Microsoft Sentinel-Datenconnectors

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Nachdem Sie Microsoft Sentinel in Ihren Arbeitsbereich integriert haben, können Sie mithilfe der Datenconnectors mit der Erfassung Ihrer Daten in Microsoft Sentinel beginnen. Microsoft Sentinel bietet viele standardmäßig verfügbare Connectors für Microsoft-Dienste, die Sie in Echtzeit integrieren können. Beispielsweise ist der Microsoft 365 Defender-Connector ein Dienst-zu-Dienst-Connector, mit dem Daten aus Microsoft 365, Azure Active Directory (Azure AD), Microsoft Defender for Identity und Microsoft Defender für Cloud-Apps integriert werden können.

Sie können auch integrierte Connectors für Produkte des Sicherheitsökosystems von anderen Anbietern als Microsoft aktivieren. Beispielsweise können Sie Syslog, Common Event Format (CEF) oder REST-APIs verwenden, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden.

Erfahren Sie mehr über die verschiedenen Arten von Microsoft Sentinel-Datenconnectors, oder über den Microsoft Sentinel-Lösungskatalog.

Auf der Microsoft Sentinel-Seite Datenconnectors wird die gesamte Liste der Connectors sowie deren Status in Ihrem Arbeitsbereich angezeigt.

Screenshot der Datenconnector-Galerie.

Aktualisieren eines Datenconnectors

Wählen Sie den gewünschten Connector für die Verbindungsherstellung und anschließend Connectorseite öffnen aus.

  • Sobald Sie alle Voraussetzungen erfüllen, die auf der Registerkarte Anweisungen aufgeführt sind, wird auf der Connectorseite beschrieben, wie die Daten in Microsoft Sentinel aufgenommen werden. Es kann einige Zeit dauern, bis die Daten eintreffen. Nach erfolgreicher Verbindungsherstellung werden eine Zusammenfassung der Daten im Diagramm Empfangene Daten sowie der Konnektivitätsstatus der Datentypen angezeigt.

    Screenshot der Konfiguration von Datenconnectors.

  • Auf der Registerkarte Nächste Schritte werden zusätzliche Inhalte für den jeweiligen Datentyp angezeigt: Beispielabfragen, Visualisierungsarbeitsmappen und Analyseregelvorlagen, die Sie bei der Erkennung und Untersuchung von Bedrohungen unterstützen.

    Screenshot mit der Datenconnector-Registerkarte „Nächste Schritte“.

Erfahren Sie mehr über Ihren speziellen Datenconnector in der Referenz zu Datenconnectors.

REST-API-Integration für Datenconnectors

Viele Sicherheitstechnologien stellen eine Reihe von APIs zum Abrufen von Protokolldateien zur Verfügung, und einige Datenquellen können diese APIs verwenden, um eine Verbindung mit Microsoft Sentinel herzustellen.

Datenconnectors, die APIs verwenden, können entweder auf Anbieterseite oder mit Azure Functions integriert werden, wie in den folgenden Abschnitten beschrieben.

Weitere Informationen zu Datenconnectors in der Referenz zu Datenconnectors.

REST-API-Integration auf Anbieterseite

Eine API-Integration, die vom Anbieter erstellt wird, stellt eine Verbindung mit den Anbieterdatenquellen her und pusht Daten mithilfe der Azure Monitor-Datensammler-API in benutzerdefinierte Protokolltabellen von Microsoft Sentinel.

Um mehr über die REST API-Integration zu erfahren, lesen Sie die Dokumentation Ihres Anbieters und Verbinden Sie Ihre Datenquelle mit der REST-API von Microsoft Sentinel, um Daten zu erfassen.

REST-API-Integration mit Azure Functions

Integrationen, die Azure Functions verwenden, um eine Verbindung mit einer Anbieter-API herzustellen, formatieren zuerst die Daten und senden sie dann mithilfe der Azure Monitor-Datensammler-API an benutzerdefinierte Protokolltabellen von Microsoft Sentinel. Erfahren Sie, wie Sie Ihre Datenquelle mithilfe der Azure-Funktionen mit Microsoft Sentinel verbinden.

