aka.ms/Sentinel-OracleWebLogicServer-parser
Lieferantendokumentation/ Installationsanweisungen	Dokumentation zu Oracle WebLogic Server
Beispieldatei für benutzerdefinierte Protokolle:	server.log
Unterstützt von	Microsoft

Orca Security (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	OrcaAlerts_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	Microsoft Sentinel-Integration
Unterstützt von	Orca Security

OSSEC (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog mit einem Kusto-Funktionsparser
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	OSSECEvent
Kusto-Funktions-URL:	https://aka.ms/Sentinel-OSSEC-parser
Lieferantendokumentation/ Installationsanweisungen	OSSEC-Dokumentation Senden von Warnungen über Syslog
Unterstützt von	Microsoft

Palo Alto Networks

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog Auch in den Palo Alto PAN-OS- und Prisma-Lösungen verfügbar
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Common Event Format (CEF): Konfigurationsleitfäden Konfigurieren der Syslog-Überwachung
Unterstützt von	Palo Alto Networks

Perimeter 81 Activity Logs (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	Perimeter81_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	Dokumentation zu Perimeter 81
Unterstützt von	Perimeter 81

Proofpoint On Demand (POD) Email Security (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API Auch in der Proofpoint POD-Lösung verfügbar
Log Analytics-Tabellen	ProofpointPOD_message_CL ProofpointPOD_maillog_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/Sentinel-proofpointpod-functionapp
API-Anmeldeinformationen	ProofpointClusterID ProofpointToken
Lieferantendokumentation/ Installationsanweisungen	Anmelden bei der Proofpoint-Community Dokumentation und Anweisungen zur Proofpoint-API
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Kusto-Funktionsalias	ProofpointPOD
Kusto-Funktions-URL/ Parser-Konfigurationsanweisungen	https://aka.ms/Sentinel-proofpointpod-parser
Anwendungseinstellungen	ProofpointClusterID ProofpointToken WorkspaceID WorkspaceKey logAnalyticsUri (optional)
Unterstützt von	Microsoft

Proofpoint Targeted Attack Protection (TAP) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API Auch in der Proofpoint TAP-Lösung verfügbar
Log Analytics-Tabellen	ProofPointTAPClicksPermitted_CL ProofPointTAPClicksBlocked_CL ProofPointTAPMessagesDelivered_CL ProofPointTAPMessagesBlocked_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/sentinelproofpointtapazurefunctioncode
API-Anmeldeinformationen	API-Benutzername API-Kennwort
Lieferantendokumentation/ Installationsanweisungen	Dokumentation zur Proofpoint-SIEM-API
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Anwendungseinstellungen	apiUsername apiUsername uri (festgelegt auf `https://tap-api-v2.proofpoint.com/v2/siem/all?format=json&sinceSeconds=300`) WorkspaceID WorkspaceKey logAnalyticsUri (optional)
Unterstützt von	Microsoft

Pulse Connect Secure (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog
Log Analytics-Tabellen	Syslog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	PulseConnectSecure
Kusto-Funktions-URL:	https://aka.ms/sentinelgithubparserspulsesecurevpn
Lieferantendokumentation/ Installationsanweisungen	Konfigurieren von Syslog
Unterstützt von	Microsoft

Qualys VM KnowledgeBase (KB) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API Zusätzliche Konfiguration für Qualys VM KB Auch in der Qualys VM-Lösung verfügbar
Log Analytics-Tabellen	QualysKB_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/Sentinel-qualyskb-functioncode
API-Anmeldeinformationen	API-Benutzername API-Kennwort
Lieferantendokumentation/ Installationsanweisungen	Benutzerleitfaden für die QualysVM-API
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Kusto-Funktionsalias	QualysKB
Kusto-Funktions-URL/ Parser-Konfigurationsanweisungen	https://aka.ms/Sentinel-qualyskb-parser
Anwendungseinstellungen	apiUsername apiUsername uri (nach Region; siehe API-Serverliste. Hat das Schema: `https://<API Server>/api/2.0`. WorkspaceID WorkspaceKey filterParameters (am Ende des URI anfügen, getrennt durch `&`. Keine Leerzeichen) logAnalyticsUri (optional)
Unterstützt von	Microsoft

