Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Sentinel bietet eine breite Palette von sofort einsatzbereiten Connectors für Azure-Dienste und externe Lösungen und unterstützt auch die Erfassung von Daten aus einigen Quellen ohne dedizierten Connector.
Wenn Sie Ihre Datenquelle nicht mit Microsoft Sentinel mithilfe einer der vorhandenen Lösungen verbinden können, sollten Sie einen eigenen Datenquellenconnector erstellen.
Eine vollständige Liste der unterstützten Connectors finden Sie unter Find your Microsoft Sentinel data connector).
Vergleichen von benutzerdefinierten Connectormethoden
In der folgenden Tabelle werden wichtige Details zu den einzelnen Methoden zum Erstellen benutzerdefinierter Connectors verglichen, die in diesem Artikel beschrieben werden. Wählen Sie die Links in der Tabelle aus, um weitere Details zu den einzelnen Methoden zu erhalten.
| Methodenbeschreibung | Funktion | Serverlose | Komplexität |
|---|---|---|---|
|
Codeless Connector Framework (CCF) Am besten geeignet für weniger technische Zielgruppen, saaS-Connectors mithilfe einer Konfigurationsdatei anstelle der erweiterten Entwicklung zu erstellen. |
Unterstützt alle funktionen, die mit dem Code verfügbar sind. | Ja | Niedrig; einfache, codelose Entwicklung |
|
Azure Monitor-Agent Am besten geeignet für das Sammeln von Dateien aus lokalen und IaaS-Quellen |
Dateisammlung, Datentransformation | Nein | Niedrig |
|
Logstash Optimal für lokale und IaaS-Quellen, alle Quellen, für die ein Plug-In verfügbar ist, und Organisationen, die bereits mit Logstash vertraut sind |
Unterstützt alle Funktionen des Azure Monitor-Agents | Nein; erfordert eine VM oder einen VM-Cluster für die Ausführung | Niedrig; unterstützt viele Szenarien mit Plug-Ins |
|
Logic Apps Hohe Kosten; Vermeiden von Daten mit hohem Datenvolumen Am besten geeignet für Cloudquellen mit geringem Volumen |
Die Codelose Programmierung ermöglicht eine eingeschränkte Flexibilität ohne Unterstützung für die Implementierung von Algorithmen. Wenn keine verfügbare Aktion Ihre Anforderungen bereits unterstützt, kann das Erstellen einer benutzerdefinierten Aktion die Komplexität erhöhen. |
Ja | Niedrig; einfache, codelose Entwicklung |
|
Protokollerfassungs-API in Azure Monitor Am besten geeignet für ISVs, die Integration implementieren, und für eindeutige Sammlungsanforderungen |
Unterstützt alle funktionen, die mit dem Code verfügbar sind. | Abhängig von der Implementierung | Hoch |
|
Azure Functions Am besten geeignet für Cloudquellen mit hohem Volumen und für eindeutige Sammlungsanforderungen |
Unterstützt alle funktionen, die mit dem Code verfügbar sind. | Ja | Hoch; erfordert Programmierkenntnisse |
Tipp
Vergleiche zur Verwendung von Logic Apps und Azure Functions für denselben Connector finden Sie unter:
- Schnell erfassen Web Application Firewall Anmeldungen bei Microsoft Sentinel
- Office 365 (Microsoft Sentinel GitHub-Community): Logik-App-Connector | Azure Funktionsconnector
Herstellen einer Verbindung mit dem Codeless Connector Framework
Das Codeless Connector Framework (CCF) stellt eine Konfigurationsdatei bereit, die sowohl von Kunden als auch Partnern verwendet und dann in Ihrem eigenen Arbeitsbereich oder als Lösung für den Inhaltshub von Microsoft Sentinel bereitgestellt werden kann.
Connectors, die mit dem CCF erstellt wurden, sind vollständig SaaS, ohne Anforderungen für Dienstinstallationen, und umfassen auch die Integritätsüberwachung und vollständige Unterstützung von Microsoft Sentinel.
Weitere Informationen finden Sie unter Erstellen eines Connectors ohne Code für Microsoft Sentinel.