Wichtig

Integrationen, die Azure Functions verwenden, können zusätzliche Datenerfassungskosten verursachen, da Sie Azure Functions auf Ihrem Azure-Mandanten hosten. Erfahren Sie mehr über die Preise für Azure Functions.

Agent-basierte Integration für Datenconnectors

Microsoft Sentinel kann das Syslog-Protokoll verwenden, um einen Agent mit einer beliebigen Datenquelle zu verbinden, die Protokollstreaming in Echtzeit durchführen kann. Beispielsweise stellen die meisten lokalen Datenquellen eine Verbindung über Agent-basierte Integration her.

In den folgenden Abschnitten werden die verschiedenen Typen von Agent-basierten Microsoft Sentinel-Datenconnectors beschrieben. Führen Sie die Schritte auf jeder Microsoft Sentinel-Datenconnectorseite aus, um Verbindungen mit Agent-basierten Mechanismen zu konfigurieren.

Erfahren Sie in der Referenz zu Datenconnectors, welche Firewalls, Proxys und Endpunkte über CEF oder Syslog eine Verbindung mit Microsoft Sentinel herstellen.

syslog

Sie können Ereignisse von Linux-basierten Geräten aus, die Syslog unterstützen, in Microsoft Sentinel streamen, indem Sie den Log Analytics-Agent für Linux verwenden, der früher OMS-Agent genannt wurde. Je nach Gerätetyp wird der Agent entweder direkt auf dem Gerät oder auf einem dedizierten Linux-basierten Server für die Protokollweiterleitung installiert. Der Log Analytics-Agent empfängt Ereignisse vom Syslog-Daemon über UDP. Falls für einen Linux-Computer aber die Erfassung einer großen Menge von Syslog-Ereignissen erwartet wird, sendet er Ereignisse über TCP vom Syslog-Daemon an den Agent und von dort an Log Analytics. Erfahren Sie, wie Sie Syslog-basierte Geräte mit Microsoft Sentinel verbinden.

Hier sehen Sie einen einfachen Flow, der zeigt, wie Microsoft Sentinel Syslog-Daten streamt.

  1. Der integrierte Syslog-Daemon des Geräts sammelt lokale Ereignisse der angegebenen Typen und leitet die Ereignisse lokal an den Agent weiter.
  2. Der Agent streamt die Ereignisse in Ihren Log Analytics-Arbeitsbereich.
  3. Nach erfolgreicher Konfiguration werden die Daten in der Log Analytics-Syslog-Tabelle angezeigt.

Common Event Format (CEF)

Protokollformate variieren, aber viele Quellen unterstützen CEF-basierte Formatierung. Der Microsoft Sentinel-Agent, bei dem es sich tatsächlich um den Log Analytics-Agent handelt, konvertiert CEF-formatierte Protokolle in ein Format, das Log Analytics erfassen kann.

Richten Sie für Datenquellen, die Daten in CEF ausgeben, den Syslog-Agent ein, und konfigurieren Sie dann den CEF-Datenfluss. Nach erfolgreicher Konfiguration werden die Daten in der Tabelle CommonSecurityLog angezeigt.

Erfahren Sie, wie Sie CEF-basierte Geräte mit Microsoft Sentinel verbinden.

Benutzerdefinierte Protokolle

Für einige Datenquellen können Sie Protokolle als Dateien auf Windows- oder Linux-Computern mithilfe des benutzerdefinierten Log Analytics-Protokollsammlungs-Agents sammeln.

Führen Sie die Schritte auf jeder Microsoft Sentinel-Datenconnectorseite aus, um mithilfe des benutzerdefinierten Log Analytics-Protokollsammlungs-Agents eine Verbindung herzustellen. Nach erfolgreicher Konfiguration werden die Daten in benutzerdefinierten Tabellen angezeigt.