Zusätzliche Konfiguration für Qualys VM KB

Melden Sie sich mit einem Administratorkonto an der Qualys Vulnerability Management-Konsole an, und wählen Sie die Registerkarte Users (Benutzer) und die Unterregisterkarte Users (Benutzer) aus.
Wählen Sie das Dropdownmenü New (Neu) und dann Users (Benutzer) aus.
Erstellen Sie einen Benutzernamen und ein Kennwort für das API-Konto.
Stellen Sie auf der Registerkarte Benutzerrollen sicher, dass die Kontorolle auf Manager festgelegt ist und dass der Zugriff auf GUI und API zulässig ist.
Melden Sie sich beim Administratorkonto ab, und melden Sie sich zur Überprüfung mit den neuen API-Anmeldeinformationen an der Konsole an. Melden Sie sich nach der Überprüfung beim API-Konto ab.
Melden Sie sich wieder mit einem Administratorkonto an der Konsole an, und ändern Sie die Benutzerrollen der API-Konten, indem Sie den Zugriff auf die GUI (grafische Benutzeroberfläche) entfernen.
Speichern Sie alle Änderungen.

Qualys Vulnerability Management (VM) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API Zusätzliche Konfiguration für Qualys VM Manuelle Bereitstellung – nach dem Konfigurieren der Funktions-App
Log Analytics-Tabellen	QualysHostDetection_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/sentinelqualysvmazurefunctioncode
API-Anmeldeinformationen	API-Benutzername API-Kennwort
Lieferantendokumentation/ Installationsanweisungen	Benutzerleitfaden für die QualysVM-API
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Anwendungseinstellungen	apiUsername apiUsername uri (nach Region; siehe API-Serverliste. Hat das Schema: `https://<API Server>/api/2.0/fo/asset/host/vm/detection/?action=list&vm_processed_after=`. WorkspaceID WorkspaceKey filterParameters (am Ende des URI anfügen, getrennt durch `&`. Keine Leerzeichen) timeInterval (auf 5 festgelegt. Passen Sie bei einer Änderung auch den Timertrigger der Funktions-App entsprechend an.) logAnalyticsUri (optional)
Unterstützt von	Microsoft

Zusätzliche Konfiguration für Qualys VM

Melden Sie sich mit einem Administratorkonto an der Qualys Vulnerability Management-Konsole an, und wählen Sie die Registerkarte Users (Benutzer) und die Unterregisterkarte Users (Benutzer) aus.
Wählen Sie das Dropdownmenü New (Neu) und dann Users (Benutzer) aus.
Erstellen Sie einen Benutzernamen und ein Kennwort für das API-Konto.
Stellen Sie auf der Registerkarte Benutzerrollen sicher, dass die Kontorolle auf Manager festgelegt ist und dass der Zugriff auf GUI und API zulässig ist.
Melden Sie sich beim Administratorkonto ab, und melden Sie sich zur Überprüfung mit den neuen API-Anmeldeinformationen an der Konsole an. Melden Sie sich nach der Überprüfung beim API-Konto ab.
Melden Sie sich wieder mit einem Administratorkonto an der Konsole an, und ändern Sie die Benutzerrollen der API-Konten, indem Sie den Zugriff auf die GUI (grafische Benutzeroberfläche) entfernen.
Speichern Sie alle Änderungen.

Manuelle Bereitstellung – nach dem Konfigurieren der Funktions-App

Konfigurieren der Datei „host.json“

Aufgrund der potenziell großen Menge an erfassten Qualys-Hosterkennungsdaten kann dies dazu führen, dass die Ausführungszeit das Standardtimeout für Funktions-Apps von fünf Minuten überschreitet. Erhöhen Sie das Standardtimeout unter dem Verbrauchstarif auf maximal 10 Minuten, um mehr Zeit für die Ausführung der Funktions-App zuzulassen.

