Microsoft Sentinel-Datenconnectors

• Gilt für::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nachdem Sie Microsoft Sentinel in Ihren Arbeitsbereich integriert haben, beginnen Sie mithilfe der Datenconnectors mit der Erfassung Ihrer Daten in Microsoft Sentinel. Microsoft Sentinel bietet viele standardmäßig verfügbare Connectors für Microsoft-Dienste, die in Echtzeit integriert werden. Beispielsweise ist der Microsoft Defender XDR-Connector ein Dienst-zu-Dienst-Connector, mit dem Daten aus Office 365, Microsoft Entra ID, Microsoft Defender for Identity und Microsoft Defender for Cloud Apps integriert werden können.

Integrierte Connectors ermöglichen die Anbindung an das breitere Sicherheitsökosystem für Nicht-Microsoft-Produkte. Beispielsweise können Sie Syslog, Common Event Format (CEF) oder REST-APIs verwenden, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Wichtig

Microsoft Sentinel ist als Teil der Public Preview für die einheitliche Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Mit Lösungen bereitgestellte Datenconnectors

Microsoft Sentinel-Lösungen stellen Pakete mit Sicherheitsinhalten bereit, darunter beispielsweise Datenconnectors, Arbeitsmappen, Analyseregeln oder Playbooks. Wenn Sie eine Lösung mit einem Datenconnector bereitstellen, erhalten Sie den Datenconnector zusammen mit den zugehörigen Inhalten in derselben Bereitstellung.

Auf der Seite Microsoft Sentinel-Seite Datenconnectors sind die installierten oder verwendeten Datenconnectors aufgelistet.

Azure portal

Defender-Portal

Zum Hinzufügen weiterer Datenconnectors installieren Sie die Lösung, die dem Datenconnector über den Inhaltshub zugeordnet ist. Weitere Informationen finden Sie in den folgenden Artikeln:

• Suchen Ihres Microsoft Sentinel-Datenconnectors
• Informationen zu Microsoft Sentinel-Inhalten und -Lösungen
• Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte
• Microsoft Sentinel Content Hub-Katalog
• Auf Advanced Security Information Model (ASIM) beruhende Domänenlösungen für Microsoft Sentinel

REST-API-Integration für Datenconnectors

In vielen Sicherheitstechnologien steht eine Reihe von APIs zum Abrufen von Protokolldateien zur Verfügung. Einige Datenquellen können diese APIs verwenden, um eine Verbindung mit Microsoft Sentinel herzustellen.

Datenconnectors, die APIs verwenden, können entweder auf Anbieterseite oder mit Azure Functions integriert werden, wie in den folgenden Abschnitten beschrieben.

Integration auf Anbieterseite

Eine API-Integration, die vom Anbieter erstellt wird, stellt eine Verbindung mit den Anbieterdatenquellen her und pusht Daten mithilfe der Azure Monitor-Datensammler-API in benutzerdefinierte Protokolltabellen von Microsoft Sentinel. Weitere Informationen finden Sie unter Senden von Protokolldaten an Azure Monitor mit der HTTP-Datensammler-API.

Um mehr über die REST API-Integration zu erfahren, lesen Sie die Dokumentation Ihres Anbieters und Verbinden Sie Ihre Datenquelle mit der REST-API von Microsoft Sentinel, um Daten zu erfassen.

Integration mit Azure Functions

Integrationen, die Azure Functions verwenden, um eine Verbindung mit einer Anbieter-API herzustellen, formatieren zuerst die Daten und senden sie dann mithilfe der Azure Monitor-Datensammler-API an benutzerdefinierte Protokolltabellen von Microsoft Sentinel.

Weitere Informationen finden Sie unter:

• Senden von Protokolldaten an Azure Monitor mit der HTTP-Datensammler-API
• Verbinden Ihrer Datenquelle mit Microsoft Sentinel mithilfe von Azure Functions
• Dokumentation zu Azure Functions

Integrationen, die Azure Functions verwenden, können zusätzliche Datenerfassungskosten verursachen, da Sie Azure Functions in Ihrer Azure-Organisation hosten. Erfahren Sie mehr über die Preise für Azure Functions.

Agent-basierte Integration für Datenconnectors

Microsoft Sentinel kann das Syslog-Protokoll verwenden, um einen Agent mit einer beliebigen Datenquelle zu verbinden, die Protokollstreaming in Echtzeit durchführen kann. Beispielsweise stellen die meisten lokalen Datenquellen eine Verbindung über Agent-basierte Integration her.

In den folgenden Abschnitten werden die verschiedenen Typen von Agent-basierten Microsoft Sentinel-Datenconnectors beschrieben. Führen Sie die Schritte auf jeder Microsoft Sentinel-Datenconnectorseite aus, um Verbindungen mit Agent-basierten Mechanismen zu konfigurieren.

syslog

Sie können Ereignisse von Linux-basierten, Syslog unterstützenden Geräten mithilfe des Azure Monitor-Agents (AMA) in Microsoft Sentinel streamen. Je nach Gerätetyp wird der Agent entweder direkt auf dem Gerät oder auf einem dedizierten Linux-basierten Server für die Protokollweiterleitung installiert. Der AMA empfängt Ereignisse vom Syslog-Daemon über UDP. Der Syslog-Daemon leitet Ereignisse intern an den Agent weiter und kommuniziert dabei über UDS (Unix Domain Sockets). Der AMA überträgt diese Ereignisse dann an den Microsoft Sentinel-Arbeitsbereich.