Erfahren Sie, wie Sie Daten in benutzerdefinierten Protokollformaten für Microsoft Sentinel mit dem Log Analytics-Agent erfassen.

Dienst-zu-Dienst-Integration für Datenconnectors

Microsoft Sentinel verwendet Azure Foundation, um sofort einsatzbereiten Service-to-Service-Support für Microsoft-Dienste und Amazon Web Services bereitzustellen.

Erfahren Sie, wie Sie eine Verbindung mit Azure-, Windows-, Microsoft- und Amazon-Diensten herstellen oder informieren Sie sich in der Referenz zu Datenconnectors über Datenconnectortypen.

Bereitstellen von Datenconnectors im Rahmen einer Lösung

Microsoft Sentinel-Lösungen stellen Pakete mit Sicherheitsinhalten bereit, darunter beispielsweise Datenconnectors, Arbeitsmappen, Analyseregeln oder Playbooks. Wenn Sie eine Lösung mit einem Datenconnector bereitstellen, erhalten Sie den Datenconnector zusammen mit den zugehörigen Inhalten in derselben Bereitstellung.

Erfahren Sie, wie Sie standardmäßig verfügbare Inhalte und Lösungen von Microsoft Sentinel zentral erkennen und bereitstellen oder informieren Sie sich über den Lösungskatalog von Microsoft Sentinel.

Datenconnectorsupport

Sowohl Microsoft als auch andere Organisationen erstellen Microsoft Sentinel-Datenconnectors. Jeder Datenconnector verfügt über einen dieser Supporttypen:

Supporttyp BESCHREIBUNG
Von Microsoft unterstützt Gilt für:
  • Datenconnectors für Datenquellen, bei denen Microsoft der Datenanbieter und Autor ist.
  • Ein paar von Microsoft erstellte Datenconnectors für Nicht-Microsoft-Datenquellen.
Microsoft unterstützt und verwaltet Datenconnectors in dieser Kategorie in Übereinstimmung mit Microsoft Azure-Supportplänen.

Partner oder die Community unterstützen Datenconnectors, die von einer anderen Partei als Microsoft erstellt werden.
Von Partnern unterstützt Gilt für Datenconnectors, die von anderen Parteien als Microsoft erstellt wurden.

Das Partnerunternehmen bietet Support oder Wartung für diese Datenconnectors. Das Partnerunternehmen kann ein unabhängiger Softwarehersteller (ISV), ein Anbieter verwalteter Dienste (Managed Service Provider, MSP/MSSP), ein Systemintegrator (SI) oder eine beliebige Organisation sein, deren Kontaktinformationen auf der Microsoft Sentinel-Seite für diesen Datenconnector bereitgestellt werden.

Wenden Sie sich bei Problemen mit einem vom Partner unterstützten Datenconnector an den angegebenen Supportkontakt für den Datenconnector.
Von der Community unterstützt Gilt für Datenconnectors, die von Microsoft oder Partnerentwicklern erstellt wurden und für die auf der angegebenen Datenconnectorseite in Microsoft Sentinel keine Kontakte für den Support und die Verwaltung des Datenconnectors aufgeführt sind.

Bei Fragen oder Problemen mit diesen Datenconnectors können Sie in der Microsoft Sentinel GitHub-Communityein Problem erstellen.

Auffinden des Supportkontakts für einen Datenconnector

  1. Wählen Sie auf der Microsoft Sentinel-Seite Datenconnectors den relevanten Connector aus.
  2. Um auf Support und Wartung für den Connector zuzugreifen, verwenden Sie den Supportkontaktlink im Feld Unterstützt von im Seitenbereich des Connectors.

Screenshot des Felds „Unterstützt von“ für einen Datenconnector in Microsoft Sentinel.

Nächste Schritte