Wählen Sie in der Funktions-App den Namen der Funktions-App und dann die Seite App Service-Editor aus.
Wählen Sie Los aus, um den Editor zu öffnen, und wählen Sie dann die Datei host.json unter dem Verzeichnis wwwroot aus.
Fügen Sie die Zeile "functionTimeout": "00:10:00", über der Zeile managedDependancy hinzu.
Stellen Sie sicher, dass in der rechten oberen Ecke des Editors GESPEICHERT angezeigt wird, und beenden Sie dann den Editor.

Wenn eine noch längere Timeoutdauer erforderlich ist, sollten Sie ein Upgrade auf einen App Service-Plan in Betracht ziehen.

Salesforce Service Cloud (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API
Log Analytics-Tabellen	SalesforceServiceCloud_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/Sentinel-SalesforceServiceCloud-functionapp
API-Anmeldeinformationen	Salesforce-API-Benutzername Salesforce-API-Kennwort Salesforce-Sicherheitstoken Salesforce-Consumerschlüssel Salesforce-Consumergeheimnis
Lieferantendokumentation/ Installationsanweisungen	Entwicklerleitfaden zur Salesforce-REST-API Verwenden Sie unter Set up authorization (Autorisierung einrichten) die Methode Session ID (Sitzungs-ID) anstelle von OAuth.
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Kusto-Funktionsalias	SalesforceServiceCloud
Kusto-Funktions-URL/ Parser-Konfigurationsanweisungen	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Salesforce%20Service%20Cloud/Parsers/SalesforceServiceCloud.txt
Anwendungseinstellungen	SalesforceUser SalesforcePass SalesforceSecurityToken SalesforceConsumerKey SalesforceConsumerSecret WorkspaceID WorkspaceKey logAnalyticsUri (optional)
Unterstützt von	Microsoft

Sicherheitsereignisse über Legacy-Agent (Windows)

Wichtig

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Agent-basierte Verbindungen von Protokollanalysen (Legacy)
Log Analytics-Tabellen	SecurityEvents
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Microsoft

Weitere Informationen finden Sie unter

SentinelOne (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API Zusätzliche Konfiguration für SentinelOne
Log Analytics-Tabellen	SentinelOne_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/Sentinel-SentinelOneAPI-functionapp
API-Anmeldeinformationen	SentinelOneAPIToken SentinelOneUrl (`https://<SOneInstanceDomain>.sentinelone.net`)
Lieferantendokumentation/ Installationsanweisungen	https://`<SOneInstanceDomain>`.sentinelone.net/api-doc/overview Weitere Informationen finden Sie in den Anweisungen unten.
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Kusto-Funktionsalias	SentinelOne
Kusto-Funktions-URL/ Parser-Konfigurationsanweisungen	https://aka.ms/Sentinel-SentinelOneAPI-parser
Anwendungseinstellungen	SentinelOneAPIToken SentinelOneUrl WorkspaceID WorkspaceKey logAnalyticsUri (optional)
Unterstützt von	Microsoft

Zusätzliche Konfiguration für SentinelOne

Befolgen Sie die Anweisungen zum Abrufen der Anmeldeinformationen.

Melden Sie sich mit Anmeldeinformationen eines Administratorbenutzers an der SentinelOne-Verwaltungskonsole an.
Wählen Sie an der Verwaltungskonsole Settings (Einstellungen) aus.
Wählen Sie in der Ansicht SETTINGS (EINSTELLUNGEN) die Option USERS (BENUTZER) aus.
Wählen Sie Neuer Benutzer aus.
Geben Sie die Informationen zum neuen Konsolenbenutzer ein.
Wählen Sie als Rolle Admin aus.
Wählen Sie SAVE (SPEICHERN) aus.
Speichern Sie die Anmeldeinformationen des neuen Benutzers für die Verwendung im Datenconnector.

