Microsoft Sentinel Datenconnectors

  • Gilt für:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Nachdem Sie Microsoft Sentinel in Ihren Arbeitsbereich integriert haben, verwenden Sie Datenconnectors, um mit der Erfassung Ihrer Daten in Microsoft Sentinel zu beginnen. Microsoft Sentinel enthält viele sofort einsatzbereite Connectors für Microsoft-Dienste, die in Echtzeit integriert werden können. Der Microsoft Defender XDR-Connector ist beispielsweise ein Dienst-zu-Dienst-Connector, der Daten aus Office 365, Microsoft Entra ID, Microsoft Defender for Identity und integriert. Microsoft Defender for Cloud Apps.

Integrierte Connectors ermöglichen die Verbindung mit dem breiteren Sicherheitsökosystem für Nicht-Microsoft-Produkte. Verwenden Sie beispielsweise Syslog, common Event Format (CEF) oder REST-APIs, um Ihre Datenquellen mit Microsoft Sentinel zu verbinden.

Hinweis

Informationen zur Featureverfügbarkeit in Clouds für US-Behörden finden Sie unter Microsoft Sentinel Tabellen unter Verfügbarkeit von Cloudfeatures für US Government-Kunden.

Wichtig

Gemäß der Ankündigung für 2024 wird die Legacy-HTTP-Datensammler-API nach dem 14. September 2026 nicht mehr unterstützt. Datenquellen, benutzerdefinierte Integrationen oder Connectors, die die HTTP-Datensammler-API verwenden, sollten zu einer unterstützten Alternative wechseln, um potenzielle Erfassungsunterbrechungen nach diesem Datum zu vermeiden.

Wenn Sie derzeit die HTTP-Datensammler-API verwenden, empfehlen wir Ihnen, mit der Planung Ihrer Migration zur Protokollerfassungs-API oder dem Codeless Connector Framework (CCF) zu beginnen, um eine unterbrechungsfreie Datenerfassung, verbesserte Zuverlässigkeit, Skalierbarkeit und langfristige Unterstützung sicherzustellen.

Überlegungen zur Datenverwaltung für Microsoft Sentinel Data Lake

Die folgenden Überlegungen müssen in Ihre Compliance- und Datenverwaltungsplanung berücksichtigt werden:

  • DSGVO und Datenaufbewahrung

    • Mandantenadministratoren können DSGVO-Rechte mit dem Feature "Bereinigen" für die Analyseebene ausüben. Dies wirkt sich nicht auf die Data Lake-Ebene aus.
    • Bestimmte Datensätze können nicht aus dem Sentinel Data Lake gelöscht werden. Der Data Lake behält erfasste Daten für den definierten Aufbewahrungszeitraum bei, auch wenn die Daten in der Quelle oder auf der Analyseebene gelöscht werden.

  • Purview-Integration. Änderungen an Purview-Einstellungen haben keine Auswirkungen auf Daten, die im Sentinel Data Lake gespeichert sind.

  • Speicherort Sentinel Data Lake-Speicherorte werden vom Mandantenadministrator ausgewählt und können sich vom primären Speicherort der Quelldienste unterscheiden.

Wichtig

Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.

Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.

Mit Lösungen bereitgestellte Datenconnectors

Microsoft Sentinel Lösungen bieten gepackte Sicherheitsinhalte, einschließlich Datenconnectors, Arbeitsmappen, Analyseregeln, Playbooks und mehr. Wenn Sie eine Lösung mit einem Datenconnector bereitstellen, erhalten Sie den Datenconnector zusammen mit zugehörigen Inhalten in derselben Bereitstellung.

Auf der Seite Microsoft Sentinel Datenconnectors werden die installierten oder verwendeten Datenconnectors aufgelistet.

Um weitere Datenconnectors hinzuzufügen, installieren Sie die Dem Datenconnector zugeordnete Lösung aus dem Content Hub. Weitere Informationen finden Sie in den folgenden Artikeln:

Erstellen benutzerdefinierter Connectors

Wenn Sie Ihre Datenquelle nicht mit Microsoft Sentinel mithilfe einer der vorhandenen Lösungen verbinden können, sollten Sie einen eigenen Datenquellenconnector erstellen. Beispielsweise bieten viele Sicherheitslösungen eine Reihe von APIs zum Abrufen von Protokolldateien und anderen Sicherheitsdaten aus ihrem Produkt oder Dienst. Diese APIs stellen mit einer der folgenden Methoden eine Verbindung mit Microsoft Sentinel her:

Sie können auch Azure Monitor-Agent direkt oder Logstash verwenden, um Ihren benutzerdefinierten Connector zu erstellen. Weitere Informationen finden Sie unter Ressourcen zum Erstellen von Microsoft Sentinel benutzerdefinierten Connectors.

Agent-basierte Integration für Datenconnectors

Microsoft Sentinel können Agents verwenden, die vom Azure Monitor-Dienst (auf dem Microsoft Sentinel basiert) bereitgestellt werden, um Daten aus jeder Datenquelle zu sammeln, die Protokollstreaming in Echtzeit durchführen kann. Beispielsweise stellen die meisten lokalen Datenquellen eine Verbindung mithilfe der Agent-basierten Integration her.

