Verbinden von Datenquellen mit Microsoft Sentinel mithilfe von Datenconnectors

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Um Datenquellen mit Microsoft Sentinel zu verbinden, müssen Sie Datenconnectors installieren und konfigurieren. In diesem Artikel wird im Allgemeinen erläutert, wie Datenconnectors installiert werden, die im Microsoft Sentinel Content Hub verfügbar sind, um Daten zu erfassen und zu analysieren, um die Bedrohungserkennung zu verbessern.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie über den entsprechenden Zugriff verfügen und Sie oder jemand in Ihrem organization die zugehörige Lösung installiert.

Aktivieren eines Datenconnectors

Nachdem Sie oder eine Person in Ihrem organization die Lösung installiert haben, die den benötigten Datenconnector enthält, konfigurieren Sie den Datenconnector so, dass er mit der Erfassung von Daten beginnt.

  1. Wählen Sie für Microsoft Sentinel im Defender-PortalMicrosoft Sentinel>Konfigurationsdatenconnectors> aus. Wählen Sie für Microsoft Sentinel im Azure-Portal unter Konfigurationdie Option Datenconnectors aus.

  2. Suchen Sie nach dem Connector, und wählen Sie den Connector aus. Wenn der gewünschte Datenconnector nicht angezeigt wird, überprüfen Sie erneut, ob die relevante Lösung im Inhaltshub installiert ist.

  3. Connector-Seite öffnen auswählen.

  4. Überprüfen Sie die Voraussetzungen für Ihren Datenconnector, und stellen Sie sicher, dass sie erfüllt sind.

  5. Führen Sie die im Abschnitt Konfigurationen für Ihren Datenconnector beschriebenen Schritte aus.

    Für einige Connectors finden Sie spezifischere Konfigurationsinformationen im Abschnitt Daten sammeln in der Microsoft Sentinel-Dokumentation.

Konfigurieren von Datenaufbewahrung und Tiering

Wenn Sie das Onboarding für den Microsoft Sentinel Data Lake vorgenommen haben, können Sie die Datenaufbewahrung und tiering für den Datenconnector konfigurieren. Der Data Lake besteht aus einer Analyseebene – Ihren aktuellen Microsoft Sentinel Arbeitsbereichen und einer Data Lake-Ebene, in der Sie Daten bis zu 12 Jahre lang speichern können. Weitere Informationen zum Onboarding finden Sie unter Onboarding in Microsoft Sentinel Data Lake.

Wenn Sie einen Connector aktivieren, werden die Daten standardmäßig an die Analyseebene gesendet und auf der Data Lake-Ebene gespiegelt. Konfigurieren Sie die Datenaufbewahrung in jeder Ebene, oder senden Sie die Daten nur an die Data Lake-Ebene. Aufbewahrung und Tiering werden über die Connectoreinrichtungsseiten oder über die Seite Tabellenverwaltung im Defender-Portal verwaltet. Weitere Informationen zur Tabellenverwaltung und -aufbewahrung finden Sie unter Verwalten von Datenebenen und -aufbewahrung in Microsoft Defender Portal.

Nachdem Sie Ihren Connector eingerichtet haben, konfigurieren Sie die Datenaufbewahrung und das Tiering mithilfe der folgenden Schritte:

  1. Wählen Sie auf der Seite Connectordetails im Abschnitt Tabellenverwaltung die Tabelle aus, die Sie verwalten möchten.

    Screenshot: Seite mit Connectordetails

  2. Der Tabellenbereich wird mit den aktuellen Aufbewahrungseinstellungen angezeigt.

  3. Um die Aufbewahrung zu konfigurieren, wählen Sie Tabelle verwalten aus. Screenshot des Bereichs

  4. Der Bereich Tabelle verwalten wird mit den aktuellen Aufbewahrungseinstellungen angezeigt. Sie können die Aufbewahrungseinstellungen für die Analyseebene und die Data Lake-Ebene ändern. Standardmäßig Spiegel die Daten auf die Data Lake-Ebene mit der gleichen Aufbewahrungsdauer wie die Analyseebene.