SonicWall Firewall (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Protokoll > Syslog Wählen Sie die Einrichtung „local4“ und als Syslog-Format „ArcSight“ aus.
Unterstützt von	SonicWall

Sophos Cloud Optix (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	SophosCloudOptix_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	Integrieren Sie in Microsoft Sentinel,und überspringen Sie den ersten Schritt. Sophos-Abfragebeispiele
Unterstützt von	Sophos

Sophos XG Firewall (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog
Log Analytics-Tabellen	Syslog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	SophosXGFirewall
Kusto-Funktions-URL:	https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Sophos%20XG%20Firewall/Parsers/SophosXGFirewall.txt
Lieferantendokumentation/ Installationsanweisungen	Hinzufügen eines Syslog-Servers
Unterstützt von	Microsoft

Squadra Technologies secRMM

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	secRMM_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	secRMM Microsoft Sentinel Administrator Guide (SecRMM Microsoft Sentinel-Administratorhandbuch)
Unterstützt von	Squadra Technologies

Squid Proxy (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Log Analytics-Agent: benutzerdefinierte Protokolle
Log Analytics-Tabellen	SquidProxy_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Kusto-Funktionsalias:	SquidProxy
Kusto-Funktions-URL	https://aka.ms/Sentinel-squidproxy-parser
Beispieldatei für benutzerdefinierte Protokolle:	„access.log“ oder „cache.log“
Unterstützt von	Microsoft

Symantec Integrated Cyber Defense Exchange (ICDx)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API
Log Analytics-Tabellen	SymantecICDx_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	secRMM Microsoft Sentinel Administrator Guide (SecRMM Microsoft Sentinel-Administratorhandbuch)
Unterstützt von	Broadcom Symantec

Symantec ProxySG (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog
Log Analytics-Tabellen	Syslog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	SymantecProxySG
Kusto-Funktions-URL:	https://aka.ms/sentinelgithubparserssymantecproxysg
Lieferantendokumentation/ Installationsanweisungen	Senden von Zugriffsprotokollen an einen Syslog-Server
Unterstützt von	Microsoft

Symantec VIP (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog
Log Analytics-Tabellen	Syslog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	SymantecVIP
Kusto-Funktions-URL:	https://aka.ms/sentinelgithubparserssymantecvip
Lieferantendokumentation/ Installationsanweisungen	Konfigurieren von Syslog
Unterstützt von	Microsoft

Thycotic Secret Server (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Sichere Syslog-/CEF-Protokollierung
Unterstützt von	Thycotic

Trend Micro Deep Security

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog mit einem Kusto-Funktionsparser
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	TrendMicroDeepSecurity
Kusto-Funktions-URL	https://aka.ms/TrendMicroDeepSecurityFunction
Lieferantendokumentation/ Installationsanweisungen	Weiterleiten von Deep Security-Ereignissen an einen Syslog- oder SIEM-Server
Unterstützt von	Trend Micro

Trend Micro TippingPoint (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog mit einem Kusto-Funktionsparser
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	TrendMicroTippingPoint
Kusto-Funktions-URL	https://aka.ms/Sentinel-trendmicrotippingpoint-function
Lieferantendokumentation/ Installationsanweisungen	Senden von Syslog-Nachrichten im ArcSight-CEF-Format v4.2
Unterstützt von	Trend Micro

Trend Micro Vision One (XDR) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API
Log Analytics-Tabellen	TrendMicro_XDR_CL
DCR-Unterstützung	Derzeit nicht unterstützt
API-Anmeldeinformationen	API-Token
Lieferantendokumentation/ Installationsanweisungen	Trend Micro Vision One-API Abrufen von API-Schlüsseln für den Zugriff durch Drittanbieter
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager)
Unterstützt von	Trend Micro