Hier sehen Sie einen einfachen Flow, der zeigt, wie Microsoft Sentinel Syslog-Daten streamt:

1. Der integrierte Syslog-Daemon des Geräts sammelt lokale Ereignisse der angegebenen Typen und leitet die Ereignisse lokal an den Agent weiter.
2. Der Agent streamt die Ereignisse in Ihren Log Analytics-Arbeitsbereich.
3. Nach erfolgreicher Konfiguration werden die Daten in der Log Analytics-Syslog-Tabelle angezeigt.

Weitere Informationen finden Sie unter Tutorial: Weiterleiten von Syslog-Daten an einen Log Analytics-Arbeitsbereich mit Microsoft Sentinel mithilfe des Azure Monitor-Agents.

Common Event Format (CEF)

Protokollformate variieren, aber viele Quellen unterstützen CEF-basierte Formatierung. Der Microsoft Sentinel-Agent, bei dem es sich tatsächlich um den Log Analytics-Agent handelt, konvertiert CEF-formatierte Protokolle in ein Format, das Log Analytics erfassen kann.

Richten Sie für Datenquellen, die Daten in CEF ausgeben, den Syslog-Agent ein, und konfigurieren Sie dann den CEF-Datenfluss. Nach erfolgreicher Konfiguration werden die Daten in der Tabelle CommonSecurityLog angezeigt.

Weitere Informationen finden Sie unter Einlesen von CEF-formatierten Protokollen von Ihrem Gerät oder Ihrer Anwendung in Microsoft Sentinel.

Benutzerdefinierte Protokolle

Für einige Datenquellen können Sie Protokolle als Dateien auf Windows- oder Linux-Computern mithilfe des benutzerdefinierten Log Analytics-Protokollsammlungs-Agents sammeln.

Führen Sie die Schritte auf jeder Microsoft Sentinel-Datenconnectorseite aus, um mithilfe des benutzerdefinierten Log Analytics-Protokollsammlungs-Agents eine Verbindung herzustellen. Nach erfolgreicher Konfiguration werden die Daten in benutzerdefinierten Tabellen angezeigt.

Weitere Informationen finden Sie unter Sammeln von Daten in benutzerdefinierten Protokollformaten für Microsoft Sentinel mit dem Log Analytics-Agent.

Dienst-zu-Dienst-Integration für Datenconnectors

Microsoft Sentinel verwendet Azure Foundation, um sofort einsatzbereiten Dienst-zu-Dienst-Support für Microsoft-Dienste und Amazon Web Services bereitzustellen.

Weitere Informationen finden Sie in den folgenden Artikeln:

• Verbinden von Microsoft Sentinel mit Azure-, Windows-, Microsoft- und Amazon-Diensten
• Suchen Ihres Microsoft Sentinel-Datenconnectors

Datenconnectorsupport

Sowohl Microsoft als auch andere Organisationen erstellen Microsoft Sentinel-Datenconnectors. Jeder Datenconnector verfügt über einen der folgenden Supporttypen, die auf der Datenconnectorseite in Microsoft Sentinel aufgeführt sind:

Supporttyp	BESCHREIBUNG
Von Microsoft unterstützt	Gilt für: Datenconnectors für Datenquellen, bei denen Microsoft der Datenanbieter und Autor ist. Ein paar von Microsoft erstellte Datenconnectors für Nicht-Microsoft-Datenquellen. Microsoft unterstützt und verwaltet Datenconnectors in dieser Kategorie in Übereinstimmung mit Microsoft Azure-Supportplänen. Partner und die Community unterstützen Datenconnectors, die von einer anderen Partei als Microsoft erstellt werden.
Von Partnern unterstützt	Gilt für Datenconnectors, die von anderen Parteien als Microsoft erstellt wurden. Das Partnerunternehmen bietet Support oder Wartung für diese Datenconnectors. Das Partnerunternehmen kann ein unabhängiger Softwarehersteller (ISV), ein Anbieter verwalteter Dienste (Managed Service Provider, MSP/MSSP), ein Systemintegrator (SI) oder eine beliebige Organisation sein, deren Kontaktinformationen auf der Microsoft Sentinel-Seite für diesen Datenconnector bereitgestellt werden. Wenden Sie sich bei Problemen mit einem vom Partner unterstützten Datenconnector an den angegebenen Supportkontakt für den Datenconnector.
Von der Community unterstützt	Gilt für Datenconnectors, die von Microsoft oder Partnerentwicklern erstellt wurden und für die auf der Datenconnectorseite in Microsoft Sentinel keine Kontakte für den Support und die Verwaltung des Datenconnectors aufgeführt sind. Bei Fragen oder Problemen mit diesen Datenconnectors können Sie in der Microsoft Sentinel GitHub-Communityein Problem erstellen.

Weitere Informationen finden Sie unter Unterstützung für einen Datenconnector.

Nächste Schritte

Weitere Informationen zu Datenconnectors finden Sie in den folgenden Artikeln:

• Verbinden von Datenquellen mit Microsoft Sentinel mithilfe von Datenconnectors
• Suchen Ihres Microsoft Sentinel-Datenconnectors
• Ressourcen zum Erstellen benutzerdefinierter Microsoft Sentinel-Connectors

Eine grundlegende Referenz zu Infrastructure-as-Code (IaC) von Bicep, Azure Resource Manager und Terraform zum Bereitstellen von Datenconnectors in Microsoft Sentinel finden Sie in der IaC-Referenz zum Microsoft Sentinel-Datenconnector.