Herstellen einer Verbindung mit dem Azure Monitor-Agent
Wenn Ihre Datenquelle Ereignisse in Textdateien übermittelt, empfiehlt es sich, den Azure Monitor-Agent zu verwenden, um Ihren benutzerdefinierten Connector zu erstellen.
Weitere Informationen finden Sie unter Sammeln von Protokollen aus einer Textdatei mit Azure Monitor-Agent.
Ein Beispiel für diese Methode finden Sie unter Sammeln von Protokollen aus einer JSON-Datei mit Azure Monitor-Agent.
Herstellen einer Verbindung mit Logstash
Wenn Sie mit Logstash vertraut sind, sollten Sie Logstash mit dem Logstash-Ausgabe-Plug-In für Microsoft Sentinel verwenden, um Ihren benutzerdefinierten Connector zu erstellen.
Mit dem Microsoft Sentinel Logstash Output-Plug-Ins können Sie alle Logstash-Eingabe- und Filter-Plug-Ins verwenden und Microsoft Sentinel als Ausgabe für eine Logstash-Pipeline konfigurieren. Logstash verfügt über eine große Bibliothek von Plug-Ins, die Eingaben aus verschiedenen Quellen wie Event Hubs, Apache Kafka, Files, Datenbanken und Clouddiensten ermöglichen. Verwenden Sie Filter-Plug-Ins, um Ereignisse zu analysieren, unnötige Ereignisse zu filtern, Werte zu verschleiern und vieles mehr.
Beispiele für die Verwendung von Logstash als benutzerdefinierter Connector finden Sie unter:
- Hunting for Capital One Breach TTPs in AWS-Protokollen mit Microsoft Sentinel (Blog)
- Implementierungshandbuch für Radware Microsoft Sentinel
Beispiele für nützliche Logstash-Plug-Ins finden Sie unter:
- Cloudwatch-Eingabe-Plug-In
- Azure Event Hubs-Plug-In
- Google Cloud Storage-Eingabe-Plug-In
- Google_pubsub-Eingabe-Plug-In
Tipp
Logstash ermöglicht auch die skalierte Datensammlung mithilfe eines Clusters. Weitere Informationen finden Sie unter Verwenden eines virtuellen Logstash-Computers mit Lastenausgleich im großen Stil.
Herstellen einer Verbindung mit Logic Apps
Verwenden Sie Azure Logic Apps, um einen serverlosen, benutzerdefinierten Connector für Microsoft Sentinel zu erstellen.
Hinweis
Das Erstellen serverloser Connectors mit Logic Apps kann zwar praktisch sein, aber die Verwendung von Logic Apps für Ihre Connectors kann für große Datenmengen kostspielig sein.
Es wird empfohlen, diese Methode nur für Datenquellen mit geringem Volumen zu verwenden oder Ihre Datenuploads anzureichern.
Verwenden Sie einen der folgenden Trigger, um Ihre Logic Apps zu starten:
Auslöser Beschreibung Eine wiederkehrende Aufgabe Planen Sie ihre Logik-App beispielsweise so, dass daten regelmäßig aus bestimmten Dateien, Datenbanken oder externen APIs abgerufen werden.
Weitere Informationen finden Sie unter Erstellen, Planen und Ausführen von wiederkehrenden Aufgaben und Workflows in Azure Logic Apps.Bedarfsgesteuertes Auslösen Führen Sie Ihre Logik-App bedarfsgesteuert für die manuelle Datensammlung und -tests aus.
Weitere Informationen finden Sie unter Aufrufen, Auslösen oder Schachteln von Logik-Apps mithilfe von HTTPS-Endpunkten.HTTP/S-Endpunkt Empfohlen für Streaming und , wenn das Quellsystem die Datenübertragung starten kann.
Weitere Informationen finden Sie unter Aufrufen von Dienstendpunkten über HTTP oder HTTPS.Verwenden Sie einen der Logik-App-Connectors, die Informationen lesen, um Ihre Ereignisse abzurufen. Zum Beispiel:
- Herstellen einer Verbindung mit einer REST-API
- Herstellen einer Verbindung mit einem SQL Server
- Herstellen einer Verbindung mit einem Dateisystem
Tipp
Benutzerdefinierte Connectors für REST-APIs, SQL Server und Dateisysteme unterstützen auch das Abrufen von Daten aus lokalen Datenquellen. Weitere Informationen finden Sie in der Dokumentation zum Installieren eines lokalen Datengateways .