VMware Carbon Black Endpoint Standard (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API
Log Analytics-Tabellen	CarbonBlackEvents_CL CarbonBlackAuditLogs_CL CarbonBlackNotifications_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/sentinelcarbonblackazurefunctioncode
API-Anmeldeinformationen	API-Zugriffsebene (für Überwachungs- und Ereignisprotokolle): API-ID API-Schlüssel SIEM-Zugriffsebene (für Benachrichtigungsereignisse): SIEM-API-ID SIEM-API-Schlüssel
Lieferantendokumentation/ Installationsanweisungen	Dokumentation zur Carbon Black-API Erstellen eines API-Schlüssels
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Anwendungseinstellungen	apiId apiKey WorkspaceID WorkspaceKey uri (nach Region; siehe Liste der Optionen. Hat das Schema: `https://<API URL>.conferdeploy.net`.) timeInterval (auf 5 festgelegt) SIEMapiId (für das Erfassen von Benachrichtigungsereignissen) SIEMapiKey (für das Erfassen von Benachrichtigungsereignissen) logAnalyticsUri (optional)
Unterstützt von	Microsoft

VMware ESXi (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog
Log Analytics-Tabellen	Syslog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	VMwareESXi
Kusto-Funktions-URL:	https://aka.ms/Sentinel-vmwareesxi-parser
Lieferantendokumentation/ Installationsanweisungen	Aktivieren von Syslog unter ESXi 3.5 und 4.x Konfigurieren von Syslog auf ESXi-Hosts
Unterstützt von	Microsoft

WatchGuard Firebox (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	syslog
Log Analytics-Tabellen	Syslog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Kusto-Funktionsalias:	WatchGuardFirebox
Kusto-Funktions-URL:	https://aka.ms/Sentinel-watchguardfirebox-parser
Lieferantendokumentation/ Installationsanweisungen	Microsoft Sentinel-Integrationshandbuch
Unterstützt von	WatchGuard Technologies

WireX Network Forensics Platform (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Wenden Sie sich an den WireX-Support, um Ihre NFP-Lösung für das Senden von Syslog-Nachrichten im CEF-Format zu konfigurieren.
Unterstützt von	WireX Systems

Windows DNS-Ereignisse über AMA (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Azure Monitor Agent-basierte Verbindung
Log Analytics-Tabellen	DnsEvents DnsInventory
DCR-Unterstützung	Standard-DCR
Unterstützt von	Microsoft

Windows DNS Server (Vorschau)

Wichtig

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Agent-basierte Verbindungen von Protokollanalysen (Legacy)
Log Analytics-Tabellen	DnsEvents DnsInventory
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Unterstützt von	Microsoft

Problembehandlung bei Ihrem Windows-DNS-Server-Datenkonnektor

Wenn Ihre DNS-Ereignisse nicht in Microsoft Sentinel angezeigt werden:

Stellen Sie sicher, dass DNS-Analyseprotokolle auf Ihren Servern aktiviert sind.
Wechseln Sie zu Azure DNS-Analyse.
Ändern Sie im Bereich Konfiguration beliebige Einstellungen und speichern Sie Ihre Änderungen. Ändern Sie Ihre Einstellungen bei Bedarf zurück und speichern Sie Ihre Änderungen erneut.
Überprüfen Sie Ihre Azure DNS-Analyse, um sicherzustellen, dass Ihre Ereignisse und Abfragen ordnungsgemäß angezeigt werden.

Weitere Informationen finden Sie unter Einblicke in Ihre DNS-Infrastruktur mit der DNS-Analyse Vorschau-Lösung.

Weitergeleitete Windows-Ereignisse (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Azure Monitor Agent-basierte Verbindungen Zusätzliche Anweisungen zum Bereitstellen des Connectors für Windows Weitergeleitete Ereignisse
Voraussetzungen	Sie müssen Windows Event Collection (WEC) aktiviert und ausgeführt haben. Installieren Sie Azure Monitor-Agent auf dem WEC-Computer.
Präfix für xPath-Abfragen	"ForwardedEvents!*"
Log Analytics-Tabellen	WindowsEvents
DCR-Unterstützung	Standard-DCR
Unterstützt von	Microsoft

Zusätzliche Anweisungen zum Bereitstellen des Connectors für Windows Weitergeleitete Ereignisse

Es wird empfohlen, die ASIM-Parser (Advanced Security Information Model) zu installieren, um die vollständige Unterstützung für die Datennormalisierung sicherzustellen. Sie können diese Parser aus dem Azure-Sentinel GitHub-Repository über die dortige Schaltfläche In Azure bereitstellen.