  5. Wählen Sie unter Analytics-Aufbewahrung den Aufbewahrungszeitraum für die Analyseebene aus.

  6. Wählen Sie zum Konfigurieren der Data Lake-Ebene in der Dropdownliste Gesamtaufbewahrung einen Aufbewahrungszeitraum aus. Screenshot: Optionen für die Analyse- und Data Lake-Ebene

  7. Wenn Sie die Ebene in nur Data Lake ändern möchten, wählen Sie die Data Lake-Ebene aus, und wählen Sie in der Dropdownliste Aufbewahrung einen Aufbewahrungszeitraum aus. Wenn Sie diese Option auswählen, wird die weitere Erfassung auf der Analyseebene beendet.

  8. Wählen Sie Speichern aus, um die Änderungen zu speichern.

Screenshot: Option

Nach dem Konfigurieren des Datenconnectors kann es einige Zeit dauern, bis die Daten in Microsoft Sentinel erfasst werden. Es dauert 90 bis 120 Minuten, bis Daten im Data Lake erfasst werden. Wenn der Datenconnector verbunden ist, wird eine Zusammenfassung der Daten im Diagramm Empfangene Daten und die Konnektivität status der Datentypen angezeigt.

Screenshot: Seite

Aktivieren der Benutzer- und Entitätsverhaltensanalyse (User and Entity Behavior Analytics, UEBA) über unterstützte Connectors

Die Benutzer- und Entitätsverhaltensanalyse (User and Entity Behavior Analytics, UEBA) in Microsoft Sentinel analysiert Protokolle und Warnungen aus verbundenen Datenquellen, um grundlegende Verhaltensprofile der Entitäten Ihrer organization zu erstellen, z. B. Benutzer, Hosts, IP-Adressen und Anwendungen. Mithilfe von maschinellem Lernen identifiziert UEBA anomale Aktivitäten, die auf ein kompromittiertes Medienobjekt hinweisen können.

So aktivieren Sie UEBA über unterstützte Datenconnectors in Microsoft Defender Portal:

  1. Wählen Sie im Navigationsmenü des Microsoft Defender Portals Microsoft Sentinel > Konfigurationsdatenconnectors >aus.

  2. Wählen Sie einen UEBA-unterstützten Datenconnector aus, der UEBA unterstützt. Weitere Informationen zu von UEBA unterstützten Datenconnectors und -Tabellen finden Sie unter Microsoft Sentinel UEBA-Referenz.

  3. Wählen Sie im Datenconnectorbereich Connectorseite öffnen aus.

  4. Wählen Sie auf der Seite Connectordetailsdie Option Erweiterte Optionen aus.

  5. Schalten Sie unter UEBA konfigurieren die Tabellen ein, die Sie für UEBA aktivieren möchten.

    Screenshot: UEBA-Konfiguration im Datenconnector

Suchen Ihrer Daten

Nachdem Sie den Connector erfolgreich aktiviert haben, beginnt der Connector mit dem Streamen von Daten an die Tabellenschemas, die sich auf die von Ihnen konfigurierten Datentypen beziehen.

Fragen Sie im Defender-Portal Daten auf der Seite Erweiterte Suche oder im Azure-Portal daten auf der Seite Protokolle ab.
Navigieren Sie zum Data Lake-Explorer , KQL fragt Daten im Data Lake ab. Weitere Informationen finden Sie unter KQL und der Microsoft Sentinel Data Lake.

Suchen von Unterstützung für einen Datenconnector

Sowohl Microsoft als auch andere Organisationen erstellen Microsoft Sentinel Datenconnectors. Suchen Sie den Supportkontakt auf der Seite datenconnector in Microsoft Sentinel.

  1. Wählen Sie auf der Seite Microsoft Sentinel Datenconnectors den entsprechenden Connector aus.

  2. Um auf Support und Wartung für den Connector zuzugreifen, verwenden Sie den Link Supportkontakt im Feld Unterstützt von im Seitenbereich des Connectors.

    Screenshot: Feld

Weitere Informationen finden Sie unter Unterstützung von Datenconnectors.

Verwandte Inhalte

Weitere Informationen zu Lösungen und Datenconnectors in Microsoft Sentinel finden Sie in den folgenden Artikeln.

  • Last updated on