In den folgenden Abschnitten werden die verschiedenen Typen von Microsoft Sentinel Agent-basierten Datenconnectors beschrieben. Führen Sie zum Konfigurieren von Verbindungen mithilfe von Agent-basierten Mechanismen die Schritte auf den einzelnen Microsoft Sentinel Datenconnectorseite aus.

Syslog und Common Event Format (CEF)

Sie können Ereignisse von Linux-basierten, Syslog unterstützenden Geräten mithilfe des Azure Monitor-Agents (AMA) an Microsoft Sentinel streamen. Protokollformate variieren, aber viele Quellen unterstützen CEF-basierte Formatierungen. Je nach Gerätetyp wird der Agent entweder direkt auf dem Gerät oder auf einer dedizierten Linux-basierten Protokollweiterleitung installiert. Der AMA empfängt einfache Syslog- oder CEF-Ereignismeldungen vom Syslog-Daemon über UDP. Der Syslog-Daemon leitet Ereignisse intern an den Agent weiter und kommuniziert je nach Version über TCP oder UDS (Unix Domain Sockets). Der AMA überträgt diese Ereignisse dann an den Microsoft Sentinel Arbeitsbereich.

Hier ist ein einfacher Flow, der zeigt, wie Microsoft Sentinel Syslog-Daten streamt.

  1. Der integrierte Syslog-Daemon des Geräts sammelt lokale Ereignisse der angegebenen Typen und leitet die Ereignisse lokal an den Agent weiter.
  2. Der Agent streamt die Ereignisse an Ihren Log Analytics-Arbeitsbereich.
  3. Nach erfolgreicher Konfiguration werden Syslog-Meldungen in der Log Analytics-Syslog-Tabelle und CEF-Meldungen in der Tabelle CommonSecurityLog angezeigt.

Weitere Informationen finden Sie unter Syslog und common Event Format (CEF) über AMA-Connectors für Microsoft Sentinel.

Benutzerdefinierte Protokolle

Für einige Datenquellen können Sie Protokolle als Dateien auf Windows- oder Linux-Computern sammeln, indem Sie den Log Analytics-Agent für die benutzerdefinierte Protokollsammlung verwenden.

Führen Sie zum Herstellen einer Verbindung mit dem Log Analytics-Agent für die benutzerdefinierte Protokollsammlung die Schritte auf den einzelnen Microsoft Sentinel Datenconnectorseite aus. Nach erfolgreicher Konfiguration werden die Daten in benutzerdefinierten Tabellen angezeigt.

Weitere Informationen finden Sie unter Benutzerdefinierte Protokolle über AMA-Datenconnector – Konfigurieren der Datenerfassung zum Microsoft Sentinel aus bestimmten Anwendungen.

Dienst-zu-Dienst-Integration für Datenconnectors

Microsoft Sentinel verwendet die Azure-Grundlage, um sofort einsatzbereite Service-to-Service-Unterstützung für Microsoft-Dienste und Amazon Web Services bereitzustellen.

Weitere Informationen finden Sie in den folgenden Artikeln:

Unterstützung für Datenconnectors

Sowohl Microsoft als auch andere Organisationen erstellen Microsoft Sentinel Datenconnectors. Jeder Datenconnector verfügt über einen der folgenden Unterstützungstypen, die auf der Datenconnectorseite in Microsoft Sentinel aufgeführt sind.

Supporttyp Beschreibung
Von Microsoft unterstützt Gilt für:
  • Datenconnectors für Datenquellen, in denen Microsoft der Datenanbieter und -autor ist.
  • Einige von Microsoft erstellte Datenconnectors für Nicht-Microsoft-Datenquellen.
Microsoft unterstützt und verwaltet Datenconnectors in dieser Kategorie gemäß den Microsoft Azure-Supportplänen.

Partner oder die Community-Supportdatenconnectors, die von einer anderen Partei als Microsoft erstellt wurden.
Vom Partner unterstützt Gilt für Datenconnectors, die von anderen Parteien als Microsoft erstellt wurden.

Das Partnerunternehmen bietet Unterstützung oder Wartung für diese Datenconnectors. Das Partnerunternehmen kann ein unabhängiger Softwareanbieter, ein Managed Service Provider (MSP/MSSP), ein Systemintegrator (SI) oder ein beliebiger organization sein, dessen Kontaktinformationen auf der seite Microsoft Sentinel für diesen Datenconnector bereitgestellt werden.

Wenden Sie sich bei Problemen mit einem vom Partner unterstützten Datenconnector an den angegebenen Supportkontakt für Datenconnectors.
Von der Community unterstützte Gilt für Datenconnectors, die von Microsoft- oder Partnerentwicklern erstellt wurden und die keine Kontakte für die Unterstützung und Wartung von Datenconnectors auf der Seite "Datenconnector" in Microsoft Sentinel aufgelistet haben.

Bei Fragen oder Problemen mit diesen Datenconnectors können Sie ein Problem in der Microsoft Sentinel GitHub-Community melden.

Weitere Informationen finden Sie unter Suchen von Unterstützung für einen Datenconnector.

Nächste Schritte

Weitere Informationen zu Datenconnectors finden Sie in den folgenden Artikeln.

Eine grundlegende IaC-Referenz (Infrastructure-as-Code) von Bicep, Azure Resource Manager und Terraform zum Bereitstellen von Datenconnectors in Microsoft Sentinel finden Sie unter IaC-Referenz für Microsoft Sentinel Datenconnector.

  • Last updated on