Windows-Firewall

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Agent-basierte Verbindungen von Protokollanalysen (Legacy)
Log Analytics-Tabellen	WindowsFirewall
Unterstützt von	Microsoft

Windows-Sicherheitsereignisse über AMA

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure-Dienst-zu-Dienst-Integration: Azure Monitor Agent-basierte Verbindungen
Präfix für xPath-Abfragen	"Security!*"
Log Analytics-Tabellen	SecurityEvents
DCR-Unterstützung	Standard-DCR
Unterstützt von	Microsoft

Weitere Informationen:

„Windows DNS-Ereignisse über AMA“-Connector (Vorschau): Verwendet den Azure Monitor Agent zum Streamen und Filtern von Ereignissen aus DNS-Serverprotokollen (Windows Domain Name System).
Sicherheitsrelevante Ereignisse über den Connector des Agents einer Vorgängerversion

Wichtig

Die Erkennung ungewöhnlicher RDP-Anmeldungen befindet sich derzeit in der öffentlichen Vorschauphase. Dieses Feature wird ohne Vereinbarung zum Servicelevel bereitgestellt und ist nicht für Produktionsworkloads vorgesehen. Weitere Informationen finden Sie unter Zusätzliche Nutzungsbestimmungen für Microsoft Azure-Vorschauen.

Microsoft Sentinel kann maschinelles Lernen (ML) auf Sicherheitsereignisdaten anwenden, um anomale RDP-Anmeldeaktivitäten (Remote Desktop Protocol) zu identifizieren. Mögliche Szenarien:

Ungewöhnliche IP-Adresse: Die IP-Adresse ist in den letzten 30 Tagen nur selten oder gar nicht aufgetreten.
Ungewöhnliche Geolocation: IP-Adresse, Ort, Land und ASN sind in den letzten 30 Tagen nur selten oder gar nicht aufgetreten.
Neuer Benutzer: Ein neuer Benutzer meldet sich über eine IP-Adresse oder Geolocation an, mit deren Auftreten (einzeln oder gemeinsam) anhand der Daten der letzten 30 Tage nicht gerechnet wurde.

Konfigurationsanweisungen

Sie müssen RDP-Anmeldedaten (Ereignis-ID 4624) über den Datenconnector für Sicherheitsereignisse oder für Windows-Sicherheitsereignisse erfassen. Stellen Sie sicher, dass Sie neben "Keiner" einen Ereignissatz ausgewählt oder eine Datensammlungsregel erstellt haben, die diese Ereignis-ID enthält, um sie an Microsoft Sentinel zu streamen.
Wählen Sie im Microsoft Sentinel-Portal Analyticsund dann die Registerkarte Regelvorlagen aus. Wählen Sie die Regel (Vorschau) Anomale RDP-Anmeldeerkennung aus, und verschieben Sie den Schieberegler Status auf Aktiviert.

Hinweis

Da für den Machine Learning-Algorithmus zum Erstellen eines Basisprofils für das Benutzerverhalten die Daten von 30 Tagen benötigt werden, müssen Sie die Erfassung von Windows-Sicherheitsereignissen für 30 Tage zulassen, bevor Incidents erkannt werden können.

Workplace from Facebook (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API Konfigurieren von Webhooks Hinzufügen einer Rückruf-URL zur Webhookkonfiguration
Log Analytics-Tabellen	Workplace_Facebook_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://github.com/Azure/Azure-Sentinel/blob/master/Solutions/Workplace%20from%20Facebook/Data%20Connectors/WorkplaceFacebook/WorkplaceFacebookWebhooksSentinelConn.zip
API-Anmeldeinformationen	WorkplaceAppSecret WorkplaceVerifyToken
Lieferantendokumentation/ Installationsanweisungen	Konfigurieren von Webhooks Konfigurieren von Berechtigungen
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Kusto-Funktionsalias	Workplace_Facebook
Kusto-Funktions-URL/ Parser-Konfigurationsanweisungen	https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Solutions/Workplace%20from%20Facebook/Parsers/Workplace_Facebook.txt
Anwendungseinstellungen	WorkplaceAppSecret WorkplaceVerifyToken WorkspaceID WorkspaceKey logAnalyticsUri (optional)
Unterstützt von	Microsoft