Bereiten Sie die Informationen vor, die Sie abrufen möchten.
Verwenden Sie beispielsweise die Aktion JSON analysieren , um auf Eigenschaften in JSON-Inhalten zuzugreifen, sodass Sie diese Eigenschaften aus der Liste mit dynamischen Inhalten auswählen können, wenn Sie Eingaben für Ihre Logik-App angeben.
Weitere Informationen finden Sie unter Ausführen von Datenvorgängen in Azure Logic Apps.
Schreiben Sie die Daten in Log Analytics.
Weitere Informationen finden Sie in der Dokumentation Azure Log Analytics Data Collector.
Beispiele für das Erstellen eines benutzerdefinierten Connectors für Microsoft Sentinel mithilfe von Logic Apps finden Sie unter:
- Erstellen einer Datenpipeline mit der Datensammler-API
- Palo Alto Prisma Logic App-Connector mit einem Webhook (Microsoft Sentinel GitHub-Community)
- Schützen Ihrer Microsoft Teams-Anrufe mit geplanter Aktivierung (Blog)
- Erfassen von AlienVault OTX-Bedrohungsindikatoren in Microsoft Sentinel (Blog)
Herstellen einer Verbindung mit der Protokollerfassungs-API
Sie können Ereignisse an Microsoft Sentinel streamen, indem Sie die Log Analytics-Datensammler-API verwenden, um einen RESTful-Endpunkt direkt aufzurufen.
Das direkte Aufrufen eines RESTful-Endpunkts erfordert zwar mehr Programmierung, bietet aber auch mehr Flexibilität.
Weitere Informationen finden Sie in den folgenden Artikeln:
- Protokollerfassungs-API in Azure Monitor.
- Beispielcode zum Senden von Daten an Azure Monitor mithilfe der Protokollerfassungs-API.
Herstellen einer Verbindung mit Azure Functions
Verwenden Sie Azure Functions zusammen mit einer RESTful-API und verschiedenen Programmiersprachen wie PowerShell, um einen serverlosen benutzerdefinierten Connector zu erstellen.
Beispiele für diese Methode finden Sie unter:
- Verbinden Ihres VMware Carbon Black Cloud-Standard mit Microsoft Sentinel mit Azure Function
- Verbinden Ihres Okta Single Sign-On mit Microsoft Sentinel mit Azure Function
- Verbinden Ihres Proofpoint-TAP mit Microsoft Sentinel mit Azure-Funktion
- Verbinden Ihrer Qualys-VM mit Microsoft Sentinel mit Azure-Funktion
- Erfassen von XML, CSV oder anderen Datenformaten
- Überwachen des Zooms mit Microsoft Sentinel (Blog)
- Bereitstellen einer Funktions-App zum Abrufen von Office 365 Management-API-Daten in Microsoft Sentinel (Microsoft Sentinel GitHub-Community)
Analysieren der benutzerdefinierten Connectordaten
Um die mit Ihrem benutzerdefinierten Connector gesammelten Daten zu nutzen, entwickeln Sie ASIM-Parser (Advanced Security Information Model) für die Arbeit mit Ihrem Connector. Die Verwendung von ASIM ermöglicht es Microsoft Sentinel integrierten Inhalten, Ihre benutzerdefinierten Daten zu verwenden, und erleichtert Analysten das Abfragen der Daten.
Wenn Ihre Connectormethode dies zulässt, können Sie einen Teil der Analyse als Teil des Connectors implementieren, um die Leistung der Abfragezeitanalyse zu verbessern:
- Wenn Sie Logstash verwendet haben, verwenden Sie das Grok-Filter-Plug-In, um Ihre Daten zu analysieren.
- Wenn Sie eine Azure-Funktion verwendet haben, analysieren Sie Ihre Daten mit Code.
Sie müssen weiterhin ASIM-Parser implementieren, aber die Implementierung eines Teils der Analyse direkt mit dem Connector vereinfacht die Analyse und verbessert die Leistung.
Nächste Schritte
Verwenden Sie die in Microsoft Sentinel erfassten Daten, um Ihre Umgebung mit einem der folgenden Prozesse zu schützen: