Microsoft Sentinel-Datenconnectors

Nachdem Sie Microsoft Sentinel in Ihren Arbeitsbereich integriert haben, beginnen Sie mithilfe der Datenconnectors mit der Erfassung Ihrer Daten in Microsoft Sentinel. Microsoft Sentinel bietet viele standardmäßig verfügbare Connectors für Microsoft-Dienste, die in Echtzeit integriert werden. Beispielsweise ist der Microsoft 365 Defender-Connector ein Dienst-zu-Dienst-Connector, mit dem Daten aus Microsoft 365, Microsoft Entra ID, Microsoft Defender for Identity und Microsoft Defender für Cloud-Apps integriert werden können.

Integrierte Connectors ermöglichen die Anbindung an das breitere Sicherheitsökosystem für Nicht-Microsoft-Produkte. Beispielsweise können Sie Syslog, Common Event Format (CEF) oder REST-APIs verwenden, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden.

Erfahren Sie mehr über die verschiedenen Arten von Microsoft Sentinel-Datenconnectors, oder über den Microsoft Sentinel-Lösungskatalog.

Auf der Microsoft Sentinel-Seite Datenconnectors wird die gesamte Liste der Connectors sowie deren Status für Ihren Arbeitsbereich angezeigt. In Kürze wird auf dieser Seite nur noch die Liste der verwendeten Datenconnectors angezeigt. Weitere Informationen zu dieser bevorstehenden Änderung finden Sie unter Zentralisierungsänderungen für sofort einsatzbereite Inhalte in Microsoft Sentinel.

Zum Hinzufügen weiterer Datenconnectors installieren Sie die Lösung, die dem Datenconnector über den Inhaltshub zugeordnet ist. Weitere Informationen finden Sie in den folgenden Artikeln:

• Suchen Ihres Microsoft Sentinel-Datenconnectors
• Entdecken und Verwalten sofort einsatzbereiter Microsoft Sentinel-Inhalte
• Microsoft Sentinel Content Hub-Katalog

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Aktualisieren eines Datenconnectors

Wählen Sie auf der Seite Datenconnectors den aktiven oder benutzerdefinierten Connector aus, den Sie verbinden möchten, und wählen Sie dann Connectorseite öffnen aus. Wenn der gewünschte Datenconnector nicht angezeigt wird, installieren Sie die dazugehörige Lösung aus dem Inhaltshub.

• Sobald Sie alle Voraussetzungen erfüllen, die auf der Registerkarte Anweisungen aufgeführt sind, wird auf der Connectorseite beschrieben, wie die Daten in Microsoft Sentinel aufgenommen werden. Es kann einige Zeit dauern, bis die Daten eintreffen.

• Nach erfolgreicher Verbindungsherstellung werden eine Zusammenfassung der Daten im Diagramm Empfangene Daten sowie der Konnektivitätsstatus der Datentypen angezeigt.

  

Erfahren Sie mehr über Ihren speziellen Datenconnector in der Referenz zu Datenconnectors.

REST-API-Integration für Datenconnectors

Viele Sicherheitstechnologien stellen eine Reihe von APIs zum Abrufen von Protokolldateien zur Verfügung, und einige Datenquellen können diese APIs verwenden, um eine Verbindung mit Microsoft Sentinel herzustellen.

Datenconnectors, die APIs verwenden, können entweder auf Anbieterseite oder mit Azure Functions integriert werden, wie in den folgenden Abschnitten beschrieben.

Weitere Informationen zu Datenconnectors in der Referenz zu Datenconnectors.

REST-API-Integration auf Anbieterseite

Eine API-Integration, die vom Anbieter erstellt wird, stellt eine Verbindung mit den Anbieterdatenquellen her und pusht Daten mithilfe der Azure Monitor-Datensammler-API in benutzerdefinierte Protokolltabellen von Microsoft Sentinel.

Um mehr über die REST API-Integration zu erfahren, lesen Sie die Dokumentation Ihres Anbieters und Verbinden Sie Ihre Datenquelle mit der REST-API von Microsoft Sentinel, um Daten zu erfassen.

REST-API-Integration mit Azure Functions

Integrationen, die Azure Functions verwenden, um eine Verbindung mit einer Anbieter-API herzustellen, formatieren zuerst die Daten und senden sie dann mithilfe der Azure Monitor-Datensammler-API an benutzerdefinierte Protokolltabellen von Microsoft Sentinel. Erfahren Sie, wie Sie Ihre Datenquelle mithilfe der Azure-Funktionen mit Microsoft Sentinel verbinden.

Wichtig

Integrationen, die Azure Functions verwenden, können zusätzliche Datenerfassungskosten verursachen, da Sie Azure Functions auf Ihrem Azure-Mandanten hosten. Erfahren Sie mehr über die Preise für Azure Functions.

Agent-basierte Integration für Datenconnectors

Microsoft Sentinel kann das Syslog-Protokoll verwenden, um einen Agent mit einer beliebigen Datenquelle zu verbinden, die Protokollstreaming in Echtzeit durchführen kann. Beispielsweise stellen die meisten lokalen Datenquellen eine Verbindung über Agent-basierte Integration her.

In den folgenden Abschnitten werden die verschiedenen Typen von Agent-basierten Microsoft Sentinel-Datenconnectors beschrieben. Führen Sie die Schritte auf jeder Microsoft Sentinel-Datenconnectorseite aus, um Verbindungen mit Agent-basierten Mechanismen zu konfigurieren.

Erfahren Sie in der Referenz zu Datenconnectors, welche Firewalls, Proxys und Endpunkte über CEF oder Syslog eine Verbindung mit Microsoft Sentinel herstellen.

syslog

Sie können Ereignisse von Linux-basierten, Syslog unterstützenden Geräten mithilfe des Azure Monitor-Agents (AMA) in Microsoft Sentinel streamen. Je nach Gerätetyp wird der Agent entweder direkt auf dem Gerät oder auf einem dedizierten Linux-basierten Server für die Protokollweiterleitung installiert. Der AMA empfängt Ereignisse vom Syslog-Daemon über UDP. Der Syslog-Daemon leitet Ereignisse intern an den Agent weiter und kommuniziert dabei über UDS (Unix Domain Sockets). Der AMA überträgt diese Ereignisse dann an den Microsoft Sentinel-Arbeitsbereich.

Hier sehen Sie einen einfachen Flow, der zeigt, wie Microsoft Sentinel Syslog-Daten streamt.

1. Der integrierte Syslog-Daemon des Geräts sammelt lokale Ereignisse der angegebenen Typen und leitet die Ereignisse lokal an den Agent weiter.
2. Der Agent streamt die Ereignisse in Ihren Log Analytics-Arbeitsbereich.
3. Nach erfolgreicher Konfiguration werden die Daten in der Log Analytics-Syslog-Tabelle angezeigt.

Common Event Format (CEF)

Protokollformate variieren, aber viele Quellen unterstützen CEF-basierte Formatierung. Der Microsoft Sentinel-Agent, bei dem es sich tatsächlich um den Log Analytics-Agent handelt, konvertiert CEF-formatierte Protokolle in ein Format, das Log Analytics erfassen kann.

Richten Sie für Datenquellen, die Daten in CEF ausgeben, den Syslog-Agent ein, und konfigurieren Sie dann den CEF-Datenfluss. Nach erfolgreicher Konfiguration werden die Daten in der Tabelle CommonSecurityLog angezeigt.

Erfahren Sie, wie Sie CEF-basierte Geräte mit Microsoft Sentinel verbinden.

Benutzerdefinierte Protokolle

Für einige Datenquellen können Sie Protokolle als Dateien auf Windows- oder Linux-Computern mithilfe des benutzerdefinierten Log Analytics-Protokollsammlungs-Agents sammeln.

Führen Sie die Schritte auf jeder Microsoft Sentinel-Datenconnectorseite aus, um mithilfe des benutzerdefinierten Log Analytics-Protokollsammlungs-Agents eine Verbindung herzustellen. Nach erfolgreicher Konfiguration werden die Daten in benutzerdefinierten Tabellen angezeigt.

Erfahren Sie, wie Sie Daten in benutzerdefinierten Protokollformaten für Microsoft Sentinel mit dem Log Analytics-Agent erfassen.

Dienst-zu-Dienst-Integration für Datenconnectors

Microsoft Sentinel verwendet Azure Foundation, um sofort einsatzbereiten Service-to-Service-Support für Microsoft-Dienste und Amazon Web Services bereitzustellen.

Erfahren Sie, wie Sie eine Verbindung mit Azure-, Windows-, Microsoft- und Amazon-Diensten herstellen oder informieren Sie sich in der Referenz zu Datenconnectors über Datenconnectortypen.

Bereitstellen von Datenconnectors im Rahmen einer Lösung

Microsoft Sentinel-Lösungen stellen Pakete mit Sicherheitsinhalten bereit, darunter beispielsweise Datenconnectors, Arbeitsmappen, Analyseregeln oder Playbooks. Wenn Sie eine Lösung mit einem Datenconnector bereitstellen, erhalten Sie den Datenconnector zusammen mit den zugehörigen Inhalten in derselben Bereitstellung.

Erfahren Sie, wie Sie standardmäßig verfügbare Inhalte und Lösungen von Microsoft Sentinel zentral erkennen und bereitstellen oder informieren Sie sich über den Lösungskatalog von Microsoft Sentinel.

Datenconnectorsupport

Sowohl Microsoft als auch andere Organisationen erstellen Microsoft Sentinel-Datenconnectors. Jeder Datenconnector verfügt über einen dieser Supporttypen:

Supporttyp	BESCHREIBUNG
Von Microsoft unterstützt	Gilt für: Datenconnectors für Datenquellen, bei denen Microsoft der Datenanbieter und Autor ist. Ein paar von Microsoft erstellte Datenconnectors für Nicht-Microsoft-Datenquellen. Microsoft unterstützt und verwaltet Datenconnectors in dieser Kategorie in Übereinstimmung mit Microsoft Azure-Supportplänen. Partner oder die Community unterstützen Datenconnectors, die von einer anderen Partei als Microsoft erstellt werden.
Von Partnern unterstützt	Gilt für Datenconnectors, die von anderen Parteien als Microsoft erstellt wurden. Das Partnerunternehmen bietet Support oder Wartung für diese Datenconnectors. Das Partnerunternehmen kann ein unabhängiger Softwarehersteller (ISV), ein Anbieter verwalteter Dienste (Managed Service Provider, MSP/MSSP), ein Systemintegrator (SI) oder eine beliebige Organisation sein, deren Kontaktinformationen auf der Microsoft Sentinel-Seite für diesen Datenconnector bereitgestellt werden. Wenden Sie sich bei Problemen mit einem vom Partner unterstützten Datenconnector an den angegebenen Supportkontakt für den Datenconnector.
Von der Community unterstützt	Gilt für Datenconnectors, die von Microsoft oder Partnerentwicklern erstellt wurden und für die auf der angegebenen Datenconnectorseite in Microsoft Sentinel keine Kontakte für den Support und die Verwaltung des Datenconnectors aufgeführt sind. Bei Fragen oder Problemen mit diesen Datenconnectors können Sie in der Microsoft Sentinel GitHub-Communityein Problem erstellen.

Auffinden des Supportkontakts für einen Datenconnector

1. Wählen Sie auf der Microsoft Sentinel-Seite Datenconnectors den relevanten Connector aus.
2. Um auf Support und Wartung für den Connector zuzugreifen, verwenden Sie den Supportkontaktlink im Feld Unterstützt von im Seitenbereich des Connectors.

Nächste Schritte

• Für den Einstieg in Microsoft Sentinel benötigen Sie ein Microsoft Azure-Abonnement. Wenn Sie über kein Abonnement verfügen, können Sie sich für ein kostenloses Testabonnement registrieren.
• Hier erfahren Sie, wie Sie ein Onboarding Ihrer Daten in Microsoft Sentinel durchführen und Einblicke in Daten und potenzielle Bedrohungen erhalten.
• Informationen zu benutzerdefinierten Datenconnectors finden Sie unter Ressourcen zum Erstellen benutzerdefinierter Microsoft Sentinel-Connectors.
• Eine grundlegende Referenz zu Infrastructure-as-Code (IaC) von Bicep, ARM und Terraform zum Bereitstellen von Datenconnectors in Microsoft Sentinel finden Sie in der IaC-Referenz zum Microsoft Sentinel-Datenconnector.