Konfigurieren von Webhooks

Melden Sie sich bei Workplace mit den Anmeldeinformationen eines Administratorbenutzers an.
Wählen Sie im Administratorbereich Integrations aus.
Wählen Sie in der Ansicht All Integrations (Alle Integrationen) die Option Create custom integration (Benutzerdefinierte Integration erstellen) aus.
Geben Sie den Namen und eine Beschreibung ein, und wählen Sie Create (Erstellen) aus.
Zeigen Sie im Bereich Integration details (Integrationsdetails) das App secret (App-Geheimnis) an, und kopieren Sie es.
Legen Sie im Bereich Integration permission (Integrationsberechtigungen) alle Leseberechtigungen fest. Details dazu finden Sie auf der Berechtigungsseite.

Hinzufügen einer Rückruf-URL zur Webhookkonfiguration

Öffnen Sie die Seite Ihrer Funktions-App, wechseln Sie zur Liste Funktionen, wählen Sie Funktions-URL abrufen aus, und kopieren Sie diese.
Wechseln Sie zurück zu Workplace from Facebook. Legen Sie im Bereich Configure webhooks (Webhooks konfigurieren) auf jeder Registerkarte die Rückruf-URL, die Sie im letzten Schritt kopiert haben, als Funktions-URL fest. Legen Sie außerdem das Verify token (Überprüfungstoken) auf den gleichen Wert fest, den Sie bei der automatischen Bereitstellung erhalten oder während der manuellen Bereitstellung eingegeben haben.
Wählen Sie Speichern aus.

Zimperium Mobile Thread Defense (Vorschau)

Der Zimperium Mobile Threat Defense-Datenkonnektor verbindet das Zimperium-Bedrohungsprotokoll mit Microsoft Sentinel, um Dashboards anzuzeigen, benutzerdefinierte Warnungen zu erstellen und die Untersuchung zu verbessern. Durch diesen Connector erhalten Sie einen besseren Einblick in die Bedrohungslage mobiler Geräte in Ihrer Organisation und bessere Möglichkeiten für Sicherheitsvorgänge.

Weitere Informationen finden Sie unter Verbinden Sie Zimperium mit Microsoft Sentinel.

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Microsoft Sentinel-Datensammler-API Konfigurieren und Verbinden von Zimperium MTD
Log Analytics-Tabellen	ZimperiumThreatLog_CL ZimperiumMitigationLog_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Lieferantendokumentation/ Installationsanweisungen	Zimperium-Portal für den Kundensupport (Anmeldung erforderlich)
Unterstützt von	Zimperium

Konfigurieren und Verbinden von Zimperium MTD

Wählen Sie in zConsole auf der Navigationsleiste Manage (Verwalten) aus.
Wählen Sie die Registerkarte Integrations aus.
Wählen Sie die Schaltfläche Threat Reporting (Bedrohungsberichte) und dann die Schaltfläche Add Integrations (Integrationen hinzufügen) aus.
Erstellen Sie die Integration:
1. Wählen Sie unter den verfügbaren Integrationen Microsoft Sentinel.
2. Geben Sie als Nächstes Ihre Arbeitsbereichs-ID und den Primärschlüssel ein, und wählen Sie dann Weiter aus.
3. Geben Sie einen Namen für Ihre Microsoft Sentinel-Integration ein.
4. Wählen Sie eine Filterstufe für die Bedrohungsdaten, die Sie an Microsoft Sentinel senden möchten.
5. Wählen Sie Fertig stellen aus.

Zoom Reports (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Azure Functions und die REST-API
Log Analytics-Tabellen	Zoom_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Azure Functions-App-Code	https://aka.ms/Sentinel-ZoomAPI-functionapp
API-Anmeldeinformationen	ZoomApiKey ZoomApiSecret
Lieferantendokumentation/ Installationsanweisungen	Abrufen von Anmeldeinformationen mithilfe von JWT With Zoom
Anweisungen zur Connectorbereitstellung	Bereitstellung mit nur einem Klick mithilfe von ARM-Vorlagen (Azure Resource Manager) Manuelle Bereitstellung
Kusto-Funktionsalias	Zoom
Kusto-Funktions-URL/ Parser-Konfigurationsanweisungen	https://aka.ms/Sentinel-ZoomAPI-parser
Anwendungseinstellungen	ZoomApiKey ZoomApiSecret WorkspaceID WorkspaceKey logAnalyticsUri (optional)
Unterstützt von	Microsoft

Zscaler

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Common Event Format (CEF) über Syslog
Log Analytics-Tabellen	CommonSecurityLog
DCR-Unterstützung	Arbeitsbereichstransformations-DCR
Lieferantendokumentation/ Installationsanweisungen	Bereitstellungshandbuch für Zscaler und Microsoft Sentinel
Unterstützt von	Zscaler

Zscaler Private Access (ZPA) (Vorschau)

Connectorattribut	BESCHREIBUNG
Datenerfassungsmethode	Log Analytics-Agent: benutzerdefinierte Protokolle Zusätzliche Konfiguration für Zscaler Private Access
Log Analytics-Tabellen	ZPA_CL
DCR-Unterstützung	Derzeit nicht unterstützt
Kusto-Funktionsalias:	ZPAEvent
Kusto-Funktions-URL	https://aka.ms/Sentinel-zscalerprivateaccess-parser
Lieferantendokumentation/ Installationsanweisungen	Dokumentation zu Zscaler Private Access Weitere Informationen finden Sie auch unten.
Unterstützt von	Microsoft

Zusätzliche Konfiguration für Zscaler Private Access

Führen Sie die folgenden Konfigurationsschritte aus, um Zscaler Private Access-Protokolle in Microsoft Sentinel abzurufen. Weitere Informationen finden Sie in der Azure Monitor DoKumentation. Zscaler Private Access-Protokolle werden über LSS (Log Streaming Service, Protokollstreamingdienst) übermittelt. Ausführliche Informationen finden Sie in der Dokumentation zu LSS.

Konfigurieren Sie Protokollempfänger. Wählen Sie beim Konfigurieren eines Protokollempfängers JSON als Protokollvorlage aus.

Laden Sie die Konfigurationsdatei zpa.conf herunter.

wget -v https://aka.ms/sentinel-zscalerprivateaccess-conf -O zpa.conf

Melden Sie sich auf dem Server an, auf dem Sie den Azure Log Analytics-Agent installiert haben.
Kopieren Sie die Datei „zpa.conf“ in den Ordner „/etc/opt/microsoft/omsagent/workspace_id/conf/omsagent.d/“.
Bearbeiten Sie die Datei „zpa.conf“ wie folgt:
1. Geben Sie den Port an, den Sie als Ziel für die Protokollweiterleitung durch Ihre Zscaler-Protokollempfänger festgelegt haben (Zeile 4)
2. Ersetzen Sie workspace_id durch den tatsächlichen Wert Ihrer Arbeitsbereichs-ID (Zeilen 14, 15, 16, 19).
Speichern Sie Ihre Änderungen, und starten Sie den Azure Log Analytics-Agent für den Linux-Dienst mit dem folgenden Befehl neu:
```
sudo /opt/microsoft/omsagent/bin/service_control restart
```

Den Wert Ihrer Arbeitsbereichs-ID finden Sie auf der Seite des ZScaler Private Access-Connectors oder auf der Verwaltungsseite für Agents Ihres Log Analytics-Arbeitsbereichs.

Nächste Schritte

Weitere Informationen finden Sie unter

Lösungskatalog für Microsoft Sentinel im Azure Marketplace
Microsoft Sentinel-Lösungskatalog
Integration von Bedrohungsdaten in Microsoft